Segurança | SQL Server habilitado pelo Azure Arc

Este artigo descreve a arquitetura de segurança dos componentes do SQL Server habilitados pelo Azure Arc.

Para obter informações básicas sobre o SQL Server habilitado pelo Azure Arc, consulte Visão geral | SQL Server habilitado pelo Azure Arc.

Agente e extensão

Os componentes de software mais significativos para o SQL Server habilitados pelo Azure Arc são:

• Agente do Azure Connected Machine
• Extensão do Azure para SQL Server

O agente do Azure Connected Machine conecta servidores ao Azure. A Extensão do Azure para SQL Server envia dados para o Azure sobre o SQL Server e recupera comandos do Azure por meio de um canal de comunicação do Azure Relay para executar ações em uma instância do SQL Server. Juntos, o agente e a extensão permitem que você gerencie suas instâncias e bancos de dados localizados em qualquer lugar fora do Azure. Uma instância do SQL Server com o agente e a extensão é habilitada pelo Azure Arc.

O agente e a extensão se conectam com segurança ao Azure para estabelecer canais de comunicação com os serviços do Azure gerenciados pela Microsoft. O agente pode se comunicar através de:

• Um servidor proxy HTTPS configurável sobre o Azure Express Route
• Azure Private Link
• A Internet com ou sem um servidor proxy HTTPS

Para obter detalhes, consulte a documentação do agente da Máquina Conectada:

• Descrição geral
• Requisitos de rede
• Pré-requisitos

Para coleta de dados e relatórios, alguns dos serviços exigem a extensão do Agente de Monitoramento do Azure (AMA). A extensão precisa estar conectada a um Azure Log Analytics. Os dois serviços que requerem a AMA são:

• Microsoft Defender para a Cloud
• Avaliação de práticas recomendadas do SQL Server

A Extensão do Azure para SQL Server permite descobrir alterações de configuração no nível do host ou do sistema operacional (por exemplo, cluster de failover do Windows Server) para todas as instâncias do SQL Server em um nível granular. Por exemplo:

• Instâncias do motor do SQL Server numa máquina anfitriã
• Bancos de dados em uma instância do SQL Server
• Grupos de disponibilidade

A Extensão do Azure para SQL Server permite gerenciar, proteger e governar centralmente as instâncias do SQL Server em qualquer lugar, coletando dados para tarefas como inventário, monitoramento e outras tarefas. Para obter uma lista completa dos dados recolhidos, consulte Recolha de dados e relatórios.

O diagrama a seguir ilustra a arquitetura do SQL Server habilitado para Azure Arc.

Componentes

Uma instância do SQL Server habilitada pelo Azure Arc integrou componentes e serviços que são executados em seu servidor e ajudam a se conectar ao Azure. Além dos serviços do Agente, uma instância habilitada tem os componentes listados nesta seção.

Fornecedores de recursos

Um provedor de recursos (RP) expõe um conjunto de operações REST que habilitam a funcionalidade para um serviço específico do Azure por meio da API ARM.

Para que a extensão do Azure para SQL Server funcione, registre os 2 RPs a seguir:

• Microsoft.HybridCompute RP: Gerencia o ciclo de vida dos recursos do Servidor habilitado para Azure Arc, incluindo instalações de extensão, execução de comandos de máquina conectada e executa outras tarefas de gerenciamento.
• Microsoft.AzureArcData RP: Gerencia o ciclo de vida do SQL Server habilitado pelos recursos do Azure Arc com base nos dados de inventário e uso que ele recebe da extensão do Azure para SQL Server.

Serviço de Processamento de Dados do Azure Arc

O Azure Arc Data Processing Service (DPS) é um serviço do Azure que recebe os dados sobre o SQL Server fornecidos pela Extensão do Azure para SQL Server em um servidor conectado ao Arc. O DPS executa as seguintes tarefas:

• Processa os dados de inventário enviados para o ponto final regional pela Extensão do Azure para SQL Server e atualiza os recursos SqlServerInstance de acordo por meio da API ARM e do RP Microsoft.AzureArcData.
• Processa os dados de uso enviados para o ponto de extremidade regional pela Extensão do Azure para SQL Server e envia as solicitações de cobrança para o serviço de comércio do Azure.
• Monitora os recursos de licença de núcleo físico do SQL Server criados pelo usuário no ARM e envia as solicitações de cobrança para o serviço de comércio do Azure com base no estado da licença.

