اتصال یک برنامه وب لاجورد با سرور SQL با استفاده از نقاط پایانی خصوصی

در عصر دیجیتال امروز ، امنیت بدون توجه به اندازه یا صنعت آن ، برای هر شرکتی مهم است. شیوع روزافزون تهدیدهای سایبری ، نقض داده ها و حملات مخرب بر لزوم اقدامات امنیتی قوی تأکید می کند.

برخی از دلایل مهم که باعث مهم بودن امنیت می شود ، حمایت از داده های حساس ، حفظ اعتماد ، جلوگیری از ضرر مالی است که مزیت رقابتی می دهد.

امنیت می تواند در چندین سطح امکان پذیر باشد ، که شامل سطح هویت و سطح شبکه است. منظور از هویت در اینجا منظور ما تأمین دسترسی به منابع شرکت با استفاده از هویت کاربر است. لایه های شبکه از منابع را می توان با استفاده از فایروال ها و پیکسل های دسترسی محافظت کرد ، که فقط ترافیک مجاز (آدرس های IP) را قادر می سازد تا به منابع شما برسند.

پیش نیازهای

• اشتراک لاجورد فعال

منابع ایجاد شده

• سرور SQL
• پایگاه داده SQL
• vnet و زیر شبکه
• نقاط پایانی خصوصی
• برنامه های وب

ایجاد Vnets/Subnets
شبکه های مجازی آگهی انزوا را فراهم می کند ، ارتباط ایمن بین منابع مختلف با یک شبکه مجازی را امکان پذیر می کند. این امر مانع از امکان دسترسی عمومی به منابع مختلف از این رو باعث افزایش امنیت لایه شبکه می شود.

1. ما یک شبکه مجازی و یک زیر شبکه در داخل آن ایجاد خواهیم کرد.

1. ایجاد یک زیر شبکه در VNET ، این زیر شبکه ای است که نقطه پایانی خصوصی در آن خواهد داشت

در آخر ، HIT ایجاد کنید تا شبکه مجازی را با زیر شبکه ایجاد کنید.

سرور SQL و پایگاه داده
ما یک سرور SQL با Access Public Accable Accable ایجاد خواهیم کرد و فقط از نقطه پایانی خصوصی برای دسترسی به سرور استفاده خواهیم کرد. به جای احراز هویت SQL ما از AAD مبتنی بر Auth برای سرور SQL استفاده خواهیم کرد ، این به ما کمک می کند تا بدون اعتبار و اعتبار داشته باشیم.

با رفتن به برگه شبکه ، دسترسی عمومی را در سرور SQL غیرفعال کنید

دسترسی خصوصی را با استفاده از نقاط پایانی خصوصی فعال کنید. یک نقطه پایانی خصوصی را در زیر زیر شبکه ایجاد شده در بالا ایجاد کنید.

حتماً مناطق DNS خصوصی را فعال کنید ، تا نام DNS برای نقطه پایانی خصوصی به یک آدرس IP در داخل VNET برطرف شود. هنگامی که ما نقاط پایانی خصوصی را از خود منابع ایجاد می کنیم ، منبع هدف به طور خودکار پر می شود ، در اینجا می خواهیم “SQLServer” باشد

انتخاب این گزینه تمام منابع مورد نیاز را ایجاد می کند ، که مربوط به DNS است. از نام دامنه Private Endpoint می توان برای اتصال به سرویس بعداً استفاده کرد. اکنون با استفاده از یک نقطه پایانی خصوصی می توانید از سرور SQL از VNET دسترسی پیدا کنید.

دسترسی به پایگاه داده ایجاد شده برای ایجاد جدول
یک ماشین مجازی در همان VNET می تواند برای دسترسی به سرور SQL استفاده شود. یک ماشین مجازی و RDP را در آن ایجاد کنید. از VM به Azure وارد شوید و به کاشی ویرایشگر پرس و جو از پایگاه داده دسترسی پیدا کنید

دسترسی به DB از خارج از VNET ، شماره زیر را دریافت خواهید کرد

در حین دسترسی به VM امکان دسترسی به پایگاه داده را فراهم می کند. ممکن است ضمن ایجاد جداول و کاربران در پایگاه داده ، به ویرایشگر پرس و جو در زیر دسترسی داشته باشید. اکنون بانک اطلاعاتی آماده است.

با استفاده از هویت مدیریت شده برای دسترسی به برنامه وب به پایگاه داده

هویت های مدیریت شده (MI) به ما کمک می کند تا بدون اعتبار و اعتبار ، این MIS را در یک منبع و سایر منابع بتوانیم از این MI استفاده کنیم تا به منبعی که در آن لیست شده است ، درست مانند کاربر استفاده کنیم.

به منبع برنامه وب در پورتال بروید و سیستم تعیین شده هویت مدیریت شده را روشن کنید. این یک MI با همان نام برنامه وب ایجاد می کند ، محدود به چرخه عمر برنامه وب.

اکنون ، این MI باید به عنوان کاربر در پایگاه داده اضافه شود ، می توانید به ویرایشگر پرس و جو از پایگاه داده بروید و دستور زیر را اجرا کنید

CREATE USER [web-app-name] FROM EXTERNAL PROVIDER ;
ALTER ROLE db_datareader ADD MEMBER [web-app-name];
ALTER ROLE db_datawriter ADD MEMBER [web-app-name];
ALTER ROLE db_ddladmin ADD MEMBER [web-app-name];
GO

رشته اتصال برای پایگاه داده چیزی شبیه به این خواهد بود

Server=tcp:.database.windows.net,1433;Initial Catalog=;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";

توجه داشته باشید متغیر تأیید اعتبار به عنوان “پیش فرض Active Directory”. این به ما کمک می کند تا اعتبار خود را بدون اعتبار انجام دهیم. می توانید به جای استفاده مستقیم از آن در داخل کد ، رشته اتصال را در متغیرهای محیط برنامه وب ذخیره کنید.

امکان دسترسی به برنامه وب برای دسترسی به سرور SQL با استفاده از نقطه پایانی خصوصی

اکنون ، در بخش فوق بخشی را که دسترسی به پایگاه داده SQL را بر اساس هویت محدود می کنیم ، پوشش می دهیم. اکنون خواهیم دید که چگونه می توان از سرور SQL در سطح شبکه محافظت کرد. ما فقط دسترسی خصوصی به سرور را با استفاده از نقاط پایانی خصوصی فعال کرده ایم. اما برنامه وب متعلق به VNET نیست که نقطه پایانی خصوصی وجود دارد.

این جایی است که ما یک ویژگی به نام “ادغام VNET” برای برنامه وب داریم. این به برنامه وب اجازه می دهد تا به منابع موجود در یک VNET معین دسترسی پیدا کند ، بنابراین امکان دسترسی به نقطه پایانی خصوصی را فراهم می کند.

ادغام VNET تماس های خارج از سرویس را از این سرویس برای فرود در VNET هدایت می کند.

یک ادغام VNET ایجاد کنید و VNET را که در آن نقطه پایانی خصوصی ایجاد شده است ، انتخاب کنید ، ساده به همین دلیل! اکنون ، تماس های برون مرزی از برنامه وب وارد VNET می شود و از نقطه پایانی خصوصی برای دسترسی به پایگاه داده استفاده می کند.

یپه ما تمام شد! من می دانم که موارد فوق می تواند کمی پرتحرک باشد ، بنابراین در زیر یک لیست چک وجود دارد که می توانید هنگام تکمیل آن را تیک بزنید.

1. در داخل آن یک VNET و زیر شبکه ایجاد کنید
2. یک پایگاه داده و سرور SQL با Access Accable Offaced ایجاد کنید
3. دسترسی خصوصی به سرور SQL را با استفاده از نقطه پایانی خصوصی فعال کنید
4. برنامه وب ایجاد کنید و یکپارچه سازی VNET را به آن اضافه کنید ، اطمینان حاصل کنید که ادغام VNET با استفاده از همان VNET که در آن نقطه پایانی خصوصی ایجاد شده است ایجاد شده است.
5. برای برنامه وب MI ایجاد کنید و آن را به عنوان کاربر در پایگاه داده اضافه کنید
6. رشته اتصال صحیح را در کد متغیرهای ENV برنامه وب به روز کنید