Настройки брандмауэра Azure MS SQL (клиенты Azure MS SQL и WinForms в общедоступной сети с динамическим IP) КАКОВЫЙ подход является наиболее безопасным?

Я заканчиваю настольное приложение (Winforms). Azure MS SQL на стороне сервера и клиенты WinForms. Таким образом, они могут поступать с непредсказуемого IP-адреса ... Таким образом, невозможно установить новое правило брандмауэра Azure для каждого перемещения клиентской сети ... Мой вопрос, каков наилучший подход к безопасному доступу от клиентов и как установить правила брандмауэра Azure ... ( клиент использует логин на SQL-сервере)

на некоторых форумах люди рекомендуют обойти лазурный брандмауэр, установив правило 0.0.0.0-255.255.255.255, но мне это не кажется хорошим безопасным решением)

возможные решения, которые я рассматриваю: a) Настройте VPN на AZURE для клиента (любой совет для хорошего учебника и как ограничить клиентский трафик только для AZURE = клиент, просматривающий YouTube, не потратит мой бюджет на лазурный берег?

б) какой-либо сторонний VPN? (большинство провайдеров VPN не предлагают постоянный IP-адрес, а предлагают динамический диапазон)

в) другой способ

Спасибо! Павел


azure azure-sql-database azure-security
person Pavel Kohout    schedule 19.08.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я бы предложил архитектуру клиента, сервера, базы данных. Как правило, вы не хотите, чтобы ваши клиенты напрямую подключались к базе данных. Если вы настроите WebAPI для связи с БД и разрешите своим клиентам связываться с этим API, это будет гораздо лучший подход.

person Connor Dickson    schedule 19.08.2020
comment
Я знаю об этом способе, но я бы хотел свести к минимуму работу по программированию ... приложение почти готово :( Я предпочитаю решение для настройки сети ... - person Pavel Kohout; 19.08.2020
comment
Это действительно зависит от вашего варианта использования: если вы хотите, чтобы все пользователи подключились к вашей собственной VPN, прежде чем они смогут использовать ваше приложение, вы можете это сделать. Вы можете попробовать написать простой прокси-API для БД, это не потребует слишком больших усилий и имеет несколько плюсов. Альтернатива, заявленная Microsoft в документе здесь заключается в том, что вы должны внести в белый список IP-адреса пользователей, имеющих доступ к системе, и если вы не можете гарантировать IP-адреса пользователей, вам необходимо разрешить все IP-адреса, что, как вы указали, представляет собой угрозу безопасности. - person Connor Dickson; 19.08.2020
comment
Наконец, лучшим решением стал выбор настраиваемого VPN-сервера с общедоступным IP-адресом. Подключение защищено правилами брандмауэра и VPN-подключением. Насколько я надеюсь ... - person Pavel Kohout; 21.08.2020