أفضل الممارسات لتأمين قواعد بيانات PaaS في Azure
في هذه المقالة، نناقش مجموعة من قاعدة بيانات Azure SQL وأفضل ممارسات أمان Azure Synapse Analytics لتأمين تطبيقات الويب والأجهزة المحمولة الخاصة بالنظام الأساسي كخدمة (PaaS). تستمد أفضل الممارسات هذه من تجربتنا مع Azure وتجارب العملاء مثلك.
توفر قاعدة بيانات Azure SQL وAzure Synapse Analytics خدمة قاعدة بيانات علائقية للتطبيقات المستندة إلى الإنترنت. دعنا نلقي نظرة على الخدمات التي تساعد على حماية تطبيقاتك وبياناتك عند استخدام قاعدة بيانات Azure SQL وAzure Synapse Analytics في نشر PaaS:
- مصادقة Azure Active Directory (بدلا من مصادقة SQL Server)
- جدار حماية Azure SQL
- Transparent Data Encryption (TDE)
استخدام مستودع هوية مركزي
يمكن تكوين قاعدة بيانات Azure SQL لاستخدام أحد نوعين من المصادقة:
تستخدم مصادقة SQL اسم مستخدم وكلمة مرور. عند إنشاء الخادم لقاعدة البيانات الخاصة بك، قمت بتحديد تسجيل دخول "مسؤول الخادم" باستخدام اسم مستخدم وكلمة مرور. باستخدام بيانات الاعتماد هذه، يمكنك المصادقة على أي قاعدة بيانات على هذا الخادم بصفتك مالك قاعدة البيانات.
تستخدم مصادقة Azure Active Directory الهويات المدارة بواسطة Azure Active Directory وهي مدعومة للمجالات المدارة والمتكاملة. لاستخدام مصادقة Azure Active Directory، يجب إنشاء مسؤول خادم آخر يسمى "مسؤول Azure AD"، والذي يسمح له بإدارة Azure AD المستخدمين والمجموعات. ويمكن لهذا المسؤول أيضًا تنفيذ كافة العمليات العادية التي يمكن لمسؤول الخادم تنفيذها.
مصادقة Azure Active Directory هي آلية للاتصال بقاعدة بيانات Azure SQL وAzure Synapse Analytics باستخدام الهويات في Azure Active Directory (AD). يوفر Azure AD بديلا للمصادقة SQL Server حتى تتمكن من إيقاف انتشار هويات المستخدمين عبر خوادم قواعد البيانات. تمكنك مصادقة Azure AD من إدارة هويات مستخدمي قاعدة البيانات خدمات Microsoft الآخرين مركزيا في موقع مركزي واحد. توفر إدارة المعرّف المركزية مكانًا واحدًا لإدارة مستخدمي قاعدة البيانات وتبسط إدارة الأذونات.
فوائد استخدام Azure AD بدلا من المصادقة SQL
- يسمح بتدوير كلمة المرور في مكان واحد.
- يدير أذونات قاعدة البيانات باستخدام مجموعات Azure AD خارجية.
- يلغي تخزين كلمات المرور من خلال تمكين مصادقة Windows المتكاملة وغيرها من أشكال المصادقة التي يدعمها Azure AD.
- يستخدم مستخدمي قاعدة البيانات المعزولين لمصادقة الهويات على مستوى قاعدة البيانات.
- يدعم المصادقة المستندة إلى الرمز المميز للتطبيقات المتصلة بقاعدة بيانات SQL.
- يدعم اتحاد النطاق مع خدمات الأمان المشترك لـ Active Directory (ADFS) أو مصادقة المستخدم/كلمة المرور الأصلية Azure AD محلي بدون مزامنة النطاق.
- يدعم الاتصالات من SQL Server Management Studio التي تستخدم المصادقة العامة ل Active Directory، والتي تتضمن المصادقة متعددة العوامل (MFA). يتضمن MFA مصادقة قوية مع مجموعة من خيارات التحقق السهلة - مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رقم تعريف شخصي أو إشعار تطبيق جوال. لمزيد من المعلومات، راجع المصادقة العامة باستخدام قاعدة بيانات SQL وAzure Synapse Analytics.
لمعرفة المزيد حول مصادقة Azure AD، راجع:
- استخدام مصادقة Azure Active Directory للمصادقة باستخدام قاعدة بيانات SQL أو المثيل المدار أو Azure Synapse Analytics
- المصادقة إلى Azure Synapse Analytics
- دعم المصادقة المستندة إلى الرمز المميز لقاعدة بيانات Azure SQL باستخدام مصادقة Azure AD
ملاحظة
للتأكد من أن Azure Active Directory مناسب تماما لبيئتك، راجع الميزات والقيود Azure AD.
تقييد الوصول استنادا إلى عنوان IP
يمكنك إنشاء قواعد جدار الحماية التي تحدد نطاقات عناوين IP المقبولة. يمكن استهداف هذه القواعد على مستوى الخادم وقاعدة البيانات. نوصي باستخدام قواعد جدار الحماية على مستوى قاعدة البيانات كلما أمكن ذلك لتعزيز الأمان وجعل قاعدة البيانات أكثر قابلية للحمل. من الأفضل استخدام قواعد جدار الحماية على مستوى الخادم للمسؤولين وعندما يكون لديك العديد من قواعد البيانات التي لها نفس متطلبات الوصول ولكنك لا تريد قضاء بعض الوقت في تكوين كل قاعدة بيانات على حدة.
SQL تسمح قيود عنوان IP المصدر الافتراضي لقاعدة البيانات بالوصول من أي عنوان Azure، بما في ذلك الاشتراكات والمستأجرين الآخرين. يمكنك تقييد ذلك للسماح فقط لعناوين IP الخاصة بك بالوصول إلى المثيل. حتى مع وجود SQL جدار الحماية وقيود عنوان IP ، لا تزال هناك حاجة إلى مصادقة قوية. راجع التوصيات المقدمة سابقا في هذه المقالة.
لمعرفة المزيد حول جدار حماية Azure SQL وقيود IP، راجع:
- Azure SQL Database and Azure Synapse Analytics access control
- Azure SQL Database and Azure Synapse Analytics firewall rules
تشفير البيانات الثابتة
يتم تمكين تشفير البيانات الشفاف (TDE) افتراضيا. تقوم TDE بتشفير SQL Server وقاعدة بيانات Azure SQL وبيانات Azure Synapse Analytics وملفات السجل بشفافية. يحمي TDE من اختراق الوصول المباشر إلى الملفات أو نسخها الاحتياطية. يتيح لك ذلك تشفير البيانات في وضع السكون دون تغيير التطبيقات الموجودة. يجب أن تظل TDE ممكنة دائما ؛ ومع ذلك ، لن يؤدي ذلك إلى إيقاف المهاجم عن استخدام مسار الوصول العادي. توفر TDE القدرة على الامتثال للعديد من القوانين واللوائح والمبادئ التوجيهية الموضوعة في مختلف الصناعات.
يدير Azure SQL المشكلات الرئيسية ذات الصلة ل TDE. كما هو الحال مع TDE ، يجب توخي الحذر بشكل خاص في أماكن العمل لضمان إمكانية الاسترداد وعند نقل قواعد البيانات. في السيناريوهات الأكثر تطورا، يمكن إدارة المفاتيح بشكل صريح في Azure Key Vault من خلال إدارة المفاتيح القابلة للتوسعة. راجع تمكين TDE على SQL Server باستخدام EKM. يسمح هذا أيضا بإحضار مفتاحك الخاص (BYOK) من خلال إمكانية Azure Key Vaults BYOK.
يوفر Azure SQL التشفير للأعمدة من خلال Always Encrypted. يسمح هذا فقط للتطبيقات المصرح لها بالوصول إلى الأعمدة الحساسة. استخدام هذا النوع من التشفير يحد SQL الاستعلامات للأعمدة المشفرة إلى القيم القائمة على المساواة.
يجب أيضا استخدام تشفير مستوى التطبيق للبيانات الانتقائية. يمكن في بعض الأحيان التخفيف من مخاوف سيادة البيانات عن طريق تشفير البيانات بمفتاح يتم الاحتفاظ به في البلد / المنطقة الصحيحة. هذا يمنع حتى نقل البيانات العرضي من التسبب في مشكلة لأنه من المستحيل فك تشفير البيانات بدون المفتاح ، على افتراض استخدام خوارزمية قوية (مثل AES 256).
يمكنك استخدام احتياطات إضافية للمساعدة في تأمين قاعدة البيانات، مثل تصميم نظام آمن وتشفير الأصول السرية وإنشاء جدار حماية حول خوادم قاعدة البيانات.
الخطوات التالية
قدمت لك هذه المقالة مجموعة من أفضل ممارسات أمان قاعدة بيانات SQL وAzure Synapse Analytics لتأمين تطبيقات PaaS على الويب والأجهزة المحمولة. لمعرفة المزيد حول تأمين عمليات نشر PaaS، راجع: