0

企業ネットワークからの DLP (データ漏洩防止) について質問があります。

企業ネットワーク上に仮想マシンがあります。VM は、ポート 1433 経由の接続を介して、クラウド内の Azure SQL DB (aaa.database.windows.net) にアクセスできます。

ただし、同じ VM を bbb.database.windows.net に接続したくありません。

Azure はパブリック IP を保証しません (両方のサーバーが同じ IP として表示される可能性があります)。企業の境界ネットワーク/ファイアウォールで aaa へのアクセスを許可し、bbb へのアクセスを許可しないために使用できるテクノロジは何ですか?

私が懸念している攻撃は、社内の誰かが aaa からデータを照会し、それを bbb に挿入することです。たとえば、1 つのサーバーが ourcorporatedate.database.windows.net で、もう 1 つのサーバーが somerandom.database.windows.net である場合、社内の誰かが企業データを取得して、ランダムなデータベースに書き込むことができます。

ありがとう

4

3 に答える 3

0

データベース aaa と bbb のパブリック IP アドレスが同じ場合。オンプレミスのファイアウォールに、aaa へのアクセスを許可し、bbb へのアクセスを拒否する設定をするのは良い方法ではないと思います。同じクライアントからのファイアウォール ルールは、アウトバウンド トラフィックに対して同じ送信元 IP、プロトコル、ポート、および宛先 IP を持ちます。

Azure SQL サーバー内のデータベースの 1 つだけに選択的にアクセスを許可する場合は、必要なデータベースに対してのみデータベース レベルのルールを作成できます。また、サーバー レベルのファイアウォール ルールで指定された IP アドレス範囲を超える IP アドレス範囲をデータベース ファイアウォール ルールに指定し、クライアントの IP アドレスがデータベース レベルのルールで指定された範囲内にあることを確認します。サーバー レベルのルールは、Azure SQL Server へのアクセスを許可します。これは、クライアントがその SQL Server に保存されているすべてのデータベースにアクセスできることを意味します。このドキュメントを参照してください。

于 2018-09-04T09:58:00.113 に答える