Sécurité | SQL Server activé par Azure Arc

Cet article décrit l’architecture de sécurité des composants de SQL Server activés par Azure Arc.

Pour plus d’informations sur SQL Server activé par Azure Arc, consultez Vue d’ensemble | SQL Server activé par Azure Arc.

Agent et extension

Les composants logiciels les plus importants pour SQL Server activé par Azure Arc sont les suivants :

• Azure Connected Machine Agent
• Extension Azure pour SQL Server

L’agent Azure Connected Machine connecte les serveurs à Azure. L’extension Azure pour SQL Server envoie des données à Azure sur SQL Server et récupère des commandes à partir d’Azure via un canal de communication Azure Relay pour agir sur une instance SQL Server. Ensemble, l’agent et l’extension vous permettent de gérer vos instances et bases de données situées en dehors d’Azure. Une instance de SQL Server avec l’agent et l’extension est activée par Azure Arc.

L’agent et l’extension se connectent en toute sécurité à Azure pour établir des canaux de communication avec les services Azure gérés par Microsoft. L’agent peut communiquer par les moyens suivants :

• Un serveur proxy HTTPS configurable sur Azure Express Route
• Azure Private Link
• Internet avec ou sans serveur proxy HTTPS

Pour plus d’informations, consultez la documentation de l’agent Connected Machine :

• Vue d’ensemble
• Configuration requise pour le réseau
• Prérequis

Pour la collecte de données et la création de rapports, certains des services nécessitent l’extension Azure Monitoring Agent (AMA). L’extension doit être connectée à Azure Log Analytics. Les deux services nécessitant l’AMA sont les suivants :

• Microsoft Defender pour le cloud
• Évaluation des meilleures pratiques avec SQL Server

L’extension Azure pour SQL Server vous permet de découvrir les modifications de configuration de l’hôte ou du système d’exploitation (par exemple, cluster de basculement Windows Server) pour toutes les instances SQL Server avec un bon niveau de précision. Par exemple :

• Instances du moteur SQL Server sur un ordinateur hôte
• Bases de données au sein d'une instance SQL Server
• Groupes de disponibilité

L’extension Azure pour SQL Server vous permet de gérer, de sécuriser et de régir les instances SQL Server n’importe où, en collectant des données pour des tâches telles que l’inventaire, la surveillance, etc. Pour obtenir la liste complète des données collectées, passez en revue la collection de données et les rapports de données.

Le diagramme suivant illustre l’architecture de SQL Server avec Azure Arc.

Components

Une instance de SQL Server activée par Azure Arc a des composants et des services intégrés qui s’exécutent sur votre serveur et aident à se connecter à Azure. En plus des services de l’agent, une instance activée contient les composants répertoriés dans cette section.

Fournisseurs de ressources

Un fournisseur de ressources (RP) expose un ensemble d'opérations REST qui permettent la fonctionnalité d'un service Azure spécifique via l'API ARM.

Pour que l’extension Azure pour SQL Server fonctionne, inscrivez les 2 RP suivants :

• Microsoft.HybridCompute RP : gère le cycle de vie des ressources serveur avec Azure Arc, notamment les installations d’extension, l’exécution de commandes de l’ordinateur connecté et effectue d’autres tâches de gestion.
• Microsoft.AzureArcData RP : gère le cycle de vie de SQL Server activé par les ressources Azure Arc en fonction des données d’inventaire et d’utilisation qu’il reçoit de l’extension Azure pour SQL Server.

Service de traitement des données Azure Arc

Azure Arc Data Processing Service (DPS) est un service Azure qui reçoit les données relatives à SQL Server fournies par l’extension Azure pour SQL Server sur un serveur connecté à Arc. DPS effectue les tâches suivantes :

• Traite les données d’inventaire envoyées au point de terminaison régional par l’extension Azure pour SQL Server et met à jour les ressources SqlServerInstance en conséquence via l’API ARM et le RP Microsoft.AzureArcData.
• Traite les données d’utilisation envoyées au point de terminaison régional par l’extension Azure pour SQL Server et envoie les demandes de facturation au service de commerce Azure.
• Surveille les ressources de licence physique principale SQL Server créées par l’utilisateur dans ARM et envoie les demandes de facturation au service de commerce Azure en fonction de l’état de la licence.

