Aprenda cómo asegurar la conexión entre Power BI y Azure SQL Data Base
La forma más sencilla de limitar el acceso a la base de datos es seleccionar la opción "permitir el acceso a los servicios de Azure". Esto se puede encontrar en las opciones del servidor de base de datos en el portal de Azure. Esto le permite a Power BI acceder a su base de datos. Sin embargo, también hace que la base de datos sea visible para cualquier componente implementado en Azure, como una máquina virtual. Para muchas organizaciones esto no es suficiente para sus requisitos de seguridad y cumplimiento.
Para comenzar, use los puntos finales del servicio VNet para asegurar aún más el acceso. Esta característica se introdujo a principios de 2018. Es fácil de configurar. En el portal de Azure, cree una nueva red virtual o edite una red virtual existente y habilite los puntos finales de servicio para SQL en la red virtual.
Una vez completada, la siguiente tarea es configurar una regla de red virtual en el servidor de base de datos. Esto nos permite restringir el acceso a todas las bases de datos SQL en ese servidor de base de datos a solo una subred dentro de la red virtual. Esto puede ser un poco demasiado restrictivo, por lo que también puede agregar direcciones IP específicas que también pueden tener acceso. La regla de vnet llamada newVnetRule1 restringe el acceso a solo objetos dentro de la subred y, además, se otorga acceso externo a una máquina utilizando la dirección IP 80.90.100.110. Este último es útil si también necesita permitir el acceso desde las máquinas locales que se conectan a la base de datos con el escritorio Power BI. Simplemente puede restringir el acceso externo al rango de direcciones IP de su empresa.
Al restringir el acceso al servidor de la base de datos, también evitamos que el servicio Power BI se conecte a la base de datos. La solución es instalar la puerta de enlace de datos local en una máquina virtual que reside dentro de la subred. Consulte la documentación para obtener recomendaciones sobre el tamaño del servidor para la puerta de enlace. Hay dos pasos para esto: en primer lugar, instale y configure la puerta de enlace en la máquina virtual dentro de la subred. Luego, use el portal Power BI para configurar la puerta de enlace de manera que esté al tanto de la base de datos a la que desea conectarse y la seguridad que desea aplicar. La puerta de enlace puede comunicarse a través de TCP o HTTPS. El primero es más eficiente, pero requerirá que los puertos 443 (predeterminado), 5671, 5672, 9350 a 9354 se abran para el tráfico saliente, mientras que el HTTPS solo requerirá el puerto 80. Para usar TCP, asegúrese de que en las pantallas de configuración de la puerta de enlace en la red que El modo de conectividad del bus de servicio de Azure está correctamente seleccionado.
Nota: la puerta de enlace no requiere que se abran puertos de entrada.
Es importante tener en cuenta que para el conector de puerta de enlace que necesitamos usar en la actualidad es el conector de SQL Server. Esto proporciona soporte para la autenticación básica y de Windows. Eso significa que no solo la puerta de enlace se puede conectar al backend SQL Server base de datos con un único nombre de usuario y contraseña, pero también puede usar la autenticación de Windows para pasar a través de las credenciales de los usuarios actuales al enviar consultas directamente a la base de datos. Esto proporciona una solución en la que el DBA de SQL Server puede restringir el acceso de los usuarios de Power BI a los datos a un subconjunto de datos. Estamos utilizando el mismo conector para acceder a la base de datos SQL de Azure. El único método de autenticación común a ambas bases de datos es la autenticación de base de datos. Por lo tanto, estamos restringidos a la autenticación básica al configurar la puerta de enlace y, por lo tanto, las credenciales de los usuarios no se pueden transferir a la base de datos a través de la puerta de enlace.
Para evitar tener un único punto de error al acceder a la base de datos a través de la puerta de enlace, también es posible instalar varias puertas de enlace en un clúster para proporcionar resistencia. Simplemente cree una segunda máquina virtual e instale una segunda puerta de enlace. Durante la instalación, podrá elegir una opción para agrupar las puertas de enlace.
El último paso es regresar y realizar los siguientes cambios en la red virtual: cree un grupo de seguridad de red que se pueda aplicar a la subred. Ese grupo de seguridad restringirá el acceso a los recursos solo en los puertos entrantes que desea permitir. En el escenario anterior, con solo bases de datos SQL en la red, restringiríamos los puertos solo a los puertos IP enumerados anteriormente. Si otros recursos comparten la red virtual, es posible que requieran que se abran puertos adicionales. Un último punto a tener en cuenta es que hemos impedido deliberadamente el acceso a la base de datos desde otros servicios de Azure. Como consecuencia, restringiremos el uso de ciertas características de la Base de datos SQL de Azure.
Nos encantaría conocer su opinión respecto al tema expuesto, los invitamos a participar y así ampliar colectivamente el conocimiento.
THE BEST EXPERIENCE IN TECHNOLOGY