Säkerhet | SQL Server aktiverat av Azure Arc

I den här artikeln beskrivs säkerhetsarkitekturen för komponenterna i SQL Server som aktiveras av Azure Arc.

Bakgrund om SQL Server som aktiveras av Azure Arc finns i Översikt | SQL Server aktiverat av Azure Arc.

Agent och tillägg

De viktigaste programvarukomponenterna för SQL Server som aktiveras av Azure Arc är:

• Azure Connected Machine-agent
• Azure-tillägg för SQL Server

Azure Connected Machine-agenten ansluter servrar till Azure. Azure-tillägget för SQL Server skickar data till Azure om SQL Server och hämtar kommandon från Azure via en Azure Relay-kommunikationskanal för att vidta åtgärder på en SQL Server-instans. Tillsammans kan agenten och tillägget hantera dina instanser och databaser som finns var som helst utanför Azure. En instans av SQL Server med agenten och tillägget aktiveras av Azure Arc.

Agenten och tillägget ansluter säkert till Azure för att upprätta kommunikationskanaler med Microsoft-hanterade Azure-tjänster. Agenten kan kommunicera via:

• En konfigurerbar HTTPS-proxyserver över Azure Express Route
• Azure Private Link
• Internet med eller utan en HTTPS-proxyserver

Mer information finns i dokumentationen om connected machine-agenten:

• Översikt
• Nätverkskrav
• Förutsättningar

För datainsamling och rapportering kräver vissa av tjänsterna AMA-tillägget (Azure Monitoring Agent). Tillägget måste vara anslutet till en Azure Log Analytics. De två tjänster som kräver AMA är:

• Microsoft Defender för molnet
• Utvärdering av metodtips för SQL Server

Med Azure-tillägget för SQL Server kan du identifiera konfigurationsändringar på värd- eller OS-nivå (till exempel Windows Server-redundanskluster) för alla SQL Server-instanser på detaljerad nivå. Till exempel:

• SQL Server-motorinstanser på en värddator
• Databaser i en SQL Server-instans
• Tillgänglighetsgrupper

Med Azure-tillägget för SQL Server kan du centralt hantera, skydda och styra SQL Server-instanserna var som helst genom att samla in data för uppgifter som inventering, övervakning och andra uppgifter. En fullständig lista över insamlade data finns i Datainsamling och rapportering.

Följande diagram illustrerar arkitekturen för Azure Arc-aktiverad SQL Server.

Komponenter

En instans av SQL Server som aktiveras av Azure Arc har integrerade komponenter och tjänster som körs på servern och som hjälper dig att ansluta till Azure. Förutom agenttjänsterna har en instans aktiverad de komponenter som anges i det här avsnittet.

Resursleverantörer

En resursprovider (RP) exponerar en uppsättning REST-åtgärder som aktiverar funktioner för en specifik Azure-tjänst via ARM-API:et.

Registrera följande 2 RP:er för att Azure-tillägget för SQL Server ska fungera:

• Microsoft.HybridCompute RP: Hanterar livscykeln för Azure Arc-aktiverade serverresurser, inklusive tilläggsinstallationer, körning av anslutna datorer och andra hanteringsuppgifter.
• Microsoft.AzureArcData RP: Hanterar livscykeln för SQL Server som aktiveras av Azure Arc-resurser baserat på inventerings- och användningsdata som den tar emot från Azure-tillägget för SQL Server.

Azure Arc Data Processing Service

Azure Arc Data Processing Service (DPS) är en Azure-tjänst som tar emot data om SQL Server som tillhandahålls av Azure-tillägget för SQL Server på en Arc-ansluten server. DPS utför följande uppgifter:

• Bearbetar inventeringsdata som skickas till den regionala slutpunkten av Azure-tillägget för SQL Server och uppdaterar SqlServerInstance-resurserna i enlighet med detta via ARM-API:et och Microsoft.AzureArcData RP.
• Bearbetar användningsdata som skickas till den regionala slutpunkten av Azure-tillägget för SQL Server och skickar faktureringsbegäranden till Azure-handelstjänsten.
• Övervakar de användarskapade licensresurserna för SQL Server-fysiska kärnor i ARM och skickar faktureringsbegäranden till Azure-handelstjänsten baserat på licenstillståndet.

