اعتبارات الأمان لـ SQL Server على الأجهزة الظاهرية Azure
ينطبق على:
SQL Server في جهاز Azure الظاهري
يتضمن هذا الموضوع إرشادات الأمان العامة التي تساعد على إنشاء الوصول الآمن إلى مثيلات SQL Server في جهاز ظاهري (VM) Azure.
يتوافق Azure مع العديد من اللوائح والمعايير الصناعية التي يمكن أن تمكنك من إنشاء حل متوافق مع تشغيل SQL Server في جهاز ظاهري. للحصول على معلومات حول التوافق التنظيمي مع Azure، راجع مركز توثيق Azure.
راجع أولاً أفضل ممارسات الأمان لـSQL Server والأجهزة Azure الظاهرية ثم راجع هذه المقالة للحصول على أفضل الممارسات التي تنطبق على SQL Server على أجهزة Azure الظاهرية على وجه التحديد.
لمعرفة المزيد، راجع المقالات الأخرى في سلسلة أفضل الممارسات هذه: Checklist وحجم الأجهزة الظاهرية وتكوين HADR وأساس التجميع.
قائمة الاختيار
راجع قائمة التحقق التالية للحصول على نظرة عامة موجزة عن أفضل ممارسات الأمان التي تغطيها بقية المقالة بمزيد من التفصيل.
توفر ميزات وقدرات SQL Server طريقة أمان على مستوى البيانات وهي الطريقة التي تحقق بها الدفاع المتعمق على مستوى البنية الأساسية للحلول المستندة إلى السحابة والخلط. بالإضافة إلى ذلك، من خلال إجراءات الأمان في Azure، من الممكن تشفير بياناتك الحساسة، وحماية الأجهزة الظاهرية من الفيروسات والبرامج الضارة، ونسبة استخدام الشبكة الآمنة، وتحديد التهديدات واكتشافها، وتلبية متطلبات الامتثال، وتوفير طريقة واحدة للإدارة وإعداد التقارير لأي أمان بحاجة في السحابة المختلطة.
- استخدم Azure Security Center لتقييم الوضع الأمني لبيئة البيانات لديك واتخاذ إجراء بشأنه. يمكن الاستفادة من إمكانات مثل Azure Advanced Threat Protection (ATP) عبر أحمال العمل المختلطة لتحسين تقييم الأمان ومنح القدرة على الاستجابة للمخاطر. يؤدي تسجيل SQL Server VM باستخدام ملحق SQL IaaS Agent إلى ظهور تقييمات Azure Security Center داخل مورد الجهاز الظاهري لـSQL لمدخل Microsoft Azure.
- استفد من Microsoft Defender for SQL لاكتشاف الثغرات الأمنية المحتملة في قاعدة البيانات والتخفيف من حدتها، بالإضافة إلى اكتشاف الأنشطة غير الطبيعية التي قد تشير إلى وجود تهديد لمثيل SQL Server وطبقة قاعدة البيانات.
- يعد Vulnerability Assessment جزءاً من Microsoft Defender for SQL الذي يمكنه اكتشاف المخاطر المحتملة على بيئة SQL Server الخاصة بك والمساعدة في معالجتها. ويوفر رؤية لحالة الأمان الخاصة بك، ويتضمن خطوات قابلة للتنفيذ لحل مشكلات الأمان.
- يحلل Azure Advisor تكوين الموارد وبيانات تتبع الاستخدام ثم يوصي بالحلول التي يمكن أن تساعدك على تحسين فعالية التكلفة، والأداء، وقابلية الوصول العالية، وأمان موارد Azure الخاصة بك. استفد من Azure Advisor على مستوى الجهاز الظاهري أو مجموعة الموارد أو مستوى الاشتراك للمساعدة في تحديد أفضل الممارسات وتطبيقها لتحسين عمليات توزيع Azure الخاصة بك.
- استخدم Azure Disk Encryption عندما تتطلب منك متطلبات التوافق والأمان تشفير البيانات من طرف إلى طرف باستخدام مفاتيح التشفير، بما في ذلك تشفير القرص المؤقت (المرفق محلياً المؤقت).
- يتم تشفير Managed Disks في حالة الثبات بشكل افتراضي باستخدام Azure Storage Service Encryption، حيث تكون مفاتيح التشفير هي مفاتيح مدارة من Microsoft مخزنة في Azure.