O SQL Server ativado pelo Azure Arc requer uma conexão externa da Extensão do Azure para SQL Server no Agente para DPS (*.<region>.arcdataservices.com porta TCP 443). Para obter requisitos de comunicação específicos, consulte Conectar-se ao serviço de processamento de dados do Azure Arc.

Implantador

O Deployer inicializa a Extensão do Azure para SQL Server durante a instalação inicial e as atualizações de configuração.

Extensão Azure para o Serviço de SQL Server

O Serviço Azure Extension for SQL Server é executado em segundo plano no servidor host. A configuração do serviço depende do sistema operacional:

• Sistema operacional: Windows

  • Nome do serviço: Microsoft SQL Server Extension Service
  • Nome para exibição: Microsoft SQL Server Extension Service
  • Funciona como: Sistema Local
  • Localização do registo: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

• Sistema operacional: Linux

  • Nome do serviço: SqlServerExtension
  • Nome para exibição: Serviço de Extensão do SQL Server do Azure
  • Funciona como: Root
  • Localização do registo: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funcionalidade

Uma instância do SQL Server habilitada pelo Azure Arc executa as seguintes tarefas:

• Inventariar todas as instâncias, bancos de dados e grupos de disponibilidade do SQL Server

  A cada hora, o serviço Azure Extension for SQL Server carrega um inventário no Serviço de Processamento de Dados. O inventário inclui instâncias do SQL Server, grupos de disponibilidade Always On e metadados de banco de dados.

• Uso de upload

  A cada 12 horas, o serviço Azure Extension for SQL Server carrega dados relacionados ao uso no Serviço de Processamento de Dados.

Segurança do servidor habilitado para Azure Arc

Para obter informações específicas sobre como instalar, gerenciar e configurar Servidores habilitados para Arco do Azure, consulte Visão geral da Segurança de Servidores habilitados para Arc.

SQL Server habilitado pela segurança do Azure Arc

Extensão do Azure para componentes do SQL Server

A extensão do Azure para SQL Server consiste em dois componentes principais, o Deployer e o Extension Service.

O implantador

O Deployer inicializa a extensão durante a instalação inicial e à medida que novas instâncias do SQL Server são instaladas ou os recursos são habilitados/desabilitados. Durante a instalação, atualização ou desinstalação, o agente Arc em execução no servidor host executa o Deployer para executar determinadas ações:

• Instalar
• Ativar
• Atualização
• Desativar
• Desinstale

O Deployer é executado no contexto do serviço de agente do Azure Connected Machine e, portanto, é executado como Local System.

O serviço de Extensão

O Serviço de Extensão coleta metadados de inventário e banco de dados (somente Windows) e os carrega no Azure a cada hora. Ele roda como Local System no Windows, ou root no Linux. O Serviço de Extensão fornece vários recursos como parte do serviço SQL Server habilitado para Arc.

Executar com o menor privilégio

Você pode configurar o Serviço de Extensão para ser executado com privilégios mínimos. Para obter detalhes sobre como configurar o modo de menor privilégio, consulte Ativar privilégio mínimo.

Quando configurado para privilégios mínimos, o Serviço de Extensão é executado como a conta de serviço NT Service\SQLServerExtension.

A conta NT Service\SQLServerExtension é uma conta de serviço local do Windows:

• Criado e gerenciado pela Extensão do Azure para SQL Server Deployer quando a opção de menor privilégio está habilitada.
• Concedido o mínimo de permissões e privilégios necessários para executar o serviço Azure Extension for SQL Server no sistema operacional Windows. Ele só tem acesso a pastas e diretórios usados para leitura e armazenamento de configuração ou para escrever logs.
• Permissão concedida para se conectar e realizar consultas no SQL Server com um novo logon especificamente para a conta de serviço da Azure Extension for SQL Server, que possui as permissões mínimas necessárias. As permissões mínimas dependem dos recursos habilitados.
• Atualizado quando as permissões não são mais necessárias. Por exemplo, as permissões são revogadas quando você desabilita um recurso, desabilita a configuração de privilégios mínimos ou desinstala a Extensão do Azure para SQL Server. A revogação garante que nenhuma permissão permaneça depois que elas não forem mais necessárias.

