Udostępnij przez

Zabezpieczenia | Program SQL Server włączony przez usługę Azure Arc

W tym artykule opisano architekturę zabezpieczeń składników programu SQL Server z obsługą usługi Azure Arc.

Aby zapoznać się z informacjami na temat programu SQL Server włączonego przez usługę Azure Arc, zobacz Omówienie | Program SQL Server włączony przez usługę Azure Arc.

Agent i rozszerzenie

Najważniejsze składniki oprogramowania dla programu SQL Server włączone przez usługę Azure Arc to:

  • Agent połączonej maszyny platformy Azure
  • Rozszerzenie platformy Azure dla programu SQL Server

Agent usługi Azure Connected Machine łączy serwery z platformą Azure. Rozszerzenie Azure dla programu SQL Server wysyła dane do Azure dotyczące programu SQL Server i pobiera polecenia z Azure za pośrednictwem kanału komunikacyjnego Azure Relay, aby podjąć działania dotyczące instancji programu SQL Server. Razem agent i rozszerzenie umożliwiają zarządzanie wystąpieniami i bazami danych znajdującymi się w dowolnym miejscu poza platformą Azure. Wystąpienie programu SQL Server z agentem i rozszerzenie jest włączone przez usługę Azure Arc.

Agent i rozszerzenie bezpiecznie łączą się z platformą Azure w celu ustanowienia kanałów komunikacyjnych z usługami platformy Azure zarządzanymi przez firmę Microsoft. Agent może komunikować się za pośrednictwem:

  • Konfigurowalny serwer proxy HTTPS za pośrednictwem usługi Azure Express Route
  • Azure Private Link
  • Internet z serwerem proxy HTTPS lub bez go

Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją agenta połączonej maszyny:

W przypadku zbierania i raportowania danych niektóre usługi wymagają rozszerzenia agenta monitorowania platformy Azure (AMA). Rozszerzenie musi być połączone z usługą Azure Log Analytics. Dwie usługi wymagające usługi AMA to:

  • Microsoft Defender dla Chmury
  • Ocena najlepszych rozwiązań programu SQL Server

Rozszerzenie platformy Azure dla programu SQL Server umożliwia odnajdywanie zmian konfiguracji hosta lub systemu operacyjnego (na przykład klastra trybu failover systemu Windows Server) dla wszystkich wystąpień programu SQL Server na poziomie szczegółowym. Przykład:

  • Wystąpienia silnika SQL Server na maszynie hostującej
  • Bazy danych w instancji SQL Server
  • Grupy dostępności

Rozszerzenie platformy Azure dla programu SQL Server umożliwia centralne zarządzanie wystąpieniami programu SQL Server i zarządzanie nimi w dowolnym miejscu, zbierając dane dla zadań, takich jak spis, monitorowanie i inne zadania. Aby uzyskać pełną listę zebranych danych, zapoznaj się z tematem Zbieranie danych i raportowanie.

Na poniższym diagramie przedstawiono architekturę programu SQL Server z obsługą usługi Azure Arc.

Diagram logiczny programu SQL Server z obsługą usługi Azure Arc.

Uwaga / Notatka

Aby pobrać ten diagram architektury w wysokiej rozdzielczości, odwiedź stronę Jumpstart Gems.

Komponenty

Instancja SQL Server uruchomiona przez Azure Arc ma zintegrowane składniki i usługi, które działają na Twoim serwerze i pomagają w nawiązaniu połączenia z platformą Azure. Oprócz usług agenta, włączona instancja zawiera składniki wymienione w tej sekcji.

Dostawcy zasobów

Dostawca zasobów (RP) udostępnia zestaw operacji REST, które umożliwiają korzystanie z funkcji dla określonej usługi platformy Azure za pośrednictwem interfejsu API ARM.