- للمقارنة بين خيارات تشفير القرص المُدار، راجع مخطط بياني لمقارنة تشفير القرص المُدار
- يجب إغلاق منافذ الإدارة على أجهزتك الظاهرية - يؤدي فتح منافذ الإدارة عن بعد إلى تعريض الجهاز الظاهري لمستوى عالٍ من المخاطر من الهجمات المستندة إلى الإنترنت. وتحاول هذه الهجمات استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للوصول كمسؤول إلى الجهاز.
- قم بتشغيل Just-in-time (JIT) access لأجهزة Azure الظاهرية
- استخدم Azure Bastion عبر Remote Desktop Protocol (RDP).
- قم بتأمين المنافذ والسماح فقط بنسبة استخدام شبكة التطبيق الضرورية باستخدام Azure Firewall وهو جدار حماية مُدار كخدمة (FaaS) يمنح/يرفض الوصول إلى الخادم بناءً على عنوان IP الأصلي.
- استخدم Network Security Groups (NSGs) لتصفية نسبة استخدام الشبكة من وإلى موارد Azure على Azure Virtual Networks
- استفد من Application Security Groups لتجميع الخوادم مع متطلبات تصفية المنافذ المماثلة، مع وظائف مماثلة، مثل خوادم الويب وخوادم قواعد البيانات.
- بالنسبة لخوادم الويب والتطبيقات، استفد من حماية Azure Distributed Denial لـService (DDoS). تم تصميم هجوم موزع لحجب الخدمة لإرباك موارد الشبكة واستنفادها، ما يجعل التطبيقات بطيئة أو لا تستجيبِ. من الشائع أن يستهدف هجوم موزع لحجب الخدمة DDos واجهات المستخدم. تعمل حماية Azure DDoS على تنقية نسبة استخدام الشبكة غير المرغوب فيها، قبل أن تؤثر على توفر الخدمة
- استفد من ملحقات الأجهزة الظاهرية للمساعدة في معالجة برامج مكافحة البرامج الضارة والحالة المرغوبة واكتشاف التهديدات والوقاية منها ومعالجتها لمواجهة التهديدات على مستوى نظام التشغيل والجهاز والشبكة:
- ملحق Guest Configuration ينفذ عمليات تدقيق وتكوين داخل الأجهزة الظاهرية.
- ملحق الجهاز الظاهري لـNetwork Watcher Agent لنظامي التشغيل Windows وLinux يراقب أداء الشبكة وخدمة التشخيص والتحليلات التي تسمح بمراقبة شبكات Azure.
- ملحق Microsoft Antimalware لنظام التشغيل Windows للمساعدة في التعرف على الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها، من خلال تنبيهات قابلة للتكوين.
- تقييم ملحقات الجهة الخارجية مثل Symantec Endpoint Protection لـ Windows VM (/azure/virtual-machines/extensions/symantec)
- استفد من Azure Policy لإنشاء قواعد عمل يمكن تطبيقها على بيئتك. تقوم Azure Policies بتقييم موارد Azure من خلال مقارنة خصائص هذه الموارد بالقواعد المحددة بتنسيق JSON.
- تُمكِّن Azure Blueprints مهندسي السحابة ومجموعات تكنولوجيا المعلومات المركزية من تحديد مجموعة قابلة للتكرار من موارد Azure التي تنفذ معايير المؤسسة، وأنماطها، ومتطلباتها، وتتقيد بها. تختلف Azure Blueprints عن Azure Policies.
Microsoft Defender لـ SQL
يتيح Microsoft Defender for SQL ميزات أمان Azure Security Center مثل تقييمات الثغرات والتنبيهات الأمنية. راجع تمكين Microsoft Defender لـ SQL لمعرفة المزيد.
استخدم Azure Defender لـSQL لاكتشاف الثغرات الأمنية المحتملة في قاعدة البيانات والتخفيف من حدتها، واكتشاف الأنشطة الشاذة التي قد تشير إلى تهديد مثيل SQL Server وطبقة قاعدة البيانات. تعد Vulnerability Assessments إحدى ميزات Microsoft Defender for SQL التي يمكنها اكتشاف المخاطر المحتملة على بيئة SQL Server الخاصة بك والمساعدة في معالجتها. إنه يوفر رؤية لحالة الأمان الخاصة بك، ويتضمن خطوات قابلة للتنفيذ لحل مشكلات الأمان. يؤدي تسجيل الجهاز الظاهري SQL Server الخاص بك مع SQL Server IaaS Agent Extension إلى عرض Microsoft Defender للحصول على توصيات SQL إلى مورد الأجهزة الظاهرية SQL في مدخل Azure.
إدارة المدخل
بعد أن يكون لديك الجهاز الظاهري SQL Server مُسجل مع ملحق SQL IaaS، يمكنك تكوين عدد من إعدادات الأمان باستخدام مورد الأجهزة الظاهرية SQL في مدخل Azure، مثل تمكين تكامل Azure Key Vault أو مصادقة SQL.
بالإضافة إلى ذلك، بعد تمكين Azure Defender لـ SQL يمكنك عرض ميزات Microsoft Defender for Cloud مباشرةً داخل مورد الأجهزة الظاهرية SQL في مدخل Azure، مثل تقييمات قابلية التعرض للخطر وتنبيهات الأمان.
راجع إدارة الجهاز الظاهري SQL Server VM في المدخل لمعرفة المزيد.
مركز أمان Azure
Azure Security Center هو نظام موحد لإدارة الأمان تم تصميمه لتقييم وتوفير الفرص اللازمة لتحسين الوضع الأمني لبيئة البيانات لديك. يمنح Azure Security Center طريقة عرض موحدة لسلامة الأمان لجميع الأصول في السحابة المختلطة.
- استخدم تنبيهات الأمان فيAzure Security Center.
- راجع قائمة الحوسبةوتوصيات البيانات المتاحة حالياً، للحصول على مزيد من التفاصيل.
- يؤدي تسجيل الجهاز الظاهري SQL Server مع SQL Server IaaS Agent Extension إلى عرض توصيات Azure Security Center إلى مورد الأجهزة الظاهرية SQL في مدخل Azure.
Azure Advisor
Azure Advisor هو مستشار سحابة متخصص يساعدك على اتباع أفضل الممارسات بهدف تحسين عمليات التوزيع في Azure التي تجريها. يحلل Azure Advisor تكوين الموارد وبيانات تتبع الاستخدام ثم يوصي بالحلول التي يمكن أن تساعدك على تحسين فعالية التكلفة، والأداء، وقابلية الوصول العالية، وأمان موارد Azure الخاصة بك. يمكن لـAzure Advisor التقييم على مستوى الجهاز الظاهري أو مجموعة الموارد أو الاشتراك.
تكامل Azure Key Vault
هناك العديد من ميزات التشفير لـ SQL Server، مثل تشفير البيانات الشفاف (TDE)، وتشفير مستوى العمود (CLE)، وتشفير النسخ الاحتياطي. تتطلب هذه النماذج من التشفير إدارة وتخزين مفاتيح التشفير التي تستخدمها للتشفير. تم تصميم خدمة Azure Key Vault لتحسين أمان وإدارة هذه المفاتيح في موقع آمن ومتاح بصورة مرتفعة. يمكّن SQL Server Connector لـSQL Server من استخدام هذه المفاتيح من Azure Key Vault.
النظر في ما يلي:
- يقوم Azure Key Vault بتخزين البيانات السرية للتطبيقات في موقع سحابي مركزي للتحكم بأمان في أذونات الوصول وتسجيل الوصول المنفصل.
- عند إحضار مفاتيحك الخاصة إلى Azure، يوصى بتخزين البيانات السرية والشهادات في Key Vault Azure.
- يستخدم Azure Disk EncryptionAzure Key Vault للتحكم في مفاتيح تشفير القرص والبيانات السرية وإدارتها.
التحكم في الوصول
عند إنشاء جهاز ظاهري SQL Server مع صورة Azure من المعرض، يمنحك خيار SQL Server Connectivity الاختيار من Local (inside VM) أو Private (within Virtual Network) أو Public (Internet).
للحصول على أفضل أمان، اختر الخيار الأكثر تقييداً للسيناريو. على سبيل المثال، إذا كنت تقوم بتشغيل تطبيق للوصول إلى SQL Server على نفس الجهاز الظاهري، ثم المحلي هو الخيار الأكثر أماناً. إذا كنت تقوم بتشغيل تطبيق Azure يتطلب الوصول إلى SQL Server، ثم خاص لتأمين الاتصال إلى SQL Server فقط ضمن الشبكة الظاهرية Azure المُحددة . إذا كنت تحتاج إلى الوصول إلى عام (إنترنت) إلى الجهاز الظاهري SQL Server، فتأكد من اتباع أفضل الممارسات الأخرى في هذا الموضوع لتقليل الأجزاء المعرضة للهجوم.
تستخدم الخيارات المحددة في المدخل قواعد الأمان الواردة على مجموعة أمان الشبكة (NSG) الخاصة بالجهاز الظاهري للسماح بنسبة استخدام الشبكة أو رفضها للجهاز الظاهري. يمكنك تعديل أو إنشاء قواعد NSG الواردة الجديدة للسماح بنسبة استخدام الشبكة إلى منفذ SQL Server (1433 الافتراضي). يمكنك أيضاً تحديد عناوين IP معينة مسموح لها بالاتصال عبر هذا المنفذ.
