我将敏感数据存储在Azure DB和Azure SQL VM 中。
授权的 DBA 可以登录并查询数据库,但理论上随机的 Microsoft 员工可以在未经许可的情况下执行相同操作吗?
我在网上找到了这个,这表明答案是“不”,但真的是这样吗?
客户数据所有权:Microsoft 不会检查、批准或监控客户部署到 Azure 的应用程序。而且,微软也不知道客户选择在 Azure 中存储什么样的数据。Microsoft 不对输入到 Azure 中的客户信息声明数据所有权。
在讨论使用 SQL 开发人员许可证的负面影响的站点上也发现了这一点:
Microsoft 可以访问您的数据:对于 SQL Server 的任何非商业安装,包括性能、错误、功能使用、IP 地址、设备标识符等在内的所有使用数据都必须发送给 Microsoft。没有例外。对于任何处理特别敏感数据的公司来说,这可能会排除它。
我不是建议在 Azure 上使用开发人员许可证,但究竟是哪一种 - Microsoft 是否可以合法地或流氓员工检查我的数据?
我有一个本地 SQL Server 2014 数据库 - 架构本身很好并且完全兼容 Azure SQL。
但是,它有一个USER对象绑定到LOGIN配置为使用 Windows 身份验证的服务器(因此密码不存储在连接字符串中)。
我想将此数据库导出到 Azure SQL,但是由于USER对象原因 BACPAC 生成失败:
在用作数据包一部分的架构中发现了一个或多个不受支持的元素。
错误 SQL71564:元素用户:[applicationuser]将属性AuthenticationType设置为 Microsoft Azure SQL 数据库 v12 不支持的值。
错误 SQL71564:元素登录:[SERVERNAME\LocalUserName]将属性IsMappedToWindowsLogin设置为 Microsoft Azure SQL 数据库 v12 不支持的值。
创建 BACPAC 文件时,SQL Server Management Studio 2014 不允许我排除或忽略USER和LOGIN对象。
SQL Server Data Tools 确实让我排除了这些对象,但 SSDT 不能(据我所知)执行 BACPAC 生成,这是我的目标。
我已经设置了一个带有弹性池的 Azure SQL Server,我在其中创建了一个测试数据库。
我还设置了 Azure 虚拟网络和点到站点 VPN。虚拟网络有 2 个子网 - 一个用于 GatewaySubnet,另一个用于我放置了 Windows 虚拟机。
我已成功配置对 VM 的远程桌面访问,并已验证我只能在连接到 VPN 时使用服务器的内部 IP 连接到远程桌面(我还禁止通过外部 IP 访问 RDP - 但这无关紧要)我的问题)。
我想尽可能限制和控制对 SQL Server 的访问。我已将“允许访问 Azure 服务”设置为“关闭”。我还将我的两个虚拟网络的子网添加到 SQL Server 的防火墙设置并启用了“Microsoft.Sql”端点。
我已经验证我可以从安装在虚拟机上的 SQL Server Management Studio 的副本连接到 SQL Server。
但是 - 即使通过 VPN 连接,我也无法从台式机使用 SQL Server Management Studio 进行连接。我希望能够在不将我的客户端 IP 直接添加到防火墙的情况下执行此操作。我们有许多远程开发人员(都在动态 IP 上)需要访问服务器,我不希望管理这些防火墙规则的开销。我宁愿给他们 VPN 客户端。
提前致谢...
我正在将 SQL Server 2008 R2 生产数据库迁移到云中的 Azure SQL 数据库服务。
是否可以从 2008 R2 数据库镜像/复制 Azure 数据库?所以我可以切换到只使用新的。与其脱机,不如创建一个 bacpac 文件,将其上传到 azure 存储,然后从该存储中恢复。
我想这样做是为了减少迁移期间的停机时间。
Azure 不支持传统的日志传送,这要求您从 2012 或更新的数据库迁移。
编辑:使问题更清楚。