У меня есть виртуальная машина с SQL в облаке. Обычно я настраиваю входящие правила для портов SQL в Azure и на брандмауэре виртуальной машины, но у моих клиентов нет статических IP-адресов для использования в правилах.
Как я могу защитить свою виртуальную машину, если я точно не знаю, какие IP-адреса будут подключаться? Я могу использовать нестандартные порты и надежные пароли (аутентификация sql), но это кажется недостаточно безопасным.
Следует ли мне пытаться получить диапазон CIDR от каждого интернет-провайдера клиента?
Это довольно хороший вариант использования хоста-бастиона:
https://en.wikipedia.org/wiki/Bastion_host
Существует множество различных реализаций, но в основном вы позволяете клиентам подключаться к вашему хосту-бастиону, а оттуда вы разрешаете соединения только с вашим SQL-сервером или RDP, или ssh, или с тем, что вам нужно.
В этом случае вы должны разрешить ТОЛЬКО трафик SQL, входящий на ваш сервер БД с вашего хоста-бастиона. Затем вы можете контролировать входящие соединения на ваш хост-бастион, как вам удобно. Это также позволяет вам единую точку регистрировать соединения, проходящие через него. Это может быть невероятно полезно, особенно если вы отправляете журналы хоста бастиона в любую систему, которую вы используете.
Я думаю, что хорошим решением будет P2S VPN, от виртуальной сети Azure до клиентской стороны.