Acesso seguro ao Azure SQL com Global Secure Access e Entra Private Access
Faaaala pessoal, 100%?!
A algum tempo o Global Secure Access se tornou realiade em vários ambientes. O conceito de Zero Trust Network Access (ZTNA) tem sido aplicado com sucesso, fortalecendo ainda mais a posição da Microsoft como um provedor de soluções SASE. Como parte do Global Secure Access, temos o Microsoft Entra Private Access, que é, de forma bem simplista, a ferramenta que te permite acessar recursos internos (onPrem ou em sua rede no Azure) sem nenhum tipo de VPN. Eu falei e demonstrei como funciona nesse vídeo aqui.
Outro recurso do mundo Microsoft que é MUITO utilizado globalmente é o Azure SQL, que cá entre nós não precisa de apresentações. Como é de conhecimento geral, após a implantação do Azure SQL, é preciso liberar o acesso para gerenciar as bases de dados. Isso no geral é feito adicionando IPs Publicos a lista de Firewall do SQL ou utilizando uma solução de VPN que tunela o tráfego e sempre entrega o mesmo IP de saída.
Essa soluçã funciona, é segura mas não é escalável. Imagina um tim de 20 DBAs com IPs dinamicos e alguem (você Azure Admin), tendo que atualizar a lista de IPs e garantir que não tenha adicionado nenhum errado. Nada bom!
Pensando nisso, e repetindo o mantra da abordage Zero Trust, uma ideia surgiu?
“Por que não “integrar” o Azure SQL com o GSA e utilizar o Entra Private Access pra garantir um acesso seguro, gerenciável e escalável? Pois bem…funciona, e super bem.”
Pre Requisitos
- Acesso ao Global Secure Access — Você pode usar uma conta com as roles de Global Secure Access Administrator e também precisará de Application Administrator
- Acesso de Contributor no recurso Azure SQL, no Azure
- Caso queria trabalhar com atribuição baseada em grupo (eu recomendo), role de Group Administrator no Entra ID
- 1 Windows Server na mesma região do Azure SQL. Esse carinha atuará como Conector
O Setup
Azure SQL
O processo é relativamente simples, o primeiro passo é subir seu Azure SQL, no Azure. Quando fizer isso, terá acesso as propriedades do SQL Server que hospeda as bases de dados.
Nota 1: O Entra Private Access controlará o acesso ao Azure SQL Server, não a base de dados em si. O Acesso a base deve ser gerenciado pelo seu DBA, da forma que ele preferir.
Nota 2: A autenticação do Azure SQL Server deve permitir uso de credenciais do Entra ID
- Acesse seu Azure SQL Server, e na sessão de Overview precisaremos do “Server Name” e também da Região.
- Navegue até Netwoking, na sessão de Security. Aqui é onde você define quais IPs podem ou não ter acesso a sua base. Aqui é importante manter o acesso publico ativado, mas, sem nenhum IP listado. Sem o acesso publico liberado, a conexão falhará, mesmo que o Entra Private Access utilize um faixa que faça parte dos serviços do Azure.
- Na mesma tela, mas na aba “Connectivity” é onde está o “detalhe”. Aqui o tipo de Connection Policy deve ser alterado de “Default” para “Proxy”. Isso garantirá que apenas conexões utilizando um “intermediador” serão aceitas. Nesse caso, o Entra Private connector.
Importante 1: Uma vez alterada a política de conexão, é importante garantir que as aplicações que fazem uso da base funcionarão 100%.
Importante 2: O uso da Política de Conexão proxy, pode impactar na performance da conexão. Avalie antes de alterar seu ambiente
Global Secure Access – Entra Private Access
Aqui é a parte divertida! Como já mostrei como realizar o setup inicial do Private Access no video que deixei no link acima, vou pular essa etapa.
Antes de configurar qualquer coisa no Global Secure Access, precisamos adicionar um serviço lá vnet onde o servidor que atuará como Conector reside.
- Navegue até a vnet do seu server e na sessão de Settings, encontrei “Service Endpoint”.
- Adicione o Service Endpoint “Microsoft.SQL”. Essa config garante que o trafego destinado a serviços do Azure SQL seja direcionado pelo backbone da Microsoft, e não via Internet. Não existe custo atrelado a essa config
Uma vez criado, vamos ao config do Global Secure Access.
- Antes de mais nada, se você utiliza Grupos para controlar acesso ao Private Access, garanta que o usuário que terá acesso a esse recurso, faça parte desse grupo, lá em Connect > Traffic Forwarding.
- No menu Applications, crie um novo Enterprise App ou, se preferir, use o Quick Access. O app deve ter um Application Segment com as seguintes configurações;
- Destination Type: FQDN
- Fully Qualified Domain Name: Digite o endereço do seu SQL Server (pegamos essa info lá atrás, nos primeiros passos)
- Ports: 1433 (ou a porta padrão que definiu durante o setup do seu Azure SQL Server
- Protocol: TCP
- Clique em Add
- Uma vez adicionado o App, hora de permissionar. Na mesma tela, vá em Users and Groups e defina quem terá acesso a essa aplicação via GSA.
- Caso você queira um nível a mais de controle, você pode criar uma Política de Acesso Condicional para esse App, exigindo MFA e/ou setando outros controles de sessão.
Feito!
Hora do Teste
Se seguiu todos os passos acima, deverá conseguir acesso ao seu Azure SQL via GSA apenas.
Aqui vai meu teste…veja que quando desabilito o GSA, a conexão é recusada.

Espero que tenha te ajudo! Envie pra galera que curte soluções não tão dentro do padrão.
Grande abraço \,,/
