Я разработчик по профессии, поэтому сетевая безопасность не входит в мою компетенцию. Однако решение проблем - это моя компетенция, и у меня есть одна, с которой мне нужна помощь.
Кроме того, простите меня, если я получу неверные технические термины. Я могу хорошо говорить о разработке, я не говорю о безопасности сети.
Моя компания использует виртуальную машину Azure под управлением Windows Server 2012 R2 Datacenter. На сервере работают экземпляры как SQL Server, так и Oracle (не знаю номера версий).
В настоящее время, если я хочу подключиться к любому из этих экземпляров базы данных, мне нужно подключить RDP к серверу Windows, открыть SSMS или SQL Developerи подключитесь к localhost.
Я хотел бы иметь возможность подключаться к серверам баз данных через клиентов баз данных, установленных на моем локальном компьютере.
Я не хочу использовать RDP, так как это означает, что мы должны использовать один слот RDP.
Я думаю, что причина, по которой мы используем решение RDP, заключается в том, что тот, кто настраивал сервер, не знал, как настроить брандмауэр, чтобы мы могли делать то, что нам нужно.
Сервер не полностью закрыт от Интернета. Очевидно, что порты RDP открыты, и мы также можем публиковать на нем веб-приложения через Visual Studio. И на нем есть веб-сайты с выходом в Интернет. Кажется, это множество отличных векторов атаки.
Насколько плохо, если порты SQL Server и Oracle открыты для Интернета?
Как нам настроить сервер, чтобы разработчики могли подключаться к базам данных через свои локальные машины?
VPN - хорошее решение? Я бы не хотел идти по этому пути, потому что каждый VPN-клиент, с которым я когда-либо работал, причиняет боль. И мне не хотелось бы причинять ненужную боль своим товарищам по разработке.
Можем ли мы настроить брандмауэр сервера на белый список входящих подключений при портировании БД с офисного IP?
Как нам настроить сервер, чтобы разработчики могли подключаться к базам данных через свои локальные машины?
Находятся ли виртуальные машины в виртуальной сети? Я предполагаю, что да, если это так, но вы не хотите использовать VPN типа "сеть-сеть", рассматривали ли вы возможность настройки VPN-соединений типа "точка-сеть" с компьютеров разработчиков? Соединения типа "точка-сеть" легко настроить. Microsoft даже позволяет вам загрузить настроенный VPN-клиент, чтобы у вас не было проблем с настройкой этой стороны. у него также есть дополнительное преимущество, заключающееся в том, что вам не нужно открывать порты SQL в Интернет.
вы можете найти подробности здесь:
или посмотрите отличное видео здесь:
https://www.youtube.com/watch?v=g8m2MAhO_I8
Можем ли мы настроить брандмауэр сервера на белый список входящих подключений при портировании БД с офисного IP?
Да, если это виртуальные машины ASM, вы можете настроить списки ACL конечных точек для ограничения доступа к определенным IP-адресам и диапазонам, а для виртуальных машин ASM и ARM вы можете настроить группы безопасности сети (NSG), которые также могут ограничивать доступ на основе IP-адресов и портов.
Надеюсь это поможет.
How bad is it to have SQL Server and Oracle ports open to the Internet? - Что ж, это в значительной степени основано на мнениях, но достаточно сказать, что у вас будет два дополнительных вектора атаки, о которых нужно беспокоиться. Насколько хорошо вы разбираетесь в защите SQL Server и Oracle?
How should we configure the server to allow developers to connect to the databases via their local machines? - Если вам необходимо это сделать, вы захотите настроить свою Azure NSG (группу сетевой безопасности), чтобы разрешить подключения к SQL Server и Oracle. ТОЛЬКО с вашего конкретного IP-адреса или IP-адресов, то есть только с общедоступного IP-адреса, с которого исходит ваш офисный трафик. Это фактически ограничит доступ к SQL Server и Oracle только теми соединениями, которые исходят из вашего офиса.