SQL Server som aktiveras av Azure Arc kräver en utgående anslutning från Azure-tillägget för SQL Server i agenten till DPS (*.<region>.arcdataservices.com TCP-port 443). Specifika kommunikationskrav finns i Ansluta till Azure Arc-databehandlingstjänsten.

Utrullare

Deployer startar Azure-tillägget för SQL Server under de första installations- och konfigurationsuppdateringarna.

Azure-tillägg för SQL Server-tjänsten

Azure-tillägget för SQL Server Service körs i bakgrunden på värdservern. Tjänstkonfigurationen beror på operativsystemet:

• Operativsystem: Windows

  • Tjänstnamn: Microsoft SQL Server Extension Service
  • Visningsnamn: Microsoft SQL Server Extension Service
  • Körs som: Lokalt system
  • Loggplats: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

• Operativsystem: Linux

  • Tjänstnamn: SqlServerExtension
  • Visningsnamn: Azure SQL Server Extension Service
  • Körs som: Root
  • Loggplats: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funktionalitet

En instans av SQL Server som aktiveras av Azure Arc utför följande uppgifter:

• Inventera alla SQL Server-instanser, databaser och tillgänglighetsgrupper

  Varje timme laddar Azure-tillägget för SQL Server-tjänsten upp en inventering till databehandlingstjänsten. Inventeringen innehåller SQL Server-instanser, AlwaysOn-tillgänglighetsgrupper och databasmetadata.

• Ladda upp användning

  Var 12:e timme laddar Azure-tillägget för SQL Server-tjänsten upp användningsrelaterade data till databehandlingstjänsten.

Arc-aktiverad serversäkerhet

Specifik information om hur du installerar, hanterar och konfigurerar Azure Arc-aktiverade servrar finns i Översikt över Arc-aktiverad serversäkerhet.

SQL Server möjliggjort av Azure Arc-säkerhet.

Azure-tillägg för SQL Server-komponenter

Azure-tillägget för SQL Server består av två huvudkomponenter, Deployer och Extension Service.

Implementeraren

Deployer startar tillägget under den första installationen och när nya SQL Server-instanser installeras eller funktioner aktiveras/inaktiveras. Under installationen, uppdateringen eller avinstallationen kör Arc-agenten som körs på värdservern distribueraren för att utföra vissa åtgärder:

• Installera
• Aktivera
• Uppdatera
• Inaktivera
• Avinstallera

Deployer körs i kontexten för Azure Connected Machine-agenttjänsten och körs därför som Local System.

Tilläggstjänsten

Tilläggstjänsten samlar in inventerings- och databasmetadata (endast Windows) och laddar upp dem till Azure varje timme. Den körs som Local System i Windows eller root på Linux. Tilläggstjänsten innehåller olika funktioner som en del av den Arc-aktiverade SQL Server-tjänsten.

Kör med minsta möjliga behörighet

Du kan konfigurera tilläggstjänsten så att den körs med minimal behörighet. Mer information om hur du konfigurerar lägsta behörighetsläge finns i Aktivera lägsta behörighet.

När den har konfigurerats för minsta möjliga behörighet körs tilläggstjänsten som NT Service\SQLServerExtension tjänstkonto.

NT Service\SQLServerExtension-kontot är ett lokalt Windows-tjänstkonto:

• Skapad och hanterad av Azure-tillägget för SQL Server Deployer när alternativet med minsta behörighet är aktiverat.
• Beviljat de minimibehörigheter och privilegier som krävs för att köra Azure-utökningen för SQL Server-tjänsten på Windows. Den har bara åtkomst till mappar och kataloger som används för att läsa och lagra konfiguration eller skriva loggar.
• Beviljad behörighet att ansluta och fråga i SQL Server med en ny inloggning specifikt för Azure-tillägget för SQL Server-tjänstkontot som har de minsta behörigheter som krävs. Minsta behörigheter beror på de aktiverade funktionerna.
• Uppdateras när behörigheter inte längre behövs. Behörigheter återkallas till exempel när du inaktiverar en funktion, inaktiverar konfiguration av lägsta behörighet eller avinstallerar Azure-tillägget för SQL Server. Återkallning säkerställer att inga behörigheter finns kvar när de inte längre krävs.

