MS suggests这些方法允许Power BI Desktop访问Azure数据库
a)打开所有Azure IP范围到Azure SQL的入站连接
b)打开与某些IP的入站连接
c)使用企业网关,即使您位于Azure且不在本地也是如此。 问题:这和真正的VPN一样安全吗?意味着无法将任何数据发送到DB Server端口?
d)是否没有像使用mfa的反向代理或应用程序防火墙那样有效的Azure-box-service服务?
e)Azure应用代理是解决方案吗?
最佳安全实践是什么? a)和b)让我担心,因为庞大的Azure未知用户组不需要访问权限。并且因为无法保护数据库免受IP欺骗。
对于c),d),e)我没有从MS中找到关于安全风险的明确报价。
感谢您澄清和评论我的担忧。
答案 0 :(得分:1)
在Power BI Desktop中,选项b) opening inbound connections to certain IPs是典型的方法。通常,您的组织会使用一组固定的小型公共IP来进行出站流量,并且可以将这些IP添加到Azure SQL Server的防火墙中。
IP欺骗不是问题,因为Azure永远不会将返回数据包路由到欺骗者,即使它们以某种方式一直到达SQL Server。
c) use an Enterprise Gateway问题:这和真实的VPN一样安全吗?意味着无法将任何数据发送到DB Server端口?
是的。 Power BI Gateway服务器在私有Azure VNet上运行,SQL Server的防火墙为configured to allow connections from this VNet。但是Power BI Desktop无法使用网关直接连接。这只是从Power BI Service连接到您的数据源的解决方案。因此,如果发布共享的数据集,则可以使用Power BI桌面连接到该数据库。但是您不能通过网关直接从Power BI Desktop连接到Azure SQL数据库。因此,对于在Power BI桌面中设计Power BI数据集(模型)的用户,您仍然需要防火墙规则。
Azure-box-service中是否没有像mfa那样的反向代理或应用程序防火墙起作用的地方?
不。这不是HTTP连接,因此没有反向代理。尽管您可以将Azure SQL数据库配置为允许Azure Active Directory帐户,然后使用conditional access策略强制执行MFA。这些内置于Azure SQL数据库和Azure Active Directory中,并且是防火墙 之后的安全层。