SQL Server activé par Azure Arc nécessite une connexion sortante à partir de l’extension Azure pour SQL Server dans l’agent vers DPS (port TCP *.<region>.arcdataservices.com 443). Pour les exigences spécifiques en matière de communication, consultez Connexion au service de traitement de données Azure Arc.

Système de déploiement

Le déployeur démarre l’extension Azure pour SQL Server lors de l’installation initiale et des mises à jour de configuration.

Extension Azure pour le service SQL Server

L’extension Azure pour le service SQL Server s’exécute en arrière-plan sur le serveur hôte. La configuration du service dépend du système d’exploitation :

• Système d’exploitation : Windows

  • Nom du service : Microsoft SQL Server Extension Service
  • Nom complet : Microsoft SQL Server Extension Service
  • Mode d'exécution : Système local
  • Emplacement du journal : C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

• Système d’exploitation : Linux

  • Nom du service : SqlServerExtension
  • Nom complet : Azure SQL Server Extension Service
  • Mode d'exécution : Racine
  • Emplacement du journal : /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Fonctionnalités

Une instance de SQL Server activée par Azure Arc effectue les tâches suivantes :

• Inventaire de toutes les instances, bases de données et groupes de disponibilité SQL Server

  Toutes les heures, l’extension Azure pour le service SQL Server charge un inventaire dans le service de traitement des données. L’inventaire inclut des instances SQL Server, des groupes de disponibilité Always On et des métadonnées de base de données.

• Chargement des données d’utilisation

  Toutes les 12 heures, l’extension Azure pour le service SQL Server charge les données associées à l’utilisation dans le service de traitement des données.

Sécurité du serveur avec Arc

Pour plus d’informations sur l’installation, la gestion et la configuration des serveurs avec Azure Arc, consultez Vue d’ensemble de la sécurité pour les serveurs avec Azure Arc.

Sécurité dans SQL Server activé par Azure Arc

Composants de l'extension Azure pour SQL Server

L’extension Azure pour SQL Server se compose de deux éléments principaux, le déployeur et le service d’extension.

Le déployeur

Le déployeur démarre l’extension pendant l’installation initiale et lorsque de nouvelles instances SQL Server sont installées ou que les fonctionnalités sont activées/désactivées. Pendant l’installation, la mise à jour ou la désinstallation, l’agent Arc présent sur le serveur hôte exécute le déployeur pour effectuer certaines actions :

• Installer
• Activer
• Mise à jour
• Désactiver
• Désinstaller l’interface

Le deployer s’exécute dans le contexte du service d’agent Azure Connected Machine. Il s’exécute donc en tant que Local System.

Le service d’extension

Le service d’extension collecte les métadonnées d’inventaire et de base de données (Windows uniquement) et les charge sur Azure toutes les heures. Il s’exécute en tant que Local System sur Windows ou en tant que racine sur Linux. Le service d’extension fournit différentes fonctionnalités dans le cadre du service SQL Server activé pour Arc.

Exécution avec les privilèges minimum

Vous pouvez configurer le service d’extension pour qu’il s’exécute avec des privilèges minimum. Pour plus d’informations sur la configuration du mode privilège minimum, passez en revue Activer le privilège minimum.

Lorsque le service d’extension est configuré avec les privilèges minimum, il s’exécute en tant que compte de service NT Service\SQLServerExtension.

Le compte NT Service\SQLServerExtension est un compte de service Windows local :

• Créé et géré par l’extension Azure pour le déployeur SQL Server lorsque l’option des privilèges minimum est activée.
• Autorisations et privilèges minimum requis accordés pour exécuter l’extension Azure pour le service SQL Server sur le système d’exploitation Windows. Il n’a accès qu’aux dossiers et annuaires utilisés pour lire et stocker la configuration ou écrire des journaux d’activité.
• Autorisation accordée pour se connecter et envoyer des requêtes dans SQL Server avec une nouvelle connexion spécifique à cette extension Azure pour le compte du service SQL Server disposant des autorisations minimales requises. Les autorisations minimales dépendent des fonctionnalités activées.
• Mise à jour lorsque les autorisations ne sont plus nécessaires. Par exemple, les autorisations sont révoquées lorsque vous désactivez une fonctionnalité, désactivez la configuration des privilèges minimum ou désinstallez l’extension Azure pour SQL Server. La révocation garantit qu’il ne subsiste aucune autorisation une fois qu’elles ne sont plus requises.