En fullständig lista över behörigheter finns i Konfigurera Windows-tjänstkonton och -behörigheter.

Tillägg till molnkommunikation

Arc-aktiverad SQL Server kräver utgående anslutning till Azure Arc Data Processing Service.

Varje virtuell eller fysisk server måste kommunicera med Azure. Mer specifikt kräver de anslutning till:

• URL: *.<region>.arcdataservices.com
  • För regioner i US Government Virginia använder du *.<region>.arcdataservices.azure.us.
• Port: 443
• Riktning: Utgående
• Autentiseringsprovider: Microsoft Entra-ID

Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från namnet på Azure-regionen. Till exempel, i regionen Östra USA 2, är regionnamnet eastus2.

Till exempel: *.<region>.arcdataservices.com bör vara *.eastus2.arcdataservices.com i regionen East US 2.

En lista över regioner som stöds finns i Azure-regioner som stöds.

Kör följande kommando för en lista över alla regioner:

az account list-locations -o table

Säkerhetsaspekter på funktionsnivå

De olika funktionerna och tjänsterna har specifika säkerhetskonfigurationsaspekter. I det här avsnittet beskrivs säkerhetsaspekter av följande funktioner:

• Granskningsaktivitet
• Utvärdering av bästa praxis
• Automatiska säkerhetskopieringar
• Microsoft Defender för molnet
• Automatiska uppdateringar
• Bildskärm
• Microsoft Entra-ID
• Microsoft Purview

Granska aktivitet

Du kan komma åt aktivitetsloggarna från tjänstmenyn för SQL Server som aktiveras av Azure Arc-resursen i Azure-portalen. Aktivitetsloggen samlar in granskningsinformation och ändringshistorik för Arc-aktiverade SQL Server-resurser i Azure Resource Manager. Mer information finns i Använda aktivitetsloggar med SQL Server aktiverat av Azure Arc.

Utvärdering av metodtips

Utvärdering av bästa praxis har följande krav:

• Kontrollera att din Windows-baserade SQL Server-instans är ansluten till Azure. Följ anvisningarna på Anslut sql-servern automatiskt till Azure Arc.

  Anmärkning

  Utvärdering av bästa praxis är för närvarande begränsad till SQL Server som körs på Windows-datorer. Utvärderingen gäller för närvarande inte för SQL Server på Linux-datorer.

• Om servern är värd för en enskild SQL Server-instans kontrollerar du att versionen av Azure-tillägget för SQL Server (WindowsAgent.SqlServer) är 1.1.2202.47 eller senare.

  Om servern är värd för flera instanser av SQL Server kontrollerar du att versionen av Azure-tillägget för SQL Server (WindowsAgent.SqlServer) är senare än 1.1.2231.59.

  För att kontrollera versionen av Azure-tillägget för SQL Server och uppdatera till den senaste, se Uppgradera tillägg.

• Om servern är värd för en namngiven instans av SQL Server måste SQL Server Browser-tjänsten köras.

• En Log Analytics-arbetsyta måste finnas i samma prenumeration som din Azure Arc-aktiverade SQL Server-resurs.

• Den användare som konfigurerar utvärdering av metodtips för SQL Server måste ha följande behörigheter:

  • Log Analytics-deltagarrollen i resursgruppen eller prenumerationen på Log Analytics-arbetsytan.
  • Rollen Azure Connected Machine Resource Administrator på resursgruppen eller prenumerationen för SQL Server-instansen som är Arc-aktiverad.
  • Övervaka deltagarrollen i resursgruppen eller prenumerationen för Log Analytics-arbetsytan och i resursgruppen eller prenumerationen för den Azure Arc-aktiverade maskinen.

  Användare som tilldelats inbyggda roller, till exempel Deltagare eller Ägare, har tillräcklig behörighet. Mer information finns i Tilldela Azure-roller med hjälp av Azure-portalen.

• De minsta behörigheter som krävs för att få åtkomst till eller läsa utvärderingsrapporten är:

  • Läsarroll i resursgruppen eller prenumerationen för resursen SQL Server – Azure Arc.
  • Log Analytics-läsare.
  • Övervakningsläsare på resursgruppen eller prenumerationen till Log Analytics-arbetsytan.

