Tiltak 1 – Bruk kun Azure AD-autentisering
Ved oppretting av databasen kan du velge om du vil bruke Azure AD- autentisering, SQL- autentisering (brukernavn og passord), eller begge deler.
Passord kan fort komme på avveie, så her anbefaler vi å bruke Azure AD- autentisering. Det er også en fordel at man da ikke kan dele på brukere, og det logges hvem som gjør hver spørring. Har du allerede en databaseserver fra før av, kan du gjøre det her (på databaseservernivå):
Som en konsekvens av dette, må vi legge til identiteten til Data Factory. Dette støttes enn så lenge ikke gjennom standard Azure-roller, og må dermed gjøres inne på selve databasen. Merk at du må logge på databasen med en Azure AD-bruker for å få lov til å gi tilganger til andre AAD-brukere.
Denne prosessen kan gjøres fra for eksempel SQL Server Management Studio, eller rett fra Azure-portalen. Logg inn som AADbruker inne på databasen i Azure:
SQL-kode som kan kjøres for å gi tilgang kan se slik ut:
CREATE USER [data_factory_navn] FROM EXTERNAL PROVIDER
ALTER ROLE db_datareader ADD MEMBER [data_factory_navn];
ALTER ROLE db_datawriter ADD MEMBER [data_factory_navn];
ALTER ROLE db_ddladmin ADD MEMBER [data_factory_navn];
Rollene som gis her, er det som trengs for å lese, skrive og opprette tabeller på hele databasen. Man må ikke gi db_owner på databaseserveren, for da gir man vekk rollen «user access administrator» som kan delegere videre tilganger til andre brukere også.
I data factory settes tilkoblingen mot database opp gjennom å velge «Autenthication type» lik «System Assigned Managed Identity»:
Tiltak 2 – Skru av «Allow all azure services access» til databaseserver
På brannmurnivå er det to innstillinger som kan skrus på for å forbedre sikkerheten til databasen; enten «Deny public access», eller «Allow all azure services access».
Sikkerhetsmessig er det best å skru av “public”- tilgang, men da blir det fort vanskelig å koble til databasen i det hele tatt fra utviklermaskin (her trenger du enten VPN connection til aktuelt vNet eller et Vm i azure med for eksempel Bastion koblet til). Det man uansett bør vurdere er om «Allow all Azure services» bør skrus av. Om denne er på har i prinsippet alle tjenester som kjører i Azure (også andre kunders tjenester) brannmurmessig tilgang til databasen din.
Å skru den av gjør du enkelt på server-ressursen i Azure:
Konsekvensen av dette er at du må sikre tilkoblingen fra Data Factory til Azure SQL, og du må også sikre tilkoblingen fra Power BI tjenesten til Azure SQL.
Konsekvens – Sikre tilkobling fra Data Factory
For å sikre tilkobling fra Data Factory setter du opp en ny integration runtime som har «Virtual network configuration» satt til «True»:
Deretter setter du opp et «managed private endpoint» mot databasen:
Om du har tilgang til ressursen selv, kan du klikke deg videre til «Approval portal»:
Og trykke OK:
Merk at prisingen av Azure Date Factory er hakket dyrere på enkelte elementer om man bruker managed vNet enn uten. Oppdaterte priser kan du alltid finne på Azure sin sin side her, let etter «Azure Managed VNET Integration Runtime Price».
Konsekvens: Sikre tilgang fra Power BI tjenesten til Azure SQL:
Her har du i prinsippet to valg, enten kan man installere en Power BI Gateway som man self-hoster, ellers kan man installere en vNet Data Gateway (i preview, krav om Premium/Premium per user lisensiering av Power BI).
Les mer: Create virtual network data gateways
Sov trygt om natten
Man kan med relativt enkle grep sikre databasen sin i Azure, uten at det nødvendigvis trenger å ta lang tid, eller koste noe særlig ekstra. Å sette av litt tid til å gå gjennom disse tiltakene fører til at antallet angrepsvinkler minskes betraktelig, og man kan sove litt tryggere på natten.
Har du spørsmål til hvordan du kan sikre databasen din?
Våre erfarne BI og Analytics konsulenter er her for å hjelpe deg med å få svar på alle dine spørsmål om sikkerhet i databasen din. Enten du trenger bistand til å løse en kompleks problemstilling eller ønsker å forbedre din forståelse av området, våre konsulenter har den kunnskapen og erfaringen som kreves for å hjelpe deg videre.
Det er bare å ta kontakt i skjemaet under så finner vi en tid som passer deg.
Forfatter