Блог

Главная - Вопросы по программированию - Настройки брандмауэра Azure MS SQL (клиенты Azure MS SQL и WinForms в общедоступной сети с динамическим IP) КАКОВ наилучший безопасный подход?

Настройки брандмауэра Azure MS SQL (клиенты Azure MS SQL и WinForms в общедоступной сети с динамическим IP) КАКОВ наилучший безопасный подход?

#azure #azure-sql-database #azure-security

#azure #azure-sql-database #azure-безопасность

Вопрос:

Я заканчиваю работу над настольным приложением (Winforms). Azure MS SQL на стороне сервера и клиентах WinForms. Таким образом, они могут поступать с непредсказуемого IP … Поэтому невозможно установить новое правило брандмауэра Azure для каждого перемещения клиента по сети… Мой вопрос, каков наилучший подход к обеспечению безопасного доступа со стороны клиентов и как установить правила брандмауэра Azure… (клиент использует логин SQL server)

на некоторых форумах люди рекомендуют обходить брандмауэр Azure, устанавливая правило 0.0.0.0-255.255.255.255, но мне это не кажется хорошим безопасным решением)

возможные решения, которые я рассматриваю: a) Настройте VPN в AZURE для клиента (любой совет по хорошему руководству и как ограничить клиентский трафик только для AZURE = клиент, просматривающий youtube, не потратит мой бюджет azure?

б) какой-либо сторонний VPN? (большинство провайдеров VPN предлагают не постоянный IP, а динамический диапазон)

c) другой способ

Спасибо! Павел

Ответ №1:

Я бы предложил архитектуру клиент, сервер, база данных. Как правило, вы обычно не хотите, чтобы ваши клиенты подключались напрямую к базе данных. Если вы настроите WebAPI для связи с базой данных и разрешите своим клиентам взаимодействовать с этим API, это будет намного лучший подход

Комментарии:

1. Я знаю об этом способе, но я хотел бы свести к минимуму работу по программированию … приложение почти готово : (Я предпочитаю решение «настройка сети»…

2. Это действительно зависит от вашего варианта использования, если вы хотите потребовать, чтобы все пользователи подключались к вашей пользовательской VPN, прежде чем они смогут использовать ваше приложение, вы можете это сделать. Вы могли бы попробовать написать простой прокси-API для БД, это не потребовало бы слишком много усилий и имеет множество плюсов. Альтернатива, как указано Корпорацией Майкрософт в здесь документе, заключается в том, что вы должны внести в белый список IP-адреса пользователей, получающих доступ к системе, и если вы не можете гарантировать IP-адреса пользователей, вам нужно разрешить все IP-адреса, которые, как вы заявили, представляют угрозу безопасности.

3. Наконец, лучшим решением был выбран пользовательский VPN-сервер с общедоступным IP. Соединение защищено правилами брандмауэра и подключением VPN. Надеюсь, достаточно далеко…