  Här följer fler krav för att få åtkomst till eller läsa utvärderingsrapporten:

  • Den inbyggda SQL Server-inloggningen NT AUTHORITY\SYSTEM måste vara medlem i SQL Server sysadmin serverroll för alla SQL Server-instanser som körs på datorn.

  • Om brandväggen eller proxyservern begränsar utgående anslutning kontrollerar du att den tillåter Azure Arc via TCP-port 443 för dessa URL:er:

    • global.handler.control.monitor.azure.com
    • *.handler.control.monitor.azure.com
    • <log-analytics-workspace-id>.ods.opinsights.azure.com
    • *.ingest.monitor.azure.com

• SQL Server-instansen måste aktivera TCP/IP-.

• Sql Server best practices assessment använder Azure Monitor Agent (AMA) för att samla in och analysera data från dina SQL Server-instanser. Om du har AMA installerat på dina SQL Server-instanser innan du aktiverar utvärdering av bästa praxis använder utvärderingen samma AMA-agent och proxyinställningar. Du behöver inte göra något annat.

  Om du inte har AMA installerat på dina SQL Server-instanser installerar utvärdering av bästa praxis det åt dig. Utvärdering av metodtips konfigurerar inte proxyinställningar för AMA automatiskt. Du måste distribuera om AMA med de proxyinställningar som du vill använda.

  Mer information om AMA-nätverks- och proxyinställningar finns i Proxykonfiguration.

• Om du använder tillägget Konfigurera Arc-aktiverade servrar med SQL Server installerat för att aktivera eller inaktivera SQL-säkerhetsutvärdering via Azure Policy för att möjliggöra utvärdering i stor skala , måste du skapa en Azure Policy-uppdrag. Din prenumeration kräver rollen Resource Policy Contributor tilldelad för det omfång som du riktar in dig på. Omfånget kan vara antingen prenumeration eller resursgrupp.

  Om du planerar att skapa en ny användartilldelad hanterad identitet behöver du även rolltilldelningen Administratör för användaråtkomst i prenumerationen.

Mer information finns i Konfigurera UTVÄRDERING av SQL-metodtips – SQL Server aktiverad av Azure Arc.

Automatiska säkerhetskopieringar

Azure-tillägget för SQL Server kan automatiskt säkerhetskopiera system- och användardatabaser på en instans av SQL Server som aktiveras av Azure Arc. Säkerhetskopieringstjänsten i Azure-tillägget för SQL Server använder NT AUTHORITY\SYSTEM kontot för att utföra säkerhetskopiorna. Om du använder SQL Server som är aktiverat av Azure Arc med minsta möjliga behörighet utför ett lokalt Windows-konto NT Service\SQLServerExtension säkerhetskopieringen.

Om du använder Azure-tillägget för SQL Server-versionen 1.1.2504.99 eller senare beviljas NT AUTHORITY\SYSTEM de nödvändiga behörigheterna automatiskt. Du behöver inte tilldela behörigheter manuellt.

Om du inte använder konfiguration med minsta möjliga behörighet måste den inbyggda SQL Server-inloggningen NT AUTHORITY\SYSTEM vara medlem i:

• dbcreator serverroll på servernivå
• db_backupoperator roll i master, model, msdboch varje användardatabas – exklusive tempdb.

Automatiserade säkerhetskopieringar är inaktiverade som standard. När de automatiserade säkerhetskopieringarna har konfigurerats initierar Azure-tillägget för SQL Server-tjänsten en säkerhetskopia till standardplatsen för säkerhetskopiering. Säkerhetskopiorna är interna SQL Server-säkerhetskopior, så all säkerhetskopieringshistorik är tillgänglig i de säkerhetskopieringsrelaterade tabellerna msdb i databasen.

Microsoft Defender för molnet

Microsoft Defender för molnet kräver att Azure Monitoring Agent konfigureras på den Arc-aktiverade servern.

Mer information finns i Microsoft Defender för molnet.

Automatiska uppdateringar

Automatiska uppdateringar skriver över alla förkonfigurerade eller principbaserade uppdateringsinställningar för Microsoft Update som konfigurerats på den Arc-aktiverade servern.