Para obter uma lista completa de permissões, consulte Configurar contas de serviço e permissões do Windows.

Extensão à comunicação na nuvem

O SQL Server habilitado para Arc requer conexão de saída com o Azure Arc Data Processing Service.

Cada servidor virtual ou físico precisa se comunicar com o Azure. Especificamente, eles exigem conectividade para:

• Endereço URL: *.<region>.arcdataservices.com
  • Para as regiões da Virgínia do governo dos EUA, use *.<region>.arcdataservices.azure.us.
• Porta: 443
• Direção: Saída
• Provedor de autenticação: Microsoft Entra ID

Para obter o segmento de região de um endpoint regional, remova todos os espaços em branco do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para obter uma lista de regiões suportadas, consulte Regiões do Azure suportadas.

Para obter uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Aspetos de segurança ao nível da funcionalidade

Os diferentes recursos e serviços têm aspetos específicos de configuração de segurança. Esta seção discute os aspetos de segurança dos seguintes recursos:

• Atividade de auditoria
• Avaliação das melhores práticas
• Cópias de segurança automáticas
• Microsoft Defender para a Nuvem
• Atualizações automáticas
• Monitorização
• Microsoft Entra ID
• Microsoft Purview

Atividade de auditoria

Você pode acessar os logs de atividade no menu de serviço para o SQL Server habilitado pelo recurso Azure Arc no portal do Azure. O log de atividades captura informações de auditoria e histórico de alterações para recursos do SQL Server habilitados para Arc no Azure Resource Manager. Para obter detalhes, consulte Usar logs de atividade com o SQL Server habilitado pelo Azure Arc.

Avaliação das melhores práticas

A avaliação das melhores práticas tem os seguintes requisitos:

• Verifique se sua instância do SQL Server baseada no Windows está conectada ao Azure. Siga as instruções em para conectar automaticamente o SQL Server ao Azure Arc.

  Observação

  Atualmente, a avaliação de práticas recomendadas está limitada ao SQL Server em execução em máquinas Windows. Atualmente, a avaliação não se aplica ao SQL Server em máquinas Linux.

• Se o servidor hospedar uma única instância do SQL Server, verifique se a versão do Azure Extension for SQL Server (WindowsAgent.SqlServer) é 1.1.2202.47 ou posterior.

  Se o servidor hospedar várias instâncias do SQL Server, verifique se a versão do Azure Extension for SQL Server (WindowsAgent.SqlServer) é posterior a 1.1.2231.59.

  Para verificar a versão da Extensão do Azure para SQL Server e atualizar para a mais recente, consulte Atualizar extensões.

• Se o servidor hospedar uma instância nomeada do SQL Server, o serviço Navegador do SQL Server deverá estar em execução.

• O espaço de trabalho do Log Analytics deve estar na mesma subscrição que o seu recurso SQL Server ativado para o Azure Arc.

• O usuário que está configurando a avaliação de práticas recomendadas do SQL Server deve ter as seguintes permissões:

  • Função de Colaborador do Log Analytics no grupo de recursos ou assinatura do espaço de trabalho do Log Analytics.
  • Função de Administrador de Recursos de Máquina Conectada do Azure no grupo de recursos ou assinatura da instância do SQL Server habilitada para Arc.
  • Monitorização do papel de Colaborador no grupo de recursos ou na assinatura do espaço de trabalho do Log Analytics e no grupo de recursos ou na assinatura da máquina com Azure Arc habilitado.

  Os usuários atribuídos a funções internas, como Colaborador ou Proprietário, têm permissões suficientes. Para obter mais informações, consulte Atribuir funções do Azure usando o portal do Azure.

• As permissões mínimas necessárias para acessar ou ler o relatório de avaliação são:

  • Função de leitor no grupo de recursos ou assinatura do SQL Server - Azure Arc recurso.
  • Leitor de análise de log.
  • Monitorização do leitor no grupo de recursos ou na assinatura do espaço de trabalho do Log Analytics.