Aby rozszerzenie platformy Azure dla programu SQL Server działało, zarejestruj następujące 2 adresy IP:

  • Microsoft.HybridCompute RP: Zarządza cyklem życia zasobów serwera z obsługą usługi Azure Arc, w tym instalacji rozszerzeń, wykonywania poleceń połączonej maszyny i wykonuje inne zadania zarządzania.
  • Microsoft.AzureArcData RP: Zarządza cyklem życia programu SQL Server zintegrowanego z zasobami Azure Arc na podstawie danych inwentaryzacji i użycia otrzymywanych z rozszerzenia platformy Azure dla programu SQL Server.

Usługa przetwarzania danych usługi Azure Arc

Azure Arc Data Processing Service (DPS) to usługa platformy Azure, która odbiera dane dotyczące programu SQL Server dostarczonego przez rozszerzenie platformy Azure dla programu SQL Server na serwerze połączonym z usługą Arc. DPS wykonuje następujące zadania:

  • Przetwarza dane inwentaryzacyjne wysyłane do regionalnego punktu końcowego przez rozszerzenie Azure dla SQL Server i odpowiednio aktualizuje zasoby SqlServerInstance za pośrednictwem ARM API oraz Microsoft.AzureArcData RP.
  • Przetwarza dane użycia wysyłane do regionalnego punktu końcowego przez rozszerzenie platformy Azure dla programu SQL Server i przesyła żądania rozliczeń do usługi Handlu Azure.
  • Monitoruje zasoby licencji fizycznych programu SQL Server utworzone przez użytkownika w usłudze ARM i przesyła żądania rozliczeń do usługi Handlu Azure na podstawie stanu licencji.

Serwer SQL obsługiwany przez Azure Arc wymaga połączenia wychodzącego z rozszerzenia Azure dla serwera SQL w agencie Arc do usług DPS (*.<region>.arcdataservices.com port TCP 443). Aby uzyskać szczegółowe wymagania dotyczące komunikacji, zapoznaj się z artykułem Nawiązywanie połączenia z usługą przetwarzania danych usługi Azure Arc.

Narzędzie do wdrażania

Program deployer uruchamia rozszerzenie platformy Azure dla programu SQL Server podczas początkowej instalacji i aktualizacji konfiguracji.

Rozszerzenie platformy Azure dla usługi SQL Server

Rozszerzenie platformy Azure dla usługi SQL Server działa w tle na serwerze hosta. Konfiguracja usługi zależy od systemu operacyjnego:

  • System operacyjny: Windows

    • Nazwa usługi: Usługa rozszerzenia programu Microsoft SQL Server
    • Nazwa wyświetlana: Usługa rozszerzenia programu Microsoft SQL Server
    • Działa jako: System lokalny
    • Lokalizacja dziennika: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • System operacyjny: Linux

    • Nazwa usługi: SqlServerExtension
    • Nazwa wyświetlana: Usługa rozszerzenia programu Azure SQL Server
    • Uruchamia jako: główny
    • Lokalizacja dziennika: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funkcjonalność

Wystąpienie programu SQL Server włączone przez usługę Azure Arc wykonuje następujące zadania:

  • Spis wszystkich wystąpień, baz danych i grup dostępności programu SQL Server

    Co godzinę usługa Azure Extension for SQL Server przekazuje spis do usługi przetwarzania danych. Spis obejmuje wystąpienia SQL Server, grupy dostępności Always On i metadane bazy danych.

  • Przekazywanie danych o użyciu

    Co 12 godzin usługa Azure Extension for SQL Server przekazuje dane związane z użyciem do usługi przetwarzania danych.

Zabezpieczenia serwera kompatybilnego z technologią Arc

Aby uzyskać szczegółowe informacje na temat instalowania i konfigurowania serwerów z obsługą usługi Azure Arc oraz zarządzania nimi, zapoznaj się z omówieniem zabezpieczeń serwerów z obsługą usługi Arc.

Bezpieczeństwo SQL Server zapewniane przez Azure Arc

Rozszerzenie platformy Azure dla składników programu SQL Server

Rozszerzenie platformy Azure dla programu SQL Server składa się z dwóch głównych składników, modułu wdrażania i usługi rozszerzenia.