Pour obtenir la liste complète des autorisations, consultez Configurer les comptes de service Windows et les autorisations.

Extension à la communication cloud

SQL Server activé pour Azure Arc nécessite une connexion sortante au service de traitement des données Azure Arc.

Chaque serveur physique ou virtuel doit communiquer avec Azure. Plus précisément, ils nécessitent une connectivité à :

• URL : *.<region>.arcdataservices.com
  • Pour les régions de Virginie du gouvernement des États-Unis, utilisez *.<region>.arcdataservices.azure.us.
• Port : 443
• Direction : sortant
• Fournisseur d’authentification : Microsoft Entra ID

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour obtenir la liste des régions prises en charge, consultez Régions Azure prises en charge.

Pour obtenir la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table

Les aspects sécuritaires au niveau des fonctionnalités

La configuration de sécurité peut prendre différents aspects selon les fonctionnalités et services concernés. Cette section décrit les aspects sécuritaires pour les fonctionnalités suivantes :

• Activité d'audit
• Évaluation des meilleures pratiques
• Sauvegardes automatiques
• Microsoft Defender pour le cloud
• Mises à jour automatiques
• Superviser
• Microsoft Entra ID
• Microsoft Purview

Activité d’audit

Vous pouvez accéder aux journaux d’activité à partir du menu de service pour la ressource SQL Server activé par Azure Arc dans le portail Azure. Le journal d’activité capture les informations d’audit et l’historique des modifications pour les ressources SQL Server avec Arc dans Azure Resource Manager. Pour plus d’informations, consultez Utiliser des journaux d’activité avec SQL Server activé par Azure Arc.

Évaluation des meilleures pratiques

L’évaluation des meilleures pratiques présente les exigences suivantes :

• Vérifiez que votre instance de SQL Server Windows est connectée à Azure. Suivez les instructions dans Connecter automatiquement votre SQL Server à Azure Arc.

  Note

  L’évaluation des meilleures pratiques est actuellement limitée à SQL Server s’exécutant sur des machines Windows. L’évaluation ne s’applique pas actuellement à SQL Server sur les machines Linux.

• Si le serveur héberge une seule instance SQL Server, assurez-vous que la version de l’extension Azure pour SQL Server (WindowsAgent.SqlServer) est 1.1.2202.47 ou supérieure.

  Si le serveur héberge plusieurs instances SQL Server, assurez-vous que la version de l’extension Azure pour SQL Server (WindowsAgent.SqlServer) est supérieure à 1.1.2231.59.

  Pour vérifier la version de l’extension Azure pour SQL Server et la mettre à jour vers la dernière version, consultez Mettre à niveau les extensions.

• Si le serveur héberge une instance nommée de SQL Server, le service SQL Server Browser doit être en cours d’exécution.

• Un espace de travail Log Analytics doit se trouver dans le même abonnement que votre ressource SQL Server avec Azure Arc.

• L’utilisateur qui configure l’évaluation des meilleures pratiques SQL Server doit disposer des autorisations suivantes :

  • Rôle Contributeur Log Analytics sur le groupe de ressources ou l’abonnement de l’espace de travail Log Analytics.
  • Rôle Administrateur des ressources Azure Connected Machine sur le groupe de ressources ou l’abonnement de l’instance SQL Server avec Arc.
  • Rôle Contributeur de surveillance sur le groupe de ressources ou l'abonnement de l'espace de travail Log Analytics et sur le groupe de ressources ou l'abonnement de la machine avec Azure Arc.

  Les utilisateurs affectés à des rôles intégrés tels que Contributeur ou Propriétaire disposent d’autorisations suffisantes. Pour plus d’informations, consultez Attribuer des rôles Azure à l’aide du portail Azure.

• Voici les autorisations minimales nécessaires pour accéder au rapport d’évaluation et le lire :

  • Rôle Lecteur sur le groupe de ressources ou l’abonnement de la ressource SQL Server - Azure Arc.
  • Lecteur Log Analytics.
  • Lecteur de surveillance sur le groupe de ressources ou l'abonnement de l’espace de travail Log Analytics.

  Voici d’autres exigences pour accéder au rapport d’évaluation ou le lire :

  • La connexion SQL Server intégrée NT AUTHORITY\SYSTEM doit être membre du rôle serveur SQL Server sysadmin pour toutes les instances SQL Server s’exécutant sur l’ordinateur.

