ميزات أمان Azure SQL Database

توفر Azure SQL Database خدمة قاعدة بيانات علائقية في Azure. لحماية بيانات العملاء وتوفير ميزات أمان قوية يتوقعها العملاء من خدمة قاعدة بيانات علائقية، تمتلك SQL Database مجموعاتها الخاصة من إمكانيات الأمان. تعتمد هذه الإمكانات على عناصر التحكم الموروثة من Azure.

القدرات الأمنية

استعمال بروتوكول TDS

تدعم Azure SQL Database بروتوكول دفق البيانات المجدول (TDS) فقط، والذي يتطلب إمكانية الوصول إلى قاعدة البيانات عبر المنفذ الافتراضي فقط لـ TCP/1433.

جدار حماية Azure SQL Database

للمساعدة في حماية بيانات العملاء، تتضمن قاعدة بيانات Azure SQL وظيفة جدار حماية، والتي تمنع بشكل افتراضي جميع الوصول إلى قاعدة بيانات SQL.

يمكن لجدار حماية البوابة أن يحد من العناوين، ما يسمح للعملاء بالتحكم الدقيق لتحديد نطاقات عناوين IP المقبولة. يمنح جدار الحماية الوصول بناءً على عنوان IP الأصلي لكل طلب.

يمكن للعملاء تحقيق تكوين جدار الحماية باستخدام مدخل الإدارة أو برمجياً باستخدام Azure SQL Database Management REST API. يمنع جدار حماية مدخل Microsoft Azure SQL Database بشكل افتراضي وصول جميع TDS للعميل إلى Azure SQL Database. يجب على العملاء تكوين الوصول باستخدام قوائم التحكم في الوصول (ACL) للسماح باتصالات Azure SQL Database حسب عناوين الإنترنت المصدر والوجهة والبروتوكولات وأرقام المنافذ.

DoSGuard

يقلل DosGuard، وهي خدمة بوابة قاعدة بيانات SQL، من هجمات رفض الخدمة (DoS). يتتبع DoSGuard بنشاط عمليات تسجيل الدخول الفاشلة من عنوان بروتوكول الإنترنت إذا كان هناك العديد من عمليات تسجيل الدخول الفاشلة من عنوان IP خلال فترة زمنية، يتم حظر عنوان IP من الوصول إلى أي موارد في الخدمة لفترة زمنية محددة مسبقا.

بالإضافة إلى ذلك، تقوم مدخل Microsoft Azure SQL Database بتنفيذ ما يلي:

• مفاوضات قدرة القناة الآمنة لتنفيذ اتصالات مشفرة تم التحقق من صحتها TDS FIPS 140-2 عند الاتصال بخوادم قاعدة البيانات.
• فحص حزمة TDS ذات الحالة أثناء قبولها للاتصالات من العملاء. تتحقق البوابة من صحة معلومات الاتصال. تمرر البوابة حزم TDS إلى الخادم الفعلي المناسب استنادا إلى اسم قاعدة البيانات المحدد في سلسلة الاتصال.

يتمثل المبدأ الشامل لأمان الشبكة في عرض Azure SQL Database في السماح فقط بالتواصل والاتصال الضروريين للسماح بتشغيل الخدمة. يتم حظر كافة المنافذ الأخرى والبروتوكولات والاتصالات افتراضياً. تُستخدم شبكات المنطقة المحلية الظاهرية (VLAN) وقوائم التحكم بالوصول (ACL) لتقييد اتصالات الشبكة حسب شبكات المصدر والوجهة والبروتوكولات وأرقام المنافذ.

تتضمن الآليات التي تمت الموافقة عليها لتنفيذ قوائم ACL المستندة إلى الشبكة قوائم ACL على أجهزة التوجيه وموازنات التحميل. تتم إدارة هذه الآليات بواسطة شبكة Azure وجدار حماية الجهاز الظاهري الضيف وقواعد جدار حماية بوابة قاعدة بيانات Azure SQL التي قام العميل بتكوينها.

فصل البيانات وعزل العميل

تم تنظيم شبكة إنتاج Azure بحيث يتم فصل مكونات النظام التي يمكن الوصول إليها بشكل عام عن الموارد الداخلية. توجد الحدود المادية والمنطقية بين خوادم الويب التي توفر الوصول إلى مدخل Microsoft Azure المواجه للجمهور والبنية الأساسية الظاهرية الأساسية لـ Azure، حيث توجد مثيلات تطبيق العميل وبيانات العميل.

تتم إدارة جميع المعلومات التي يمكن الوصول إليها بشكل عام داخل شبكة إنتاج Azure. شبكة الإنتاج هي:

• يخضع للمصادقة الثنائية وآليات حماية الحدود
• يستخدم جدار الحماية ومجموعة ميزات الأمان الموضحة في القسم السابق
• يستخدم دالات عزل البيانات المذكورة في الأقسام التالية

أنظمة غير مصرح بها وعزل FC

نظراً لأن وحدة التحكم في النسيج (FC) هي المنسق المركزي لنسيج Azure، توجد ضوابط مهمة للتخفيف من التهديدات التي تتعرض لها، لا سيما من FAs التي يحتمل أن تتعرض للخطر داخل تطبيقات العملاء. لا يتعرف FC على أي جهاز لا يتم تحميل معلومات جهازه (على سبيل المثال، عنوان MAC) مسبقا داخل FC. كونت خوادم DHCP على FC قوائم بعناوين MAC للعقد التي يرغبون في تمهيدها. حتى إذا كانت الأنظمة غير المصرح بها متصلة، فلن يتم دمجها في مخزون النسيج، وبالتالي فهي غير متصلة أو مخولة بالاتصال بأي نظام داخل مخزون النسيج. هذا يقلل من مخاطر اتصال الأنظمة غير المصرح بها مع FC والحصول على وصول إلى VLAN وAzure.

عزل VLAN

يتم فصل شبكة إنتاج Azure منطقياً إلى ثلاث شبكات محلية ظاهرية (VLAN) أساسية:

• شبكة VLAN الرئيسية: تربط عقد العملاء غير الموثوق بها.
• FC VLAN: تحتوي على أنظمة FCs وأنظمة دعم موثوقة.
• شبكة VLAN الخاصة بالجهاز: تحتوي على شبكة موثوقة وأجهزة بنية أساسية أخرى.

تصفية الحزم

يقوم IPFilter وجدران حماية البرامج التي يتم تنفيذها على نظام التشغيل الجذر ونظام التشغيل الضيف للعقد بفرض قيود الاتصال ومنع نسبة استخدام الشبكة غير المصرح بها بين الأجهزة الافتراضية.

برنامج Hypervisor، ونظام تشغيل الجذر، وأجهزة VM للضيف

يدير برنامج تشغيل الآلة الافتراضية ونظام التشغيل الجذر عزل نظام التشغيل الجذر عن الأجهزة الظاهرية الضيف والأجهزة الظاهرية الضيف عن بعضها البعض.

أنواع القواعد على جدران الحماية

يتم تعريف القاعدة على أنها:

{Src IP، Src Port، Destination IP، Destination Port، Destination Protocol، In/Out، Stateful/Statue Flow Timeout}.

يُسمح بدخول أو خروج حزم الأحرف المتزامنة الخاملة (SYN) فقط إذا سمحت إحدى القواعد بذلك. بالنسبة إلى TCP، يستخدم Azure قواعد عديمة الحالة حيث يكون الكيان هو أنه يسمح فقط لجميع الحزم غير المرتبطة بالتزامن بالدخول إلى الجهاز الظاهري أو خارجه. فرضية الأمان هي أن أي مكدس مضيف مرن لتجاهل غير SYN إذا لم ير حزمة SYN مسبقا. بروتوكول TCP نفسه ذو حالة، وبالاقتران مع القاعدة عديمة الحالة المستندة إلى SYN يحقق سلوكاً عاماً للتنفيذ ذي الحالة.

بالنسبة لبروتوكول مخطط بيانات المستخدم (UDP)، يستخدم Azure قاعدة ذات حالة. في كل مرة تطابق حزمة UDP قاعدة، يتم إنشاء تدفق عكسي في الاتجاه الآخر. يحتوي هذا التدفق على مهلة مضمنة.

يتحمل العملاء مسؤولية إعداد جدران الحماية الخاصة بهم فوق ما يوفره Azure. هنا، يمكن للعملاء تحديد قواعد نسبة استخدام الشبكة الواردة والصادرة.

إدارة تكوين الإنتاج

تتم صيانة التكوينات الآمنة القياسية بواسطة فرق العمليات المعنية في قاعدة بيانات Azure وAzure SQL. يتم توثيق جميع تغييرات التكوين في أنظمة الإنتاج وتعقبها من خلال نظام تتبع مركزي. يتم تتبع تغييرات البرامج والأجهزة من خلال نظام التتبع المركزي. يتم تعقب تغييرات الشبكة المتعلقة بقائمة التحكم بالوصول (ACL) باستخدام خدمة إدارة قائمة التحكم بالوصول (ACL).

يتم تطوير جميع تغييرات التكوين على Azure واختبارها في بيئة التقسيم المرحلي، ويتم نشرها بعد ذلك في بيئة الإنتاج. تتم مراجعة تصميمات البرامج كجزء من الاختبار. تتم مراجعة فحوصات الأمان والخصوصية كجزء من معايير قائمة التحقق من الدخول. يتم توزيع التغييرات على فترات زمنية مجدولة بواسطة فريق التوزيع المعني. تتم مراجعة الإصدارات وتوقيعها من قبل موظفي فريق النشر المعني قبل توزيعها في الإنتاج.

يتم رصد التغييرات للنجاح. في سيناريو الفشل، يتم التراجع عن التغيير إلى حالته السابقة أو يتم توزيع إصلاح عاجل لمعالجة الفشل بموافقة الموظف المعين. يتم استخدام Source Depot وGit وTFS وMaster Data Services (MDS) والمتسابقين ومراقبة أمان Azure وFC ونظام أساسي WinFabric لإدارة إعدادات التكوين وتطبيقها والتحقق منها مركزياً في بيئة Azure الظاهرية.

وبالمثل، حددت تغييرات الأجهزة والشبكات خطوات تحقق لتقييم مدى التزامها بمتطلبات البناء. تتم مراجعة الإصدارات والموافقة عليها من خلال مجلس استشاري للتغيير المنسق (CAB) للمجموعات المعنية عبر المجموعة.

الخطوات التالية

لمعرفة المزيد حول ما تفعله Microsoft لتأمين البنية الأساسية لـ Azure، راجع:

• مرافق Azure ومبانيها وأمانها المادي
• توفّر البنية التحتية Azure
• حدود ومكونات نظام معلومات Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية لـ Azure
• تكامل البنية الأساسية لـ Azure
• حماية بيانات عملاء Azure