本文包含将SQL Server数据库迁移到具有Azure Database Migration Service(Azure DMS)的Azure SQL产品时要遵循的一般安全最佳做法。 本文介绍如何利用SQL Server和Azure基础结构中的安全措施来保护迁移,包括源SQL Server、网络、Azure Blob 存储和目标Azure SQL产品/服务的最佳做法。
本文介绍从SQL Server(本地或其他云)到以下迁移方案:
- Azure SQL 托管实例
- 在 Azure 虚拟机上运行的 SQL Server (VM)
- Azure SQL Database
本指南适用于有关安全迁移到Azure SQL产品(例如数据库和安全架构师、数据库经理和管理员)以及迁移项目的 IT 团队部分的问题的客户。
本文中的工作正在进行中。
源SQL Server
请考虑源SQL Server的以下安全最佳做法:
使用 透明数据加密(TDE) 对数据库备份进行静态数据加密,以缓解与未经授权的数据访问相关的风险,尤其是在通过 Internet 迁移时。 还可以为其他Azure资源静态加密数据。
将 Windows 身份验证与Active Directory配合使用,以访问源或本地备份文件共享。 Active Directory提供对登录的集中管理,以简化权限管理。
遵循 最低特权原则 ,向用户授予完成任务所需的最小粒度权限和服务器角色。 例如:
当您迁移到 Azure SQL 托管实例或 Azure VM 上的 SQL Server 时,连接到源 SQL Server 实例的登录应具有
CONTROL SERVER权限。迁移到Azure SQL Database时,连接到源SQL Server实例的登录名应是 db_datareader 角色的成员。
网络
请考虑网络的安全最佳做法:
默认情况下,AZURE DMS 传输的所有数据传输都受 TLS 1.2 加密保护。
对于在源基础结构和Azure之间移动的数据,请考虑适当的安全措施,例如 HTTPS 或 VPN。 在通过公共互联网在 Azure 虚拟网络与本地位置之间传输流量时,请使用加密的 站点到站点 VPN。 站点到站点 VPN 连接是受信任的、可靠且已建立的技术,但连接通过 Internet 进行,带宽限制为最多 1.25 Gbps。
使用 ExpressRoute 迁移更大的数据集。 由于 ExpressRoute 不经过公共 Internet,它提供更高的可靠性、更快的速度、一致的延迟以及更高的安全性。
注释
如果 DMS 迁移方案需要自承载集成运行时 (SHIR),则 SHIR 计算机必须具有公共 Internet 访问权限才能启用迁移。
若要迁移到 Azure SQL Database,请使用 IP 防火墙规则限制仅对已授权 IP 地址的访问。
Azure Blob 存储
请考虑以下Azure Blob 存储的安全最佳做法:
所有通过Azure门户与Azure Storage的交互都应通过 HTTPS 进行。 使用 “需要安全传输 ”为存储帐户强制实施 HTTPS 连接。
通过使用具有有限权限的 共享访问签名(SAS)令牌配置 Azure DMS 对 Azure blob 存储的访问权限,以便能够精细地控制授予 Azure DMS 服务的权限。
Azure DMS 支持Azure blob 存储的专用终结点,同时将备份从本地文件共享复制到 Azure blob 存储。 如果无法选择专用终结点,则使用公共终结点在服务层之间进行通信。
有关详细信息,请参阅 Azure Blob 存储的安全建议。
目标的 Azure SQL 产品
请考虑目标Azure SQL产品的以下安全最佳做法:
遵循最低特权原则,授予最小粒度权限。 使用Azure Database Migration Service时,可以将自定义角色配置为限制授予Azure Database Migration Service服务的权限。
查看以下安全指南,了解如何保护Azure SQL产品:
- Azure VM 上的 SQL Server
Azure SQL Database &Azure SQL Managed Instance