우리 CIO로부터 특정 그룹의 사용자들이 온프레미스든 재택근무든 관계없이 특정 Azure SQL 데이터베이스에 접근할 수 있도록 무언가를 설정하라는 요청을 받았습니다.
우리는 클라우드 전용 업체로서, 스위치와 방화벽 외에는 온프레미스 인프라가 없습니다. DNS는 Cloudflare가 관리하며 외부 서비스에 사용되고 있습니다.
현재 데이터 팀은 Azure VPN 서비스를 통해 VPN 게이트웨이를 통해 VNet에 접속하지만, 이 작업이 제대로 되려면 그들의 로컬 호스트 파일에 항목을 추가해야 합니다. 그들이 이 방법을 알고 있어서 문제는 없지만, 더 많은 사용자에게 배포하려면 이 항목을 스크립트로 만들어야 하는데, 저는 그게 가능하다고 봅니다.
이를 위해 서비스 또는 서비스 세트가 있어야 한다고 생각했어요.
검색을 해보니, Azure SQL에 대한 안전한 연결을 어떻게 할지에 대해 다양한 견해가 있더군요. Azure SQL은 아직 많은 학습을 하지 않은 서비스라서 어떤 옵션들이 있는지 잘 모르겠습니다.
앞서 언급한 VPN 게이트웨이 솔루션 외에도, 읽은 내용에 기반하여 세 가지 아이디어를 생각해 보았고, 어떤 것을 더 자세히 볼지 피드백을 받고 싶습니다.
- DB에서 Entra 전용 인증을 사용하고, 공개 액세스를 활성화하며, 조건부 액세스를 통해 모든 것을 제어한다.
- AVD를 사용하여 Azure Data Studio 앱을 추가 사용자 그룹에게 제공한다.
- VNet에 Bastion 호스트를 추가하고, 그 호스트에 Global Secure Access 에이전트를 설치한 후, GSA를 통해 리소스를 제공하며 조건부 액세스를 적용한다. 이 아이디어가 실현 가능하다면, GSA가 제공하는 것에 매력을 느끼지만, 온프레미스에 커넥터를 설치할 수 있는 호스트가 없습니다.
어느 옵션이 좋은지에 대한 특별한 선호는 없습니다. 만약 선택해야 한다면, 실현 가능하다면 옵션 3이 우리가 원하는 것을 달성하는 좋은 방법이 될 것입니다. 공개 액세스를 활성화할 필요 없이.