Самый безопасный способ подключения Power BI Desktop к Azure SQL

Question

MS предлагает эти способы предоставления Power BI Desktop доступа к базе данных Azure

a) открытие входящих подключений всех диапазонов Azure IP к Azure SQL

б) открытие входящих подключений к определенным IP-адресам

в) используйте Enterprise Gateway, даже если вы находитесь в Azure, а не в офисе. Проблемы: это так же безопасно, как реальный VPN? Означает, что данные не могут быть отправлены на порт сервера БД?

d) Нет ли на месте службы Azure-box, которая работает как обратный прокси-сервер или брандмауэр приложений с mfa?

e) Прокси-сервер приложений Azure является решением?

Какова лучшая практика безопасности? а) и б) меня беспокоит огромная неизвестная группа пользователей Azure, которой не нужен доступ. И потому, что БД не будет защищена от IP-спуфинга.

Для c), d), e) Я не нашел четкой цитаты из MS об угрозе безопасности.

Спасибо за разъяснение и комментирование моих проблем.

Answer 1

В Power BI Desktop опция b) opening inbound connections to certain IPs является типичным подходом.Обычно существует небольшой фиксированный набор общедоступных IP-адресов, которые ваша организация использует для исходящего трафика, и их можно добавить в брандмауэр Azure SQL Server.

Подмена IP-адреса не является проблемой, поскольку Azure никогда не будет маршрутизироватьвернуть пакеты в спуфер, даже если они каким-то образом добрались до SQL Server.

c) use an Enterprise Gateway Проблемы: это так же безопасно, как реальный VPN?Означает, что данные не могут быть отправлены на порт сервера БД?

Да.Сервер Power BI Gateway работает в частной виртуальной сети Azure, а брандмауэр SQL Server настроен на разрешение подключений из этой виртуальной сети .Но Power BI Desktop не может подключиться напрямую через шлюз.Это всего лишь решение для подключения службы Power BI к источнику данных.Поэтому, если вы публикуете общий набор данных, вы можете подключиться к нему с помощью рабочего стола Power BI.Но вы не можете подключиться напрямую из Power BI Desktop к базе данных SQL Azure через шлюз.Таким образом, вам все еще нужно правило брандмауэра для пользователей, разрабатывающих наборы данных Power BI (модели) в Power BI Desktop.

Нет ли на месте службы Azure-box, работающей какобратный прокси или брандмауэр приложения с mfa?

Нет.Это не HTTP-соединение, поэтому обратного прокси нет.Несмотря на то, что вы можете настроить базу данных SQL Azure для разрешения учетных записей Azure Active Directory, а затем использовать политики для принудительного использования MFA.Они встроены в базу данных SQL Azure и Azure Active Directory и представляют собой уровень безопасности после брандмауэра.