1

Windows Azure クラウド サービスと SQL Azure データベースを使用するアプリケーションを開発しています。Visual Studio ソリューションでデータベース ファーストを使用してエンティティを作成する ASP .NET MVC プロジェクトがあります。次に、データベース スキーマを Azure にデプロイする必要があります。

SQL Azure が使用できる唯一のポートであるポート 1433 で、ネットワークがアウトバウンド アクセスをブロックしているため、現在これは不可能です。セキュリティ チームに送信ポート 1433 を開く許可を求めましたが、いくつかの懸念があります。

  1. 暗号化されていないデータベース トラフィック (ポート 1433) が、Azure のインターネット経由で Microsoft のファイアウォールで許可されています。データベースには機密情報はありませんが、データベース資格情報が暗号化されていない場合、管理資格情報はおそらくクリア テキストであり、改ざんのリスクにつながる可能性があります。

  2. Web サイトとデータベースをホストしているシステムにアクセスするために、インターネット ファイアウォールで開かれているネットワーク ポートはどれですか?

最初の質問の懸念は、Azure DB を管理するための資格情報が、デプロイ中に暗号化されずにポート 1433 で送信されることだと思います。2 番目の答えは、エンドポイントを構成して、クラウド サービスに必要なポートを何でも開くことができるということだと思いますが、デフォルトでは閉じられています。

私はいくつかの調査を行いましたが、マイクロソフトからのこれらの質問に対する決定的な回答を見つけることができませんでした。この分野で私よりも多くの経験をお持ちの方からの洞察に興味があります。

4

2 に答える 2

2

SQL Azure は、次のセキュリティ ガイドラインと制限事項 (Windows Azure SQL データベース) の記事に従って、暗号化 (SSL) 通信のみを受け入れます: http://msdn.microsoft.com/en-us/library/windowsazure/ff394108.aspx

暗号化と証明書の検証 Windows Azure SQL データベースとアプリケーション間のすべての通信には、常に暗号化 (SSL) が必要です。クライアント アプリケーションが接続時に証明書を検証しない場合、Windows Azure SQL データベースへの接続は「中間者」攻撃の影響を受けやすくなります。アプリケーション コードまたはツールで証明書を検証するには、暗号化された接続を明示的に要求し、サーバー証明書を信頼しないでください。アプリケーション コードまたはツールが暗号化された接続を要求しない場合でも、それらは暗号化された接続を受け取ります。ただし、サーバー証明書を検証しない可能性があるため、「中間者」攻撃の影響を受けやすくなります。ADO.NET アプリケーション コードで証明書を検証するには、データベース接続文字列で Encrypt=True および TrustServerCertificate=False を設定します。詳細については、「方法: ADO.NET を使用して Windows Azure SQL データベースに接続する」を参照してください。SQL Server Management Studio は、証明書の検証もサポートしています。[サーバーへの接続] ダイアログ ボックスで、[接続のプロパティ] タブの [接続の暗号化] をクリックします。SQL Server Management Studio は、SQL Server 2008 R2 より前のバージョンの Windows Azure SQL データベースをサポートしていません。

SQL Azure uses 1433 and 8443. Azure のポート要件については、http: //msdn.microsoft.com/en-us/library/windowsazure/jj136814.aspxを参照してください。

特定の IP アドレスとの間のファイアウォール トラフィックを制限する場合は、Azure データセンターの IP 範囲をhttp://msdn.microsoft.com/en-us/library/windowsazure/dn175718.aspxで入手できます。

于 2013-11-07T16:41:20.050 に答える
0

いくつかのオプション(DarrelNortonの回答に加えて):-専用のSQL Server VMを使用できます。その後、ポート転送を使用できます。ポートの問題は問題ではなく、インストールできる追加のファイアウォールオプションと追加のセキュリティソフトウェアがあります-専用SQL VM を使用すると、SQL Server で TDE (Trans. Data Encryption) を利用したり、SQL Azure DB では利用できないより高度な暗号化手法を実行したりできます。専用の SQL VM は、他の MSFT クライアントから分離されています。ハッキングされた場合は、スクリプトから VM を再プロビジョニングできます。セキュリティが心配な場合は、MSFT データ センターとローカル ネットワーク間の仮想ネットワーク接続を使用できます (VPN は暗号化されています)。

于 2013-11-07T22:17:17.520 に答える