2

由于 Azure SQL 只有 DNS 地址,没有 IP,我们不能在我们的 Azure 应用程序 VM 上强制执行 ACL/NSG,因为它需要与我们的 Azure SQL 通信。ACL/NSG 只有 IP 范围限制。没有 DNS 限制。

因此,一个设法潜入我们的 Azure App VM 的黑客可能会将其窃取的数据推送到他想要的任何 IP,只要他在端口 1433 中出去。

无论如何,我们可以将来自 Azure VM 的出站通信限制为仅到我们的 Azure SQL 吗?

4

1 回答 1

1

您是对的,您不能将 Azure SQL 数据库放置在虚拟网络 (VNet) 中。此外,您只能将 NSG 出站安全规则配置为使用限制与 Internet、Azure 负载均衡器或 Azure 流量管理器终结点的通信的标记。因此,遗憾的是,目前无法将带有 NSG 的 Azure VM 限制为只能通过端口 1433 与特定的 Azure SQL 数据库通信。

但是,另一方面,您可以通过在 SQL 数据库防火墙规则中指定其 IP 地址来限制 Azure SQL 数据库防火墙规则,使其仅允许您的 Azure VM 连接到数据库。

于 2017-03-05T14:56:29.547 回答