System wdrażający

Program Deployer uruchamia rozszerzenie podczas początkowej instalacji i gdy są zainstalowane nowe wystąpienia programu SQL Server, lub funkcje są włączone/wyłączone. Podczas instalacji, aktualizacji lub odinstalowywania agent usługi Arc uruchomiony na serwerze hosta uruchamia narzędzie wdrażające w celu wykonania określonych akcji:

  • Instalowanie
  • Włącz
  • Aktualizacja
  • Wyłącz
  • Odinstalowywanie

Usługa Deployer działa w kontekście usługi agenta Azure Connected Machine, dlatego działa jako Local System.

Usługa rozszerzenia

Usługa rozszerzenia zbiera spis i metadane bazy danych (tylko system Windows) i przekazuje je na platformę Azure co godzinę. Działa jako Local System w systemie Windows lub jako root w systemie Linux. Usługa rozszerzenia oferuje różne funkcje w ramach usługi SQL Server obsługiwanej przez Arc.

Uruchamianie z najniższymi uprawnieniami

Usługę rozszerzenia można skonfigurować do uruchamiania z minimalnymi uprawnieniami. Aby uzyskać szczegółowe informacje na temat konfigurowania trybu najniższych uprawnień, zobacz Włączanie najniższych uprawnień.

Po skonfigurowaniu z minimalnymi uprawnieniami usługa rozszerzenia działa jako NT Service\SQLServerExtension konto usługi.

Konto NT Service\SQLServerExtension to lokalne konto usługi systemu Windows:

  • Utworzone i zarządzane przez rozszerzenie platformy Azure dla programu SQL Server Deployer po włączeniu opcji najniższych uprawnień.
  • Przyznano minimalne wymagane uprawnienia i uprawnienia do uruchamiania usługi Azure Extension for SQL Server w systemie operacyjnym Windows. Ma on dostęp tylko do folderów i katalogów używanych do odczytywania i przechowywania konfiguracji lub zapisywania dzienników.
  • Przyznano uprawnienia do nawiązywania połączeń i wykonywania zapytań na serwerze SQL przy użyciu nowego loginu przeznaczonego wyłącznie dla konta usługi Azure Extension for SQL Server, które posiada minimalne wymagane uprawnienia. Minimalne uprawnienia zależą od włączonych funkcji.
  • Zaktualizowano, gdy uprawnienia nie są już niezbędne. Na przykład uprawnienia są odwołyane po wyłączeniu funkcji, wyłączeniu konfiguracji najmniejszych uprawnień lub odinstalowaniu rozszerzenia platformy Azure dla programu SQL Server. Odwołanie gwarantuje, że żadne uprawnienia nie pozostaną po tym, jak nie są już wymagane.

Aby uzyskać pełną listę uprawnień, zobacz Konfigurowanie kont i uprawnień usługi systemu Windows.

Rozszerzanie komunikacji z chmurą

SQL Server z obsługą Azure Arc wymaga połączenia wychodzącego z usługą przetwarzania danych Azure Arc.

Każdy serwer wirtualny lub fizyczny musi komunikować się z platformą Azure. W szczególności wymagają one łączności z:

  • Adres URL: *.<region>.arcdataservices.com
    • Dla regionów Wirginii w instytucjach rządowych USA, użyj *.<region>.arcdataservices.azure.us.
  • Port: 443
  • Kierunek: Wychodzący
  • Dostawca uwierzytelniania: Microsoft Entra ID

Aby uzyskać segment regionalnego punktu końcowego, należy usunąć wszystkie spacje z nazwy regionu Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinno być *.eastus2.arcdataservices.com w regionie East US 2.

Aby uzyskać listę obsługiwanych regionów, zobacz Obsługiwane regiony świadczenia usługi Azure.

