我正在设置一个在Azure上运行但需要访问本地SQL Server的系统。我已经按照article中的详细说明构建了它。这要求我打开端口1433到世界,看起来像一个严重的安全问题。有没有办法打开该端口并仍然保持安全(我知道我可以拥有复杂的用户ID和密码以及所有内容,但有更好的方法来保护SQL Server)
答案 0 :(得分:2)
默认情况下,通过IPSEC协议
,您的本地数据库和Windows Azure Connect之间的连接将是安全的“Windows Azure Connect使用行业标准的端到端IPSEC 协议,用于在本地机器之间建立安全连接 和云中的角色。与传统的虚拟专用网络不同 (VPN),在网关级别建立安全连接,Windows Azure Connect通过建立安全性来提供更精细的控制 机器和角色级别的连接。“
您的数据库不会公开,只有Azure Connect上的VM才能看到它。
您的传统防火墙和本地安全策略和过程仍然会在您的企业环境中隐藏您的数据库,您所做的只是让Windows Azure VM(角色)能够查看它。
答案 1 :(得分:2)
我看到有关@ user728584关于打开端口1433的答案的评论讨论。端口1433与Azure Connect无关,Azure Connect本质上是本地机箱和Windows Azure角色实例集合之间的VPN隧道。 Azure Connect要求在要添加到Connect Group的任何本地服务器上安装代理,并且不需要打开入站端口。在您的情况下,您将代理添加到SQL Server框中,该框将成为连接组的一部分,可直接从Windows Azure角色实例访问(对于您添加到组中的角色)。然后,Connect Agent建立隧道。
Connect Agent有一个特殊的密钥,为您生成,使其独一无二。但即使有人以某种方式获得了特定Connect Agent的安装程序,它也无济于事,因为您仍然需要将该节点添加到Connect Group。所以,这是一个安全的设置。