  Aqui estão mais requisitos para acessar ou ler o relatório de avaliação:

  • O logon interno do SQL Server NT AUTHORITY\SYSTEM deve ser membro da função de servidor sysadmin do SQL Server para todas as instâncias do SQL Server em execução na máquina.

  • Se o firewall ou o servidor proxy restringir a conectividade de saída, verifique se ele permite o Azure Arc pela porta TCP 443 para estas URLs:

    • global.handler.control.monitor.azure.com
    • *.handler.control.monitor.azure.com
    • <log-analytics-workspace-id>.ods.opinsights.azure.com
    • *.ingest.monitor.azure.com

• Sua instância do SQL Server deve habilitar o TCP/IP.

• A avaliação de práticas recomendadas do SQL Server usa o Azure Monitor Agent (AMA) para coletar e analisar dados de suas instâncias do SQL Server. Se você tiver o AMA instalado em suas instâncias do SQL Server antes de habilitar a avaliação de práticas recomendadas, a avaliação usará as mesmas configurações de agente e proxy do AMA. Você não precisa fazer mais nada.

  Se você não tiver o AMA instalado em suas instâncias do SQL Server, a avaliação de práticas recomendadas o instalará para você. A avaliação de práticas recomendadas não configura configurações de proxy para AMA automaticamente. Você precisa reimplantar o AMA com as configurações de proxy desejadas.

  Para obter mais informações sobre a rede AMA e as configurações de proxy, consulte Configuração de proxy.

• Caso utilize a extensão Configurar Servidores habilitados para Arc com o SQL Server instalada para ativar ou desativar a avaliação das melhores práticas do SQL a política do Azure para habilitar a avaliação em escala, será necessário criar uma atribuição de política do Azure. Sua assinatura requer a atribuição da função de Colaborador da Política de Recursos para o escopo que você está segmentando. O escopo pode ser assinatura ou grupo de recursos.

  Caso planeie criar uma nova identidade gerida atribuída ao utilizador, também necessita da atribuição da função de Administrador de Acesso do Utilizador na subscrição.

Para obter mais informações, consulte Configurar avaliação de práticas recomendadas do SQL - SQL Server habilitado pelo Azure Arc.

Cópias de segurança automáticas

A extensão do Azure para SQL Server pode fazer backup automático de bancos de dados do sistema e do usuário em uma instância do SQL Server habilitada pelo Azure Arc. O serviço de backup dentro da Extensão do Azure para SQL Server usa a NT AUTHORITY\SYSTEM conta para executar os backups. Se você estiver operando o SQL Server habilitado pelo Azure Arc com o menor privilégio, uma conta local do Windows - NT Service\SQLServerExtension executará o backup.

Se utilizar a extensão Azure para a versão 1.1.2504.99 do Azure SQL Server ou posterior, as permissões necessárias são automaticamente concedidas a NT AUTHORITY\SYSTEM. Não é necessário atribuir permissões manualmente.

Caso não estiveres a usar a configuração de privilégios mínimos, o logon interno do SQL Server NT AUTHORITY\SYSTEM deverá ser membro de:

• dbcreator função de servidor no nível do servidor
• db_backupoperator função em master, model, msdbe cada banco de dados de usuário - excluindo tempdb.

Os backups automatizados são desativados por padrão. Depois que os backups automatizados são configurados, o serviço Azure Extension for SQL Server inicia um backup para o local de backup padrão. Os backups são backups nativos do SQL Server, portanto, todo o histórico de backup está disponível nas tabelas relacionadas ao msdb backup no banco de dados.

Microsoft Defender para a Cloud

O Microsoft Defender for Cloud requer que o Agente de Monitoramento do Azure seja configurado no servidor habilitado para Arc.

Para obter detalhes, consulte Microsoft Defender for Cloud.

Atualizações automáticas

As atualizações automáticas substituem qualquer atualização pré-configurada ou baseada em políticas das configurações do Microsoft Update configuradas no servidor habilitado para Arc.