  • Si votre pare-feu ou votre serveur proxy limite la connectivité sortante, assurez-vous qu’il autorise Azure Arc sur le port TCP 443 pour ces URL :

    • global.handler.control.monitor.azure.com
    • *.handler.control.monitor.azure.com
    • <log-analytics-workspace-id>.ods.opinsights.azure.com
    • *.ingest.monitor.azure.com

• Votre instance SQL Server doit activer TCP/IP.

• L'évaluation des meilleures pratiques SQL Server utilise l’agent Azure Monitor (AMA) pour collecter et analyser les données de vos instances SQL Server. Si vous avez installé AMA sur vos instances SQL Server avant d’activer l’évaluation des meilleures pratiques, l’évaluation utilise les mêmes paramètres d’agent AMA et de proxy. Vous n’avez pas besoin de faire autre chose.

  Si AMA n’est pas installé sur vos instances SQL Server, l’évaluation des meilleures pratiques l’installe pour vous. L’évaluation des meilleures pratiques ne configure pas automatiquement les paramètres de proxy pour AMA. Vous devez redéployer AMA avec les paramètres de proxy souhaités.

  Pour plus d'informations sur les paramètres du réseau AMA et du proxy, consultez Configuration du proxy.

• Si vous utilisez la stratégie Azure Configurer les serveurs avec Arc avec l’extension SQL Server installée pour activer ou désactiver l’évaluation des meilleures pratiques SQL pour activer l’évaluation à l’échelle, vous devez créer une affectation Azure Policy. Votre abonnement nécessite l’attribution de rôle Contributeur de stratégie de ressources pour l’étendue que vous ciblez. L’étendue peut être un abonnement ou un groupe de ressources.

  Si vous prévoyez de créer une nouvelle identité managée affectée par l'utilisateur, vous devez également disposer du rôle Administrateur de l'accès utilisateur dans l'abonnement.

Pour plus d'informations, consultez Configuration de l’évaluation des meilleures pratiques pour SQL Server activé par Azure Arc.

Sauvegardes automatiques

L’extension Azure pour SQL Server peut sauvegarder automatiquement des bases de données système et utilisateur sur une instance de SQL Server activée par Azure Arc. Le service de sauvegarde dans l’extension Azure pour SQL Server utilise le compte NT AUTHORITY\SYSTEM pour effectuer les sauvegardes. Si vous utilisez SQL Server activé par Azure Arc avec les privilèges minimum, c'est un compte Windows local (NT Service\SQLServerExtension) qui effectue la sauvegarde.

Si vous utilisez l'extension Azure pour SQL Server version 1.1.2504.99 ou ultérieure, les autorisations nécessaires sont accordées automatiquement à NT AUTHORITY\SYSTEM. Il n'est pas nécessaire d'attribuer des autorisations manuellement.

Si vous n’utilisez pas la configuration des privilèges minimum, la connexion intégrée NT AUTHORITY\SYSTEM SQL Server doit être membre des éléments suivants :

• Rôle serveur dbcreator au niveau du serveur
• Rôle db_backupoperator dans master, model, msdb et chaque base de données utilisateur, à l’exclusion de tempdb.

Les sauvegardes automatisées sont désactivées par défaut. Une fois les sauvegardes automatisées configurées, l'extension Azure pour le service SQL Server lance une sauvegarde vers l'emplacement de sauvegarde par défaut. Les sauvegardes sont des sauvegardes natives de SQL Server, de sorte que tout l'historique des sauvegardes est disponible dans les tables liées aux sauvegardes dans la base de données msdb.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud nécessite la configuration de l'agent Azure Monitoring sur le serveur avec Arc.

Pour plus d’informations, consultez Microsoft Defender pour le cloud.

Mises à jour automatiques

Les mises à jour automatiques remplacent les paramètres microsoft Update préconfigurés ou basés sur une stratégie, configurés sur le serveur avec Arc.

• Seules les mises à jour Windows et SQL Server Importantes et Critiques sont installées. Les autres mises à jour de SQL Server, telles que les Service Packs, les mises à jour cumulatives ou d'autres mises à jour qui ne sont pas marquées comme Importantes ou Critiques, doivent être installées manuellement ou par d'autres moyens. Pour plus d’informations sur le système d’évaluation des mises à jour de sécurité, consultez Security Update Severity Rating System (microsoft.com)
• Fonctionne au niveau du système d’exploitation hôte et s’applique à toutes les instances SQL Server installées
• Actuellement, fonctionne uniquement sur les hôtes Windows. Configure Windows Update/Microsoft Update, le service qui met à jour les instances de SQL Server.

