Skip to content

Sikker dataplattform: To tiltak som sikrer databasen din 

I del 1 av denne bloggserien tar vi for oss hvordan Azure SQL server kan settes opp på en trygg måte. Det er enkelt å sette opp en dataplattform i Azure, men det er ikke like enkelt å sette den opp trygt og sikkert. Vi forutsetter her et oppsett av en Azure Dataplattform som bruker Azure Data Factory, Azure SQL server og Azure Key Vault.
3. apr Jon Christian Halvorsen

 

Tiltak 1 – Bruk kun Azure AD-autentisering 

Ved oppretting av databasen kan du velge om du vil bruke Azure AD- autentisering, SQL- autentisering (brukernavn og passord), eller begge deler. 

Passord kan fort komme på avveie, så her anbefaler vi å bruke Azure AD- autentisering. Det er også en fordel at man da ikke kan dele på brukere, og det logges hvem som gjør hver spørring.  Har du allerede en databaseserver fra før av, kan du gjøre det her (på databaseservernivå): 

Graphical user interface, text, application, email

Description automatically generated

Som en konsekvens av dette, må vi legge til identiteten til Data Factory. Dette støttes enn så lenge ikke gjennom standard Azure-roller, og må dermed gjøres inne på selve databasen. Merk at du må logge på databasen med en Azure AD-bruker for å få lov til å gi tilganger til andre AAD-brukere. 

Denne prosessen kan gjøres fra for eksempel SQL Server Management Studio, eller rett fra Azure-portalen. Logg inn som AADbruker inne på databasen i Azure:

Graphical user interface, application

Description automatically generated

SQL-kode som kan kjøres for å gi tilgang kan se slik ut:

Graphical user interface, application

Description automatically generated


CREATE
 USER            [data_factory_navn] FROM EXTERNAL PROVIDER 

ALTER ROLE db_datareader    ADD MEMBER  [data_factory_navn]; 

ALTER ROLE db_datawriter    ADD MEMBER  [data_factory_navn]; 

ALTER ROLE db_ddladmin      ADD MEMBER  [data_factory_navn]; 

Rollene som gis her, er det som trengs for å lese, skrive og opprette tabeller på hele databasen. Man må ikke gi db_owner på databaseserveren, for da gir man vekk rollen «user access administrator» som kan delegere videre tilganger til andre brukere også. 

I data factory settes tilkoblingen mot database opp gjennom å velge «Autenthication type» lik «System Assigned Managed Identity»: 

Graphical user interface, text, application, email

Description automatically generated

 

Tiltak 2 – Skru av «Allow all azure services access» til databaseserver 

På brannmurnivå er det to innstillinger som kan skrus på for å forbedre sikkerheten til databasen; enten «Deny public access», eller «Allow all azure services access».  

Sikkerhetsmessig er det best å skru av “public”- tilgang, men da blir det fort vanskelig å koble til databasen i det hele tatt fra utviklermaskin (her trenger du enten VPN connection til aktuelt vNet eller et Vm i azure med for eksempel Bastion koblet til). Det man uansett bør vurdere er om «Allow all Azure services» bør skrus av. Om denne er på har i prinsippet alle tjenester som kjører i Azure (også andre kunders tjenester) brannmurmessig tilgang til databasen din. 

Å skru den av gjør du enkelt på server-ressursen i Azure:

Graphical user interface, text, application, email

Description automatically generated

Konsekvensen av dette er at du må sikre tilkoblingen fra Data Factory til Azure SQL, og du må også sikre tilkoblingen fra Power BI tjenesten til Azure SQL.

Konsekvens – Sikre tilkobling fra Data Factory

For å sikre tilkobling fra Data Factory setter du opp en ny integration runtime som har «Virtual network configuration» satt til «True»:

Graphical user interface, text, application, email

Description automatically generated

Deretter setter du opp et «managed private endpoint» mot databasen:

Graphical user interface, text, application, email

Description automatically generated

Om du har tilgang til ressursen selv, kan du klikke deg videre til «Approval portal»:

Graphical user interface, text, application, email

Description automatically generated

Og trykke OK: 

Graphical user interface, application

Description automatically generated

Merk at prisingen av Azure Date Factory er hakket dyrere på enkelte elementer om man bruker managed vNet enn uten. Oppdaterte priser kan du alltid finne på Azure sin sin side her, let etter «Azure Managed VNET Integration Runtime Price». 

Konsekvens: Sikre tilgang fra Power BI tjenesten til Azure SQL: 

Her har du i prinsippet to valg, enten kan man installere en Power BI Gateway som man self-hoster, ellers kan man installere en vNet Data Gateway (i preview, krav om Premium/Premium per user lisensiering av Power BI).

Les mer: Create virtual network data gateways 

Sov trygt om natten 

Man kan med relativt enkle grep sikre databasen sin i Azure, uten at det nødvendigvis trenger å ta lang tid, eller koste noe særlig ekstra. Å sette av litt tid til å gå gjennom disse tiltakene fører til at antallet angrepsvinkler minskes betraktelig, og man kan sove litt tryggere på natten. 

Har du spørsmål til hvordan du kan sikre databasen din?

Våre erfarne BI og Analytics konsulenter er her for å hjelpe deg med å få svar på alle dine spørsmål om sikkerhet i databasen din. Enten du trenger bistand til å løse en kompleks problemstilling eller ønsker å forbedre din forståelse av området, våre konsulenter har den kunnskapen og erfaringen som kreves for å hjelpe deg videre.

Det er bare å ta kontakt i skjemaet under så finner vi en tid som passer deg.

 

 

Forfatter

 

Jon Christian Halvorsen, Data arkitekt
Analytics (BI), twoday
 
Jon Christian hjelper bedrifter med å bli datadrevne

Relaterte artikler