بالإضافة إلى قواعد NSG لتقييد نسبة استخدام الشبكة، يمكنك أيضاً استخدام جدار حماية Windows على الجهاز الظاهري.
إذا كنت تستخدم نقاط النهاية مع طراز النشر الكلاسيكي، فقم بإزالة أي نقاط نهاية على الجهاز الظاهري إذا لم تكن تستخدمها. للحصول على إرشادات حول استخدام ACLs مع نقاط النهاية، راجع إدارة ACL على نقطة نهاية. هذا غير ضروري للأجهزة الظاهرية التي تستخدم إدارة موارد Azure.
وأخيراً، خذ بعين الاعتبار تمكين الاتصالات المشفرة لمثيل SQL Server Database Engine في الجهاز الظاهري Azure. تكوين مثيل لخادم SQL مع شهادة موقعة. لمزيد من المعلومات، راجع تمكين الاتصالات المشفرة إلى مشغل قاعدة البيانات وبناء جملة سلسلة الاتصال.
ضع في اعتبارك ما يلي عند تأمين اتصال الشبكة أو محيطها:
- Azure Firewall - هو جدار حماية ذو حالة مدارة كـ Service (FaaS) الذي يمنح/يرفض الوصول إلى الخادم استناداً إلى عنوان IP الأصلي لحماية موارد الشبكة.
- حماية Azure Distributed Denial لـService (DDoS) - تطغى هجمات DDoS على موارد الشبكة وتستنفدها، ما يجعل التطبيقات بطيئة أو غير مستجيبة. تعمل حماية Azure DDoS على تنقية نسبة استخدام الشبكة غير المرغوب فيها قبل أن تؤثر على توفر الخدمة.
- Network Security Groups (NSGs) - تصفية نسبة استخدام الشبكة من وإلى موارد Azure على zure Virtual Networks
- Application Security Groups - يوفر تجميع الخوادم ذات متطلبات تصفية المنافذ المماثلة، وتجميع الخوادم ذات الوظائف المماثلة، مثل خوادم الويب.
التشفير
توفر الأقراص المُدارة تشفيراً من جانب الخادم وAzure Disk Encryption. يوفر التشفير من جانب الخادم التشفير في وضع الثبات ويحمي بياناتك للوفاء بالتزامات الأمان والتوافق التنظيمية. يستخدم تشفير القرص Azure إما تقنية BitLocker أو DM-Crypt، ويتكامل مع Azure Key Vault لتشفير كل من نظام التشغيل وأقراص البيانات.
النظر في ما يلي:
- Azure Disk Encryption - تشفير أقراص الجهاز الظاهري باستخدام Azure Disk Encryption لكل من الأجهزة الظاهرية Windows وLinux.
- عندما تتطلب منك متطلبات التوافق والأمان تشفير البيانات من طرف إلى طرف باستخدام مفاتيح التشفير الخاصة بك، بما في ذلك تشفير القرص المؤقت (المرفق محلياً)، استخدم تشفير قرص Azure.
- يستخدم Azure Disk Encryption (ADE) ميزة BitLocker القياسية في الصناعة من Windows وميزة DM-Crypt من Linux لتوفير تشفير لنظام التشغيل وأقراص البيانات.
- Managed Disk Encryption
- يتم تشفير Managed Disks في حالة السكون بشكل افتراضي باستخدام Azure Storage Service Encryption حيث تكون مفاتيح التشفير هي مفاتيح مدارة من Microsoft مخزنة في Azure.
- يتم تشفير البيانات الموجودة في أقراص Azure المُدارة وفك تشفيرها بشفافية باستخدام تشفير AES 256 بت، وهو أحد أقوى تشفيرات الكتلة المتوفرة، وهو متوافق مع FIPS 140-2.
- للمقارنة بين خيارات تشفير القرص المُدار، راجع مخطط بياني لمقارنة تشفير القرص المُدار.
إدارة الحساب
لا تريد للمهاجمين تخمين أسماء الحسابات أو كلمات المرور بسهولة. استخدم النصائح التالية للمساعدة:
إنشاء حساب مسؤول محلي فريد لم يتم تسميته بـ المسؤول.
استخدم كلمات مرور معقدة قوية لجميع حساباتك. لمزيد من المعلومات حول كيفية إنشاء كلمة مرور قوية، راجع مقالة إنشاء كلمة مرور قوية.
