我相信我正在尝试使用 Azure 做一些简单而基本的事情,但到目前为止我还没有发现任何“安全”的东西。
基本上,我只希望 Azure WebApp 和 Azure SQL Server(无虚拟机)相互通信,WebApp 在互联网上公开,而 SQL Server 只能由该特定的 WebApp 访问。
我发现了 3 种“保护”与 Azure SQL Server 通信的方法:
- 允许 Azure 服务
- 将 IP 地址列入白名单
- 接受 VNet 连接
我遇到的问题是,任何拥有 Azure 订阅的人都可以通过多个组件访问我的数据库......
对于 2,最安全的是允许数据中心中的 WebApp 的出站 IP,据我所知,任何人都可以在我为我的 WebApp 选择的同一数据中心中创建 WebApp,并且他们将有机会进入同一个“IP 组”,这意味着他们可以访问我的数据库……
对于 3,也许这只是我的问题,但是当我这样做时,我可以设法找到一种通过互联网与我的 WebApp 进行通信的方法...
我相信这是我的一个非常基本的要求......
我该怎么做?
提前致谢!
答案1
如果您使用服务端点,则可以进行更精细的网络访问控制。请参阅此处的文档: https://docs.microsoft.com/en-us/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview