将 Power BI Desktop 连接到 Azure 的最安全方式 SQL
Most secure way to connect Power BI Desktop to Azure SQL
MS suggests 这些方法允许 Power BI Desktop 访问 Azure DB
a) 打开所有 Azure IP 范围到 Azure 的入站连接 SQL
b) 打开到某些 IP 的入站连接
c) 使用企业网关,即使您在 Azure 而不是本地。
问题:这是否与真正的 VPN 一样安全?表示没有数据可以发送到数据库服务器端口?
d) 是否没有像反向代理或带 mfa 的应用程序防火墙那样工作的 Azure-box-service?
e) Azure 应用程序代理是解决方案吗?
最好的安全实践是什么?
a) 和 b) 让我担心,因为一个庞大的 Azure 未知用户组不需要访问权限。并且因为数据库不会受到 IP 欺骗的保护。
对于 c),d),e) 我没有找到 MS 关于安全风险的明确引用。
感谢您澄清和评论我的担忧。
在 Power BI Desktop 中,选项 b) opening inbound connections to certain IPs 是典型的方法。通常有一小部分固定的 public IP 供您的组织用于出站流量,这些 IP 可以添加到 Azure SQL 服务器的防火墙。
IP 欺骗是 non-issue,因为 Azure 永远不会将 return 数据包路由到欺骗者,即使它们以某种方式一直到达 SQL 服务器。
c) use an Enterprise Gateway Concerns: is this as secure as a real VPN? Means no data can be sent to the DB Server port?
是的。 Power BI Gateway server runs on a private Azure VNet, and the SQL Server's firewall is configured to allow connections from this VNet。但 Power BI Desktop 无法使用网关直接连接。它只是一个用于从 Power BI 服务连接到数据源的解决方案。因此,如果您发布共享数据集,则可以使用 Power BI 桌面连接到该数据集。但是您不能通过网关直接从 Power BI Desktop 连接到 Azure SQL 数据库。因此,您仍然需要为在 Power BI Desktop 中设计 Power BI 数据集(模型)的用户设置防火墙规则。
Is there no out of the Azure-box-service in place that works like a reverse proxy or application firewall with mfa?
没有。这不是 HTTP 连接,因此没有反向代理。虽然您可以配置您的 Azure SQL 数据库以允许 Azure Active Directory 帐户,然后使用您的 conditional access 策略强制执行 MFA。这些是 built-in 到 Azure SQL 数据库和 Azure Active Directory,并且是在 防火墙之后的安全层。
2021 编辑
Azure SQL 数据库现在支持 Private Link,这使 Azure SQL 数据库能够侦听 Azure 中专用网络上的 IP 地址。此网络可以使用 Site-to-Site VPN 或 ExpressRoute 路由到您的 Power BI Desktop 用户,或者开发人员可以部署 Point-to-Site VPN 以使单个桌面能够直接与目标专用网络通信。
MS suggests 这些方法允许 Power BI Desktop 访问 Azure DB
a) 打开所有 Azure IP 范围到 Azure 的入站连接 SQL
b) 打开到某些 IP 的入站连接
c) 使用企业网关,即使您在 Azure 而不是本地。 问题:这是否与真正的 VPN 一样安全?表示没有数据可以发送到数据库服务器端口?
d) 是否没有像反向代理或带 mfa 的应用程序防火墙那样工作的 Azure-box-service?
e) Azure 应用程序代理是解决方案吗?
最好的安全实践是什么? a) 和 b) 让我担心,因为一个庞大的 Azure 未知用户组不需要访问权限。并且因为数据库不会受到 IP 欺骗的保护。
对于 c),d),e) 我没有找到 MS 关于安全风险的明确引用。
感谢您澄清和评论我的担忧。
在 Power BI Desktop 中,选项 b) opening inbound connections to certain IPs 是典型的方法。通常有一小部分固定的 public IP 供您的组织用于出站流量,这些 IP 可以添加到 Azure SQL 服务器的防火墙。
IP 欺骗是 non-issue,因为 Azure 永远不会将 return 数据包路由到欺骗者,即使它们以某种方式一直到达 SQL 服务器。
c) use an Enterprise GatewayConcerns: is this as secure as a real VPN? Means no data can be sent to the DB Server port?
是的。 Power BI Gateway server runs on a private Azure VNet, and the SQL Server's firewall is configured to allow connections from this VNet。但 Power BI Desktop 无法使用网关直接连接。它只是一个用于从 Power BI 服务连接到数据源的解决方案。因此,如果您发布共享数据集,则可以使用 Power BI 桌面连接到该数据集。但是您不能通过网关直接从 Power BI Desktop 连接到 Azure SQL 数据库。因此,您仍然需要为在 Power BI Desktop 中设计 Power BI 数据集(模型)的用户设置防火墙规则。
Is there no out of the Azure-box-service in place that works like a reverse proxy or application firewall with mfa?
没有。这不是 HTTP 连接,因此没有反向代理。虽然您可以配置您的 Azure SQL 数据库以允许 Azure Active Directory 帐户,然后使用您的 conditional access 策略强制执行 MFA。这些是 built-in 到 Azure SQL 数据库和 Azure Active Directory,并且是在 防火墙之后的安全层。
2021 编辑
Azure SQL 数据库现在支持 Private Link,这使 Azure SQL 数据库能够侦听 Azure 中专用网络上的 IP 地址。此网络可以使用 Site-to-Site VPN 或 ExpressRoute 路由到您的 Power BI Desktop 用户,或者开发人员可以部署 Point-to-Site VPN 以使单个桌面能够直接与目标专用网络通信。