• Endast Windows- och SQL Server-uppdateringar som har markerats som Viktiga eller Kritiska installeras. Andra SQL Server-uppdateringar, till exempel service pack, kumulativa uppdateringar eller andra uppdateringar som inte är markerade som Viktiga eller Kritiska, måste installeras manuellt eller på annat sätt. Mer information om klassificeringssystemet för säkerhetsuppdateringar finns i Klassificeringssystemet för säkerhetsuppdateringens allvarlighetsgrad (microsoft.com)
• Fungerar på värdoperativsystemets nivå och gäller för alla installerade SQL Server-instanser
• För närvarande fungerar det endast på Windows-värdar. Den konfigurerar Windows Update/Microsoft Update som är den tjänst som slutligen uppdaterar SQL Server-instanserna.

Mer information finns i Konfigurera automatiska uppdateringar för SQL Server-instanser som är aktiverade för Azure Arc.

Bildskärm

Du kan övervaka SQL Server som aktiveras av Azure Arc med en prestandainstrumentpanel i Azure-portalen. Prestandamått samlas automatiskt in från DMV-datauppsättningar (Dynamic Management View) på berättigade instanser av SQL Server som aktiveras av Azure Arc och skickas till Azure-telemetripipelinen för bearbetning i nästan realtid. Övervakningen är automatisk, förutsatt att alla krav uppfylls.

Krav är:

• Servern har anslutning till telemetry.<region>.arcdataservices.com Mer information finns i Nätverkskrav.
• Licenstypen på SQL Server-instansen är satt till License with Software Assurance eller Pay-as-you-go.

Om du vill visa prestandainstrumentpanelen i Azure-portalen måste du tilldelas en Azure-roll med åtgärden Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ tilldelad. För enkelhetens skull kan du använda den inbyggda rollen Azure Hybrid Database Administrator – skrivskyddad tjänstroll, vilket inkluderar den här åtgärden. Mer information finns i Läs mer om inbyggda Azure-roller.

Information om funktionen för prestandainstrumentpanelen, inklusive hur du aktiverar/inaktiverar datainsamling och de data som samlas in för den här funktionen finns i Monitor i Azure-portalen.

Microsoft Entra-ID

Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst som ger åtkomst till externa resurser. Microsoft Entra-autentisering ger avsevärt förbättrad säkerhet jämfört med traditionell användarnamn- och lösenordsbaserad autentisering. SQL Server som aktiveras av Azure Arc använder Microsoft Entra-ID för autentisering – introducerat i SQL Server 2022 (16.x). Detta ger en centraliserad lösning för identitets- och åtkomsthantering till SQL Server.

SQL Server som aktiveras av Azure Arc lagrar certifikatet för Microsoft Entra-ID i Azure Key Vault. Mer information finns i:

• Rotera certifikat
• Microsoft Entra-autentisering för SQL Server.
• Självstudie: Konfigurera Microsoft Entra-autentisering för SQL Server

Om du vill konfigurera Microsoft Entra-ID följer du anvisningarna i Självstudie: Konfigurera Microsoft Entra-autentisering för SQL Server.

Microsoft Purview

Viktiga krav för att använda Purview:

• Ett Azure-konto med en aktiv prenumeration.
• Ett aktivt Microsoft Purview-konto.
• Datakällans administratörs - och dataläsarbehörigheter för att registrera en källa och hantera den i Microsoft Purview-styrningsportalen. Mer information finns i Åtkomstkontroll i Microsoft Purview-styrningsportalen .
• Den senaste lokalt installerade integrationskörningen. Mer information finns i Skapa och hantera en lokalt installerad integrationskörning.
• För Azure RBAC måste du ha både Microsoft Entra-ID och Azure Key Vault aktiverat.

Metodtips

Implementera följande konfigurationer för att följa aktuella metodtips för att skydda instanser av SQL Server som aktiveras av Azure Arc:

• Aktivera lägsta behörighetsläge.
• Kör utvärdering av SQL-metodtips. Granska utvärderingen och tillämpa rekommendationer.
• Aktivera Microsoft Entra-autentisering.
• Aktivera Microsoft Defender för molnet och lös de problem som pekas ut av Defender för SQL.
• Aktivera inte SQL-autentisering. Som standard är den inaktiverad. Granska metodtips för SQL Server-säkerhet.

Relaterat innehåll

• Grunderna i Azure-säkerhet
• Säkerhetsöversikt för Azure Arc-aktiverade servrar