限制从Azure VM访问Azure SQL

Question

由于Azure SQL只有DNS地址，并且没有IP，所以我们无法在我们的Azure应用程序虚拟机上强制实施ACL/NSG，因为它需要与我们的Azure SQL进行通信。 仅ACL/NSG有IP范围限制..没有DNS限制..

因此，潜在地，一个设法潜入我们的Azure应用程序虚拟机的黑客，可以推动其被盗取的数据到他想要的任何IP，只要他外出端口1433.

无论如何，我们可以将Azure虚拟机的出站通信限制到我们的Azure SQL？

Answer 1

你是对的，你不能在一个虚拟网络（VNet）中放置一个Azure SQL数据库。另外，只能将NSG出站安全规则配置为使用将通信限制为Internet，Azure负载平衡器或Azure流量管理器端点的标记。因此，不幸的是，目前无法将具有NSG的Azure VM限制为只能通过端口1433与特定的Azure SQL数据库进行通信。

但是，另一方面，您可以限制Azure SQL数据库防火墙规则只允许Azure VM通过在SQL数据库防火墙规则中指定其IP地址来连接到数据库。