Aby uzyskać listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table

Aspekty zabezpieczeń na poziomie funkcji

Różne funkcje i usługi mają określone aspekty konfiguracji zabezpieczeń. W tej sekcji omówiono aspekty zabezpieczeń następujących funkcji:

Przeprowadzanie inspekcji działania

Dzienniki aktywności programu SQL Server, obsługiwane przez zasób Azure Arc, są dostępne z menu usługi w witrynie portalu Azure. Dziennik aktywności systemu przechwytuje informacje dotyczące audytu i historię zmian dla zasobów serwera SQL z obsługą Arc w menedżerze zasobów Azure. Aby uzyskać szczegółowe informacje, zobacz Używanie dzienników aktywności z programem SQL Server włączonym przez usługę Azure Arc.

Ocena najlepszych rozwiązań

Ocena najlepszych rozwiązań ma następujące wymagania:

  • Upewnij się, że instancja SQL Server oparta na systemie Windows jest połączona z platformą Azure. Postępuj zgodnie z instrukcjami w Automatycznie połącz program SQL Server z usługą Azure Arc.

    Uwaga / Notatka

    Ocena najlepszych rozwiązań jest obecnie ograniczona do programu SQL Server uruchomionego na maszynach z systemem Windows. Ocena nie ma obecnie zastosowania do programu SQL Server na maszynach z systemem Linux.

  • Jeśli serwer hostuje pojedyncze wystąpienie programu SQL Server, upewnij się, że wersja rozszerzenia platformy Azure dla programu SQL Server (WindowsAgent.SqlServer) to 1.1.2202.47 lub nowsza.

    Jeśli serwer hostuje wiele wystąpień programu SQL Server, upewnij się, że wersja rozszerzenia platformy Azure dla programu SQL Server (WindowsAgent.SqlServer) jest nowsza niż 1.1.2231.59.

    Aby sprawdzić wersję rozszerzenia platformy Azure dla programu SQL Server i zaktualizować je do najnowszej wersji, zapoznaj się z artykułem Upgrade extensions.

  • Jeśli serwer hostuje nazwane wystąpienie programu SQL Server, musi być uruchomiona usługa SQL Server Browser.

  • Obszar roboczy usługi Log Analytics musi znajdować się w tej samej subskrypcji co zasób SQL Server z obsługą Azure Arc.

  • Użytkownik, który konfiguruje ocenę najlepszych rozwiązań programu SQL Server, musi mieć następujące uprawnienia:

    • Rola współautora Log Analytics w grupie zasobów lub subskrypcji obszaru roboczego Log Analytics.
    • Rola Administratora Zasobów Połączonej Maszyny platformy Azure w ramach grupy zasobów lub subskrypcji instancji SQL Server obsługiwanej przez Arc.
    • Rola Współtwórcy monitorowania w grupie zasobów lub subskrypcji obszaru roboczego Log Analytics oraz w grupie zasobów lub subskrypcji maszyny z obsługą Azure Arc.

    Użytkownicy przypisani do wbudowanych ról, takich jak Współautor lub Właściciel, mają wystarczające uprawnienia. Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

  • Minimalne uprawnienia wymagane do uzyskania dostępu do raportu oceny lub odczytu go są następujące:

    • Rola czytelnika na poziomie grupy zasobów lub subskrypcji dla zasobu SQL Server - Azure Arc.
    • czytnik Log Analytics.
    • monitorowanie czytnika w grupie zasobów lub subskrypcji obszaru roboczego usługi Log Analytics.

    Poniżej przedstawiono więcej wymagań dotyczących uzyskiwania dostępu do raportu oceny lub odczytywania go:

    • Wbudowane konto logowania programu SQL Server NT AUTHORITY\SYSTEM musi być członkiem roli serwera sysadmin we wszystkich wystąpieniach programu SQL Server uruchomionych na maszynie.

    • Jeśli zapora lub serwer proxy ogranicza łączność wychodzącą, upewnij się, że zezwala ona usłudze Azure Arc na port TCP 443 dla następujących adresów URL:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • Instancja programu SQL Server musi włączyćTCP/IP.

