1. Accueil
  2. Question et réponse
  3. Configuration du pare-feu Azure SQL Server: permet-il à toutes les adresses IP de connecter un drapeau rouge?

Configuration du pare-feu Azure SQL Server: permet-il à toutes les adresses IP de connecter un drapeau rouge?

2016-03-24 3 views
2

Je viens de créer mon premier serveur et base de données Azure SQL et j'essaie maintenant de configurer le pare-feu pour que mon application Web puisse se connecter et apporter des modifications à la base de données unique sur le serveur.Configuration du pare-feu Azure SQL Server: permet-il à toutes les adresses IP de connecter un drapeau rouge?

Je vois que vous pouvez permettre à tous les clients de se connecter en permettant une règle telle: enter image description here

est cependant cette mauvaise pratique? Je vois que mon adresse IP du client est répertoriée dans le portail Azure puis-je obtenir des précisions que je dois autoriser cet accès à l'adresse IP unique pour le moment, puis plus tard lorsque je publie mon application Web sur Azure l'application Web est active et ne limite que l'accès à cette application (en supposant que les utilisateurs ne peuvent modifier la base de données que via mon application frontale).

Merci

Source

2016-03-24 Pipeline

Répondre

3

Oui, c'est une mauvaise pratique. Il y a d'autres couches qu'il faudrait traverser (par exemple, la connexion au serveur), mais cela ouvre la porte d'entrée et permet à quiconque de s'en occuper à loisir. Si vous avez un serveur web hébergeant votre application web sur un serveur (ce que vous devez être), la liste blanche de l'adresse IP de ce serveur (et peut-être la vôtre, pour le développement/l'administration), mais permettant toutes les adresses IP n'est pas bonne pratique, non.

Un cas particulier où vous pouvez vraiment autoriser cela est si vous distribuez une application de bureau à des clients inconnus qui doivent se connecter au backend. Cela devient extrêmement alléchant à ce point, mais même ainsi, la pratique recommandée (ou du moins, ma pratique recommandée) serait d'utiliser un service Web qui acceptera un enregistrement d'application au démarrage de l'application, enregistrer temporairement l'IP du client à travers , et ensuite avoir un serveur d'arrière-plan (pensez WebJobs) qui va vider les règles de pare-feu dire, chaque nuit ou plus (ou pour une installation plus élaborée, accepter l'enregistrement avec un délai et utiliser un WebJob continu pour interroger le délai et actualiser/révoquer si nécessaire)

Source

2016-03-24 15:53:43 jleach

+0

Je me suis dit que je voulais juste une confirmation, merci! – Pipeline

+0

@Pipeline Content de vous aider. Rappelez-vous que la sécurité est composée de plusieurs couches, et pour une efficacité maximale, elles doivent toutes être aussi restreintes que raisonnables. Bien que cela ne permette pas nécessairement aux gens de pirater facilement votre base de données, c'est une couche de moins qu'ils devraient traverser! – jleach

 Questions connexes

  • Aucun problème connexe^_^