由于Azure SQL只有DNS地址而且没有IP,因此我们无法在Azure应用VM上强制执行ACL / NSG,因为它需要与我们的Azure SQL进行通信。 ACL的/ NSG只有IP范围限制..没有DNS限制..
因此,潜在地,一名设法潜入我们的Azure应用虚拟机的黑客可以将其被盗数据推送到他想要的IP,只要他在1433端口出去。
无论如何,我们可以限制从Azure VM到Azure SQL的出站通信吗?
答案 0 :(得分:1)
您是对的,您不能将Azure SQL数据库放在虚拟网络(VNet)中。此外,您只能配置NSG出站安全规则以使用限制与Internet,Azure负载均衡器或Azure Traffic Manager端点通信的标记。因此,遗憾的是,目前无法将带有NSG的Azure VM限制为只能通过端口1433与特定的Azure SQL数据库进行通信。
但是,另一方面,您可以将Azure SQL数据库防火墙规则限制为仅允许Azure VM通过在SQL数据库防火墙规则中指定其IP地址来连接到数据库。