使用Windows Azure Connect的SQL Server安全连接

Question

我正在设置一个在Azure上运行但需要访问本地SQL Server的系统。 我已经按照本文的详细说明进行了构建。 这要求我向看起来像严重的安全问题的世界开放1433端口。 有什么方法可以打开该端口并保持其安全（我知道我可以拥有复杂的用户ID和密码以及所有其他内容，但是有一种更好的方法来保护SQL Server）

Answer 1

默认情况下，将通过IPSEC协议保护本地数据库和Windows Azure Connect之间的连接安全

“ Windows Azure Connect使用行业标准的端到端IPSEC协议在本地计算机和云中的角色之间建立安全连接。与传统的虚拟专用网络（VPN）可以在网关级别建立安全连接的传统虚拟专用网络（VPN）不同，Windows Azure通过在计算机和角色级别建立安全连接，Connect提供了更精细的控制。”

http://blogs.msdn.com/b/usisvde/archive/2012/03/14/windows-azure-security-best-practices-part-6-how-azure-services-extends-your-app-security。 ASPX

您的数据库将不会公开可用，只有Azure Connect上的VM可以看到它。

传统的防火墙和本地安全策略和过程仍将数据库隐藏在企业环境中，您所要做的就是使Windows Azure VM（角色）能够查看它。

Answer 2

我看到了@ user728584有关打开端口1433的答案的评论讨论。端口1433与Azure Connect无关，后者本质上是本地盒和Windows Azure角色实例集合之间的VPN隧道。 Azure Connect要求在要添加到Connect组的任何本地服务器上安装代理，并且不需要打开入站端口。 在这种情况下，您需要将代理添加到SQL Server框中，然后将其作为连接组的一部分，并且可以直接从Windows Azure角色实例（对于添加到组中的角色）进行访问。 然后，Connect Agent建立隧道。

Connect Agent具有为您生成的特殊密钥，使其成为唯一密钥。 但是，即使有人以某种方式为您的特定Connect Agent获取了安装程序，它也无济于事，因为您仍然需要将该节点添加到Connect Group中。 因此，这是一个安全的设置。