本文包含使用 Azure 数据库迁移服务(Azure DMS)将 SQL Server 数据库迁移到 Azure SQL 产品时要遵循的一般安全最佳做法。 本文介绍如何利用 SQL Server 和 Azure 基础结构中的安全措施来保护迁移,包括源 SQL Server、网络、Azure Blob 存储和目标 Azure SQL 产品/服务的最佳做法。
本文介绍从 SQL Server(本地或其他云)到以下迁移方案:
- Azure SQL 托管实例
- Azure 虚拟机 (VM) 上的 SQL Server
- Azure SQL 数据库
本指南适用于有关安全迁移到 Azure SQL 产品(例如数据库和安全架构师、数据库经理和管理员)以及迁移项目的 IT 团队部分的问题的客户。
本文中的工作正在进行中。
源 SQL Server
请考虑针对源 SQL Server 的以下安全最佳做法:
使用 透明数据加密(TDE) 对数据库备份进行静态数据加密,以缓解与未经授权的数据访问相关的风险,尤其是在通过 Internet 迁移时。 还可以 加密其他 Azure 资源的静态数据。
将 Windows 身份验证 与 Active Directory 配合使用来访问源或本地备份文件共享。 Active Directory 提供对简化权限管理的登录的集中管理。
遵循 最低特权原则 ,向用户授予完成任务所需的最小粒度权限和服务器角色。 例如:
迁移到 Azure VM 上的 Azure SQL 托管实例或 SQL Server 时,连接到源 SQL Server 实例的登录名应具有
CONTROL SERVER权限。迁移到 Azure SQL 数据库时,连接到源 SQL Server 实例的登录名应是 db_datareader 角色的成员。
网络
请考虑网络的安全最佳做法:
默认情况下,Azure DMS 传输的所有数据传入数据都受 TLS 1.2 加密保护。
对于在源基础结构和 Azure 之间移动的数据,请考虑适当的安全措施,例如 HTTPS 或 VPN。 在通过公共互联网在 Azure 虚拟网络和本地位置之间发送流量时,请使用加密的 站点到站点 VPN。 站点到站点 VPN 连接是受信任的、可靠且已建立的技术,但连接通过 Internet 进行,带宽限制为最多 1.25 Gbps。
使用 ExpressRoute 迁移更大的数据集。 由于 ExpressRoute 不经过公共 Internet,它提供更高的可靠性、更快的速度、一致的延迟以及更高的安全性。
若要迁移到 Azure SQL 数据库,请使用 IP 防火墙规则 限制仅对已授权 IP 地址的访问。
Azure Blob 存储
请考虑以下 Azure Blob 存储安全最佳做法:
所有通过 Azure 门户与 Azure 存储的交互都应通过 HTTPS 进行。 使用 “需要安全传输 ”为存储帐户强制实施 HTTPS 连接。
使用具有有限权限 的共享访问签名(SAS)令牌 配置对 Azure Blob 存储的 Azure DMS 访问,以便对授予 Azure DMS 服务的权限进行精细控制。
Azure DMS 支持 Azure Blob 存储的专用终结点,同时将备份从本地文件共享复制到 Azure Blob 存储。 如果无法选择专用终结点,则使用公共终结点在服务层之间进行通信。
有关详细信息,请参阅 Azure Blob 存储的安全建议。
目标 Azure SQL 产品
请考虑目标 Azure SQL 产品的以下安全最佳做法:
遵循最低特权原则,授予最小粒度权限。 使用 Azure 数据库迁移服务时,可以将自定义角色配置为限制授予 Azure 数据库迁移服务的权限。
查看以下安全指南,了解如何保护 Azure SQL 产品: