přehled funkcí zabezpečení spravované Instance Azure SQL Database a SQL

  • Článek
  • 9 min ke čtení

PLATÍ PRO: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

tento článek popisuje základy zabezpečení datové vrstvy aplikace pomocí Azure SQL Database, azure SQL Managed Instancea azure Synapse Analytics. Strategie zabezpečení popsaná níže v rámci podrobného přístupu s více vrstvami, jak je znázorněno na obrázku níže, a přesouvá se z vnější části:

Diagram vícevrstvé obrany s hloubkou. Zákaznická data jsou encaseda v úrovních zabezpečení sítě, správy přístupu a ochrany informací.

Zabezpečení sítě

Microsoft Azure SQL Database, SQL Managed Instance a Azure Synapse Analytics poskytují službu relačních databází pro cloudové a podnikové aplikace. Kvůli lepší ochraně zákaznických dat brání brány firewall síťovému přístupu k serveru, dokud nebude přístup explicitně udělen na základě IP adresy nebo původu provozu virtuální sítě Azure.

Pravidla brány firewall protokolu IP

Pravidla brány firewall protokolu IP udělují přístup k databázím na základě zdrojové IP adresy jednotlivých požadavků. další informace najdete v tématu přehled Azure SQL Database a pravidla brány firewall služby Azure Synapse Analytics.

Pravidla brány firewall virtuální sítě

koncové body služby virtuální sítě prodlužují připojení k virtuální síti přes páteřní síť Azure a umožňují Azure SQL Database identifikaci podsítě virtuální sítě, ze které provoz pochází. pokud chcete, aby provoz dosáhl Azure SQL Database, pomocí značek služby SQL povolte odchozí přenosy přes skupiny zabezpečení sítě.

pravidla virtuální sítě umožňují Azure SQL Database přijímat jenom komunikace, které se odesílají z vybraných podsítí v rámci virtuální sítě.

Poznámka

řízení přístupu pomocí pravidel brány firewall se nevztahuje na SQL spravovanou instanci. Další informace o potřebné konfiguraci sítě najdete v tématu připojení ke spravované instanci .

Správa přístupu

Důležité

Správa databází a serverů v Azure je řízena přiřazeními rolí uživatelského účtu portálu. Další informace o tomto článku najdete v tématu řízení přístupu na základě role Azure v Azure Portal.

Authentication

Ověřování je proces, který označuje, že uživatel vyžádá. spravovaná Instance Azure SQL Database a SQL podporuje dva typy ověřování:

  • ověřování SQL:

    SQL ověřování odkazuje na ověření uživatele při připojení k Azure SQL Database nebo spravované instanci Azure SQL pomocí uživatelského jména a hesla. Při vytváření serveru je nutné zadat přihlašovací jméno Správce serveru s uživatelským jménem a heslem. Pomocí těchto přihlašovacích údajů se může Správce serveru ověřit u jakékoli databáze na daném serveru nebo v instanci jako vlastník databáze. potom můžete pomocí správce serveru vytvořit další SQL přihlášení a uživatele, které uživatelům umožňují připojit se pomocí uživatelského jména a hesla.

  • ověřování Azure Active Directory:

    ověřování Azure Active Directory je mechanismus připojení k Azure SQL Database, azure SQL spravované Instance a azure Synapse Analytics pomocí identit v Azure Active Directory (Azure AD). Ověřování Azure AD umožňuje správcům centrálně spravovat identity a oprávnění uživatelů databáze spolu s dalšími službami Azure v jednom centrálním umístění. To zahrnuje minimalizaci úložiště hesel a umožňuje centralizované zásady rotace hesel.

    Aby bylo možné používat ověřování Azure AD s SQL Database, je nutné vytvořit správce serveru s názvem Správce služby Active Directory . další informace najdete v tématu připojení k SQL Database pomocí ověřování Azure Active Directory. Ověřování Azure AD podporuje spravované i federované účty. federované účty podporují Windows uživatelů a skupin pro doménu zákazníka federované pomocí Azure AD.

    k dispozici jsou další možnosti ověřování Azure AD, které jsou univerzálním ověřováním služby Active Directory pro SQL Server Management Studio připojení včetně Multi-Factor Authentication a podmíněného přístupu.

Důležité

Správa databází a serverů v Azure je řízena přiřazeními rolí uživatelského účtu portálu. Další informace o tomto článku najdete v tématu řízení přístupu na základě rolí v Azure v Azure Portal. řízení přístupu pomocí pravidel brány firewall se nevztahuje na SQL spravovanou instanci. Další informace o potřebné konfiguraci sítě najdete v následujícím článku o připojení ke spravované instanci .

Autorizace

Autorizace se týká řízení přístupu k prostředkům a příkazům v rámci databáze. to se provádí přiřazením oprávnění uživateli v rámci databáze ve službě Azure SQL Database nebo spravované Instance Azure SQL. Oprávnění jsou ideálně spravovaná přidáním uživatelských účtů do databázových rolí a přiřazením oprávnění na úrovni databáze k těmto rolím. Případně je možné udělit každému uživateli také určitá oprávnění na úrovni objektu. Další informace najdete v tématu přihlášení a uživatelé .

Osvědčeným postupem je v případě potřeby vytvořit vlastní role. Přidejte uživatele do role s nejnižšími oprávněními potřebnými k provedení jejich pracovní funkce. Nepřiřazujte oprávnění přímo uživatelům. Účet správce serveru je členem předdefinované role db_owner, která má rozsáhlá oprávnění a měla by být udělována pouze malým uživatelům s administrativními cly. Chcete-li dále omezit rozsah toho, co může uživatel provádět, lze pomocí příkazu Spustit jako určit kontext spuštění volaného modulu. Následující osvědčené postupy jsou také zásadním krokem ke rozdělení povinností.

Zabezpečení na úrovni řádků

Row-Level Security umožňuje zákazníkům řídit přístup k řádkům v databázové tabulce na základě charakteristik uživatele, který spouští dotaz (například členství ve skupině nebo kontext spuštění). Row-Level zabezpečení lze také použít k implementaci vlastních konceptů zabezpečení na základě popisků. Další informace najdete v tématu zabezpečení na úrovni řádků.

Diagram znázorňující, že Row-Level zabezpečení chrání jednotlivé řádky databáze SQL od přístupu uživatelů prostřednictvím klientské aplikace.

Ochrana před hrozbami

SQL Database a SQL spravované Instance zabezpečená zákaznická data poskytováním možností auditování a detekce hrozeb.

SQL auditování v protokolech Azure Monitor a Event Hubs