Pour plus d’informations, consultez Configurer les mises à jour automatiques pour SQL Server activé par Azure Arc.

Écran

Vous pouvez surveiller SQL Server activé par Azure Arc à l'aide d'un tableau de bord des performances dans le portail Azure. Les indicateurs de performance sont automatiquement collectés à partir de jeux de données de la vue de gestion dynamique (DMV) sur les instances SQL Server avec Azure Arc qui sont éligibles et envoyées au pipeline de télémétrie Azure pour un traitement en quasi-temps réel. La surveillance est automatique, en supposant que toutes les conditions préalables sont remplies.

Vous devez respecter certaines conditions préalables, notamment les suivantes :

• Le serveur est connecté à telemetry.<region>.arcdataservices.com Pour plus d'informations, voir Configuration réseau requise.
• Le type de licence sur l’instance SQL Server est défini sur License with Software Assurance ou Pay-as-you-go.

Pour afficher le tableau de bord des performances dans le portail Azure, vous devez être titulaire d'un rôle Azure auquel l'action Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ a été attribuée. Pour plus de facilité, vous pouvez utiliser le rôle intégré Administrateurs Bases de données Azure Hybrid - Rôle de service en lecture seule, qui inclut cette action. Pour plus d’informations, consultez Rôles intégrés Azure.

Pour plus d’informations sur la fonctionnalité de tableau de bord de performances, notamment sur la façon d’activer/désactiver la collecte de données et les données collectées pour cette fonctionnalité, consultez Surveillance dans le portail Azure.

Microsoft Entra ID (système d'identification de Microsoft)

Microsoft Entra ID est un service de gestion des identités et des accès basé sur le cloud qui permet d'accéder à des ressources externes. L’authentification Microsoft Entra offre une sécurité considérablement renforcée par rapport à l’authentification traditionnelle basée sur le nom d’utilisateur et le mot de passe. SQL Server activé par Azure Arc utilise Microsoft Entra ID pour l’authentification , introduit dans SQL Server 2022 (16.x). Vous profitez ainsi d’une solution centralisée de gestion des identités et des accès à SQL Server.

SQL Server activé par Azure Arc stocke le certificat pour Microsoft Entra ID dans Azure Key Vault. Pour plus d'informations, consultez :

• Effectuer une rotation des certificats
• Authentification Microsoft Entra pour SQL Server.
• Tutoriel : Configurer l'authentification Microsoft Entra pour SQL Server

Pour configurer Microsoft Entra ID, suivez les instructions à la rubrique Tutoriel : Configurer l’authentification Microsoft Entra pour SQL Server.

Microsoft Purview

Exigences clés pour utiliser Purview :

• Compte Azure avec un abonnement actif.
• Un compte Microsoft Purview actif.
• Pour inscrire une source et la gérer dans le portail de gouvernance Microsoft Purview, vous avez besoin des autorisations Administrateur de source de données et Lecteur de données. Consultez Contrôle d’accès dans le portail de gouvernance Microsoft Purview pour plus de détails.
• Le dernier runtime d’intégration auto-hébergé. Pour plus d’informations, consultez Créer et gérer un runtime d’intégration auto-hébergé.
• Pour Azure RBAC, vous devez activer Microsoft Entra ID et Azure Key Vault.

Meilleures pratiques

Implémentez les configurations suivantes pour vous conformer aux meilleures pratiques actuelles de sécurisation des instances de SQL Server avec Azure Arc :

• Activez le mode privilège minimum.
• Exécutez l’évaluation des meilleures pratiques SQL. Passez en revue l’évaluation et appliquez les recommandations.
• Activez l’authentification Microsoft Entra.
• Activez Microsoft Defender pour le cloud et résolvez les problèmes signalés par Defender pour SQL.
• N’activez pas l’authentification SQL. Par défaut, cette propriété est désactivée. Prenez connaissance des meilleures pratiques en matière de sécurité pour SQL Server.

Contenu associé

• Notions de base de la sécurité Azure
• Vue d’ensemble de la sécurité pour les serveurs avec Azure Arc