Sicherheitsrichtlinien für Azure SQL Datenbank

Microsoft Azure SQL Database ist ein Cloud-Datenbankdienst von Microsoft. Azure SQL Database bietet webbasierte Datenbankfunktionen als Dienstprogramm. Cloud-basierte Datenbanklösungen können viele Vorteile bieten, darunter schnelle Bereitstellung, kostengünstige Skalierbarkeit, Hochverfügbarkeit und reduzierter Verwaltungsaufwand. Dieses Dokument gibt einen Überblick über die Sicherheitsrichtlinien für Kunden, die sich mit der SQL-Datenbank verbinden und sichere Anwendungen auf der SQL-Datenbank erstellen.

Das Tabular Data Stream (TDS)-Protokoll wird von allen SQL Server- und SQL-Datenbank-Tools und Client-Bibliotheken verwendet, um eine Verbindung zu den Servern herzustellen. Der SQL-Datenbankdienst ist nur über den Standard-Port von TCP/1433 zugänglich, der vom TDS-Protokoll verwendet wird. SQL Datenbanken haben zwei Arten von Zugriffskontrolle: SQL-Authentifizierung und serverseitige Firewall. Darüber hinaus müssen Sie auch Ihre client-seitige Firewall konfigurieren.

Client-seitige Firewall

Netzwerk-Firewall und andere Sicherheitsvorrichtungen können Computer in den Kundennetzwerken daran hindern, eine ausgehende Verbindung zur SQL-Datenbank herzustellen. Kunden müssen ihre Umgebung so konfigurieren, dass ausgehende TCP-Verbindungen über den Port TCP/1433 möglich sind, damit Anwendungen und Tools eine Verbindung zur SQL-Datenbank herstellen können.

Einige Netzwerke erlauben den gesamten Rücklaufverkehr für jede intern initiierte Verbindung, aber andere restriktivere Netzwerke beschränken den Rücklauf auch auf explizite Zugriffskontrolllisten. Kunden müssen möglicherweise auch explizit den Rücktransfer von SQL-Datenbank-IPs zurück in ihr Netzwerk zulassen, je nachdem, wie streng ihre Richtlinien sind. Mit anderen Worten, wenn ein Kunde ausgehenden TCP/1433-Verkehr zu SQL-Datenbank-IPs zulässt, muss er auch den von SQL-Datenbank-IPs kommenden Rückverkehr (Quellport von TCP/1433) wieder in sein Netzwerk zurücklassen.

Es kann für Kunden bequemer sein, TCP/1433-Verbindungen mit dem Bereich der öffentlichen Netzwerkadressen von Microsoft anstelle eines bestimmten SQL-Datenbankstandorts zuzulassen. Dies wird eine größere Flexibilität ermöglichen; da die SQL-Datenbank mehr Standorte hinzufügt, wird die Notwendigkeit, die Zugriffskontrolllisten der Kunden erneut zu besuchen, reduziert.
Der TDS-Endpunkt für das Rechenzentrum der SQL-Datenbank North Central US ist beispielsweise data.ch1-1.database.windows.net mit einer IP-Adresse von Die Durchführung eines Whois-Lookup-Sprungs ergibt die vollständige Netzwerk-ID

Nachfolgend finden Sie eine exemplarische ACL-Einstellung, um Verbindungen zu allen möglichen IP-Adressen für den Microsoft SQL Database Service zu ermöglichen.

Eingehende ACL (ausgehender Traffic): erlaubt tcp jeden gt 1023 Host <SQL Datenbank IP> 1433
Ausgehende ACL (return traffic): erlaubt tcp host <SQL Database IP> 1433 any gt 1023 established
Die Verwendung des „etablierten“ Tags für ausgehende ACLs, wie in den folgenden Beispielen, führt dazu, dass der Traffic für Kundenstandorte zu Verbindungen innerhalb des Kundenstandorts zurückkehrt. Mit anderen Worten, der Datenverkehr wird nicht erlaubt sein, es sei denn, die Verbindungen werden innerhalb des Kundenstandortes hergestellt.

Wichtig: Eingehende Verbindungen sind nicht erforderlich oder empfohlen.

Proxy-Server müssen möglicherweise angepasst werden, um das ausgehende TDS-Protokoll über Port 1433 zu ermöglichen. Client-seitige Proxy-Software wie der Microsoft ISA-Client kann erforderlich sein, damit Client-Computer Proxy-Server für ausgehende Verbindungen verwenden können.

Optional: Wenn Sie SQL-Server vor Ort haben, die aus Gründen der Datensynchronisation oder aus anderen Gründen mit der SQL-Datenbank kommunizieren müssen, müssen Sie sicherstellen, dass Ihre Server über eine Internet-Routing-IP verfügen.