• Somente as atualizações do Windows e do SQL Server marcadas como Importantes ou Críticas são instaladas. Outras atualizações do SQL Server, como service packs, atualizações cumulativas ou outras atualizações que não estão marcadas como Importantes ou Críticas, devem ser instaladas manualmente ou por outros meios. Para obter mais informações sobre o sistema de classificação de atualização de segurança, consulte Sistema de classificação de gravidade da atualização de segurança (microsoft.com)
• Funciona no nível do sistema operacional host e se aplica a todas as instâncias instaladas do SQL Server
• Atualmente, só funciona em hosts Windows. Ele configura o Windows Update/Microsoft Update, que é o serviço que, em última análise, atualiza as instâncias do SQL Server.

Para obter detalhes, consulte Configurar atualizações automáticas para instâncias do SQL Server habilitadas para o Azure Arc.

Ecrã

Você pode monitorar o SQL Server habilitado pelo Azure Arc com um painel de desempenho no portal do Azure. As métricas de desempenho são coletadas automaticamente dos conjuntos de dados do Modo de Gerenciamento Dinâmico (DMV) em instâncias qualificadas do SQL Server habilitadas pelo Azure Arc e enviadas para o pipeline de telemetria do Azure para processamento quase em tempo real. O monitoramento é automático, supondo que todos os pré-requisitos sejam atendidos.

Os pré-requisitos incluem:

• O servidor tem conectividade com telemetry.<region>.arcdataservices.com Para obter mais informações, consulte Requisitos de rede.
• O tipo de licença na instância do SQL Server é definido como License with Software Assurance ou Pay-as-you-go.

Para exibir o painel de desempenho no portal do Azure, você deve receber uma função do Azure com a ação Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ atribuída. Para comodidade, pode usar a função integrada Administrador de Banco de Dados Híbrido do Azure - Função de Serviço Somente Leitura, que inclui esta ação. Para obter mais informações, consulte Saiba mais sobre as funções internas do Azure.

Detalhes sobre o recurso de painel de desempenho, incluindo como habilitar/desabilitar a coleta de dados e os dados coletados para esse recurso, podem ser encontrados em Monitor no portal do Azure.

Microsoft Entra ID

O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem para permitir o acesso a recursos externos. A autenticação Microsoft Entra fornece segurança muito melhorada em relação à autenticação tradicional baseada em nome de utilizador e palavra-passe. O SQL Server habilitado pelo Azure Arc utiliza o Microsoft Entra ID para autenticação - introduzido no SQL Server 2022 (16.x). Isso fornece uma solução centralizada de gerenciamento de identidade e acesso ao SQL Server.

O SQL Server habilitado pelo Azure Arc armazena o certificado para o Microsoft Entra ID no Azure Key Vault. Para mais detalhes, consulte:

• Rodar certificados
• Autenticação do Microsoft Entra para SQL Server.
• Tutorial: Configurar a autenticação do Microsoft Entra para o SQL Server

Para configurar o Microsoft Entra ID, siga as instruções em Tutorial: Configurar a autenticação do Microsoft Entra para SQL Server.

Microsoft Purview

Principais requisitos para usar o Purview:

• Uma conta do Azure com uma assinatura ativa.
• Uma conta ativa do Microsoft Purview.
• Permissões de Administrador de Fonte de Dados e Leitor de Dados para registrar uma fonte e gerenciá-la no portal de governança do Microsoft Purview. Consulte Controle de acesso no portal de governança do Microsoft Purview para obter detalhes.
• O mais recente tempo de execução de integração auto-hospedada. Para obter mais informações, consulte Criar e gerir um tempo de execução de integração auto-hospedado.
• Para o Azure RBAC, você precisa ter o Microsoft Entra ID e o Azure Key Vault habilitados.

Melhores práticas

Implemente as seguintes configurações para estar em conformidade com as práticas recomendadas atuais para proteger instâncias do SQL Server habilitadas pelo Azure Arc:

• Habilite o modo de privilégios mínimos.
• Execute a avaliação de práticas recomendadas do SQL. Reveja a avaliação e aplique as recomendações.
• Habilite a autenticação do Microsoft Entra.
• Habilite o Microsoft Defender for Cloud e resolva os problemas apontados pelo Defender for SQL.
• Não habilite a autenticação SQL. Está desativada por predefinição. Analise as práticas recomendadas de segurança do SQL Server.

Conteúdo relacionado

• Fundamentos de segurança do Azure
• Visão geral de segurança para servidores habilitados para Azure Arc