SQL Azure部署安全問題

Question

我們正在開發使用Windows Azure雲服務和SQL Azure數據庫的應用程序。 我們有一個ASP .NET MVC項目，該項目首先使用數據庫在Visual Studio解決方案中創建實體。 現在，我們需要將數據庫架構部署到Azure。

當前這是不可能的，因為我們的網絡阻止了端口1433上的出站訪問，這是唯一可用的SQL Azure端口。 我們已經要求我們的安全團隊允許開放1433端口出站，但他們有一些擔憂：

1. Microsoft的防火牆通過Internet允許Azure進行未經加密的數據庫通信（端口1433）。 盡管數據庫中沒有敏感信息，但是如果未對數據庫憑據進行加密，則管理憑據可能采用明文形式，並且可能導致損壞的風險。

2. 在Internet防火牆上打開了哪些網絡端口以訪問托管網站和數據庫的系統？

我相信第一個問題的擔心是，用於管理Azure DB的憑據將在部署過程中通過未加密的端口1433發送。 對於第二個問題，我認為答案是我們可以配置端點以打開我們想要為雲服務使用的任何端口，但是默認情況下它們是關閉的。

我進行了一些研究，但無法從Microsoft找到關於這些問題的任何明確答案，這使我認為我們提出的問題是錯誤的。 我將對任何比我有更多經驗的人感興趣。

Answer 1

根據此處的安全准則和限制（Windows Azure SQL數據庫）文章，SQL Azure僅接受加密（SSL）通信： http : //msdn.microsoft.com/zh-cn/library/windowsazure/ff394108.aspx

加密和證書驗證Windows Azure SQL數據庫與您的應用程序之間的所有通信都始終需要加密（SSL）。 如果您的客戶端應用程序在連接時未驗證證書，則您與Windows Azure SQL數據庫的連接容易受到“中間人”攻擊。 要使用應用程序代碼或工具驗證證書，請顯式請求加密連接，並且不要信任服務器證書。 如果您的應用程序代碼或工具不請求加密連接，則它們仍將接收加密連接。 但是，它們可能無法驗證服務器證書，因此容易受到“中間人”攻擊。 若要使用ADO.NET應用程序代碼驗證證書，請在數據庫連接字符串中設置Encrypt = True和TrustServerCertificate = False。 有關更多信息，請參見如何：使用ADO.NET連接到Windows Azure SQL數據庫。 SQL Server Management Studio還支持證書驗證。 在“連接到服務器”對話框中，在“連接屬性”選項卡上單擊“加密連接”。 SQL Server Management Studio在SQL Server 2008 R2之前的版本中不支持Windows Azure SQL數據庫。

SQL Azure使用1433和8443。Azure的端口要求可在此處獲得： http : //msdn.microsoft.com/zh-cn/library/windowsazure/jj136814.aspx

如果要限制與特定IP地址之間的防火牆通信，請在此處提供Azure數據中心IP范圍： http : //msdn.microsoft.com/zh-cn/library/windowsazure/dn175718.aspx

Answer 2

一些選項（除了DarrelNorton的答案之外）：-您可以使用專用的SQL Server VM，然后可以使用端口轉發，而端口問題不是問題，並且可以安裝其他防火牆選項和其他安全軟件-專用SQL VM允許您利用SQL Server中的TDE（傳輸數據加密），或者可以執行SQL Azure DB中不可用的更高級的加密技術-與其他MSFT客戶端隔離的專用SQL VM。 如果遭到黑客入侵，則可以從腳本中重新配置VM-如果您擔心安全性，可以在MSFT數據中心和本地網絡之間使用虛擬網絡連接（VPN加密）