بشكل افتراضي، يختار Azure مصادقة Windows أثناء إعداد الجهاز الظاهري SQL Server. لذلك، يتم تعطيل تسجيل الدخول SA ويتم تعيين كلمة مرور بواسطة الإعداد. نوصي بعدم استخدام تسجيل الدخول إلى SA أو تمكينه. إذا كان يجب أن يكون لديك تسجيل دخول SQL، فاستخدم إحدى الإستراتيجيات التالية:
إنشاء حساب SQL باسم فريد كعضوية sysadmin. يمكنك القيام بذلك من المدخل عن طريق تمكين مصادقة SQL أثناء التوفير.
تلميح
إذا لم تقم بتمكين مصادقة SQL أثناء التوفير، فيجب تغيير وضع المصادقة يدوياً إلى SQL Server ووضع المصادقة Windows. لمزيد من المعلومات، راجع تغيير وضع مصادقة الخادم.
إذا كان يجب عليك استخدام تسجيل الدخول SA، فقم بتمكين تسجيل الدخول بعد توفير وتعيين كلمة مرور قوية جديدة.
ملاحظة
لا يتم دعم الاتصال بمثيل SQL Server قيد التشغيل على جهاز Azure الظاهري (VM) باستخدام Azure Active Directory أو Azure Active Directory Domain Services. استخدم حساب المجال في Active Directory بدلاً من ذلك.
التدقيق والإبلاغ
يعمل التدقيق باستخدام Log Analytics على توثيق الأحداث والكتابة إلى سجل تدقيق في حساب تخزين Azure BLOB آمن. يمكن استخدام Log Analytics لفك رموز تفاصيل سجلات التدقيق. يمنحك التدقيق القدرة على حفظ البيانات في حساب تخزين منفصل وإنشاء سجل تدقيق لجميع الأحداث التي تحددها. يمكنك أيضاً الاستفادة من Power BI مقابل سجل التدقيق للحصول على تحليلات سريعة ورؤى عن بياناتك، بالإضافة إلى توفير طريقة عرض للتوافق التنظيمي. لمعرفة المزيد عن التدقيق على مستوى الجهاز الظاهري وAzure، راجع تسجيل أمان Azure وتدقيقه.
الوصول إلى مستوى Virtual Machine
إغلاق منافذ الإدارة على جهازك - يؤدي فتح منافذ الإدارة عن بعد إلى تعريض الجهاز الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. وتحاول هذه الهجمات استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للوصول كمسؤول إلى الجهاز.
- شغِّل Just-in-time (JIT) access لأجهزة Azure الظاهرية.
- استفد من Azure Bastion عبر Remote Desktop Protocol (RDP).
ملحقات Virtual Machine
ملحقات Azure Virtual Machine هي ملحقات Microsoft أو الأطراف 3rd الموثوق بها التي يمكن أن تساعد في تلبية الاحتياجات والمخاطر المحددة مثل مكافحة الفيروسات، والبرامج الضارة، والحماية من التهديدات، والمزيد.
- ملحق Guest Configuration
- لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحق تكوين الضيف.
- إعدادات الضيف التي تتضمن تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة.
- بمجرد تثبيتها، ستكون نُهج الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows».
- وكيل جمع بيانات حركة مرور الشبكة
- يستخدم Security Center وكيل Microsoft Dependency لتجميع بيانات نسبة استخدام الشبكة من أجهزة Azure الظاهرية الخاصة بك.
- يتيح هذا الوكيل ميزات متقدمة لحماية الشبكة مثل تصور نسبة استخدام الشبكة على خريطة الشبكة، وتوصيات تقوية الشبكة، وتهديدات الشبكة المحددة.
- تقييم الملحقات من Microsoft والأطراف 3rd لمعالجة مكافحة البرامج الضارة، والحالة المطلوبة، واكتشاف التهديدات، والوقاية منها، ومعالجتها، لمعالجة التهديدات على مستوى نظام التشغيل، والجهاز، والشبكة.
الخطوات التالية
راجع أفضل ممارسات الأمان SQL Server وAzure VMs ثم راجع هذه المقالة للحصول على أفضل الممارسات التي تنطبق على SQL Server على أجهزة Azure الظاهرية على وجه التحديد.
بالنسبة للمواضيع الأخرى المتعلقة بتشغيل SQL Server في الأجهزة الظاهرية Azure، راجع SQL Server الخاص بنظرة عامة على الأجهزة الظاهرية Azure. إذا كانت لديك أسئلة حول أجهزة SQL Server الظاهرية، فراجع الأسئلة المتداولة.
لمعرفة المزيد، راجع المقالات الأخرى في سلسلة أفضل الممارسات هذه:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