  • Ocena najlepszych rozwiązań programu SQL Server używa agenta usługi Azure Monitor (AMA) do zbierania i analizowania danych z wystąpień programu SQL Server. Jeśli usługa AMA jest zainstalowana w wystąpieniach programu SQL Server przed włączeniem oceny najlepszych praktyk, ocena używa tego samego agenta AMA i tych samych ustawień serwera proxy. Nie musisz robić nic innego.

    Jeśli nie masz zainstalowanej usługi AMA w wystąpieniach programu SQL Server, ocena najlepszych praktyk zainstaluje ją dla Ciebie. Ocena najlepszych rozwiązań nie konfiguruje automatycznie ustawień serwera proxy dla usługi AMA. Musisz ponownie wdrożyć usługę AMA przy użyciu żądanych ustawień serwera proxy.

    Aby uzyskać więcej informacji na temat ustawień sieci i serwera proxy usługi AMA, zobacz Konfiguracja serwera proxy.

  • Jeśli używasz programu Configure Arc-enabled Servers z zainstalowanym rozszerzeniem SQL Server w celu włączenia lub wyłączenia oceny najlepszych praktyk SQL zasady Azure Policy do włączenia oceny na skali, musisz utworzyć przypisanie usługi Azure Policy. Twoja subskrypcja wymaga przypisania roli Współtwórcy zasad zasobów dla zakresu, który jest celem Twoich działań. Zakres może obejmować subskrypcję lub grupę zasobów.

    Jeśli planujesz utworzyć nową tożsamość zarządzaną przypisywaną przez użytkownika, musisz także mieć przypisaną rolę Administratora Dostępu Użytkownika w subskrypcji.

Aby uzyskać więcej informacji, zobacz Konfigurowanie oceny najlepszych rozwiązań SQL — program SQL Server włączony przez usługę Azure Arc.

Automatyczne kopie zapasowe

Rozszerzenie Azure dla programu SQL Server może automatycznie tworzyć kopie zapasowe baz danych systemowych i użytkowników na instancji SQL Server włączonej przez Azure Arc. Usługa tworzenia kopii zapasowej w ramach rozszerzenia Azure dla SQL Server korzysta z konta NT AUTHORITY\SYSTEM do przeprowadzania backupów. Jeśli używasz programu SQL Server włączonego przez usługę Azure Arc z najmniejszymi uprawnieniami, lokalne konto systemu Windows — NT Service\SQLServerExtension wykonuje kopię zapasową.

Jeśli używasz rozszerzenia platformy Azure dla wersji 1.1.2504.99 programu SQL Server lub nowszej, wymagane uprawnienia zostaną przyznane NT AUTHORITY\SYSTEM automatycznie. Nie musisz przypisywać uprawnień ręcznie.

Jeśli nie używasz konfiguracji minimalnych uprawnień, wbudowane konto logowania SQL Server NT AUTHORITY\SYSTEM musi być członkiem:

  • dbcreator rola serwera na poziomie serwera
  • db_backupoperator rola w bazie danych master, model, msdb oraz w każdej bazie danych użytkownika — z wyłączeniem tempdb.

Automatyczne kopie zapasowe są domyślnie wyłączone. Po skonfigurowaniu automatycznych kopii zapasowych usługa Azure Extension for SQL Server inicjuje kopię zapasową w domyślnej lokalizacji kopii zapasowej. Kopie zapasowe są natywnymi kopiami zapasowymi programu SQL Server, więc cała historia kopii zapasowych jest dostępna w tabelach powiązanych z kopiami zapasowymi w msdb bazie danych.

Microsoft Defender dla Chmury

Usługa Microsoft Defender for Cloud wymaga skonfigurowania agenta monitorowania platformy Azure na serwerze z obsługą usługi Arc.

Aby uzyskać szczegółowe informacje, zapoznaj się z tematem Microsoft Defender for Cloud.

Aktualizacje automatyczne

Aktualizacje automatyczne zastępują wszystkie wstępnie skonfigurowane lub oparte na zasadach ustawienia usługi Microsoft Update skonfigurowane na serwerze z obsługą usługi Arc.

  • Instalowane są tylko aktualizacje systemu Windows i programu SQL Server oznaczone jako Ważne lub Krytyczne. Inne aktualizacje programu SQL Server, takie jak dodatki Service Pack, aktualizacje zbiorcze lub inne aktualizacje, które nie są oznaczone jako Ważne lub Krytyczne, muszą być zainstalowane ręcznie lub w inny sposób. Aby uzyskać więcej informacji na temat systemu klasyfikacji aktualizacji zabezpieczeń, zobacz System oceny ważności aktualizacji zabezpieczeń (microsoft.com)
  • Działa na poziomie systemu operacyjnego hosta i ma zastosowanie do wszystkich zainstalowanych wystąpień programu SQL Server
  • Obecnie działa tylko na hostach z systemem Windows. Konfiguruje usługę Windows Update/Microsoft Update, która ostatecznie aktualizuje instancje serwera SQL.

Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie automatycznych aktualizacji dla wystąpień programu SQL Server z włączoną obsługą usługi Azure Arc.

Ekran

Program SQL Server, obsługiwany przez Azure Arc, można monitorować za pomocą pulpitu nawigacyjnego wydajności w portalu Azure. Metryki wydajności są automatycznie zbierane z zestawów danych dynamicznego widoku zarządzania (DMV) w kwalifikujących się wystąpieniach programu SQL Server z włączoną usługą Azure Arc i wysyłane do potoku telemetrii platformy Azure na potrzeby przetwarzania niemal w czasie rzeczywistym. Monitorowanie jest automatyczne, przy założeniu, że zostały spełnione wszystkie wymagania wstępne.

Wymagania wstępne obejmują:

  • Serwer ma łączność z telemetry.<region>.arcdataservices.com Aby uzyskać więcej informacji, zobacz Wymagania sieciowe.
  • Typ licencji w wystąpieniu programu SQL Server jest ustawiony na License with Software Assurance lub Pay-as-you-go.

Aby wyświetlić pulpit nawigacyjny wydajności w Azure Portal, musisz mieć przypisaną rolę platformy Azure z akcją Microsoft.AzureArcData/sqlServerInstances/getTelemetry/. Dla wygody możesz użyć wbudowanej roli Administrator hybrydowej bazy danych platformy Azure — rola usługi tylko do odczytu, która obejmuje tę akcję. Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o rolach wbudowanych platformy Azure.

Szczegółowe informacje na temat funkcji pulpitu nawigacyjnego wydajności, w tym sposobu włączania/wyłączania zbierania danych i danych zbieranych dla tej funkcji, można znaleźć pod Monitor w portalu Azure.

Microsoft Entra ID

Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem umożliwiająca dostęp do zasobów zewnętrznych. Uwierzytelnianie Firmy Microsoft Entra zapewnia znacznie lepsze zabezpieczenia w przypadku tradycyjnego uwierzytelniania opartego na nazwach użytkownika i hasłach. Program SQL Server włączony przez usługę Azure Arc korzysta z identyfikatora Entra firmy Microsoft do uwierzytelniania — wprowadzonego w programie SQL Server 2022 (16.x). Zapewnia to scentralizowane rozwiązanie do zarządzania tożsamościami i dostępem do programu SQL Server.

Program SQL Server włączony przez usługę Azure Arc przechowuje certyfikat dla identyfikatora Entra firmy Microsoft w usłudze Azure Key Vault. Aby uzyskać szczegółowe informacje, zapoznaj się z tematem:

Aby skonfigurować identyfikator Entra firmy Microsoft, postępuj zgodnie z instrukcjami w temacie Samouczek: konfigurowanie uwierzytelniania firmy Microsoft entra dla programu SQL Server.

Microsoft Purview

Kluczowe wymagania dotyczące korzystania z usługi Purview:

Najlepsze rozwiązania

Zaimplementuj następujące konfiguracje, aby zapewnić zgodność z bieżącymi najlepszymi rozwiązaniami w celu zabezpieczenia wystąpień programu SQL Server włączonego przez usługę Azure Arc:

Treści powiązane

  • Last updated on