SQL Azure, используемый виртуальными машинами Azure, шифрованное соединение или виртуальная сеть?
У нас есть Azure SQL Server, который также будет принимать соединения от четырех виртуальных машин в Azure. У меня вопрос: что лучше?
Использование зашифрованных соединений, защищенных сертификатами, и прослушивания Azure SQL на общедоступном порту?
Использование незашифрованных соединений (для повышения производительности) в частной виртуальной сети?
Или Возможно оба? Я читал в документации, что использование зашифрованных соединений повлияет на производительность, следует ли это учитывать?
Если вы используете SQL все на ВМ Azure, т.е. не Базу данных SQL Azure как Службу, то я бы посоветовал перейти для всех соединений через частную сеть - как минимум на уровень Базы данных.
В качестве еще одной меры безопасности, то да, давайте рассмотрим использование SQL Always Encrypted, но это означает, что каждый клиент, который подключается к серверу SQL, действительно нуждается в установке цепочки сертификатов SSL в своем локальном хранилище сертификатов. Изначально это означает больше накладных расходов администратора. Если вы используете RSA 2048 битную длину в качестве минимального значения для шифрования ключа, то это не должно являться узким местом на стороне клиента при расшифровке ключа. Но очевидно, что чем больше длина бита RSA, тем дольше он потенциально может занять для клиента, чтобы расшифровать это.
Использование ExpressRoute - это определенно путь, но существует достаточно много накладных расходов, связанных с обеспечением поддержки ExpressRoute соответствующими провайдерами, а затем с включением схемы ExpressRoute. Но определенно стоит подумать, если вы хотите, чтобы все соединения в БД Azure SQL проходили по частному маршруту
Если вас это не так беспокоит, то используйте SQL Always Encrypted между клиентом и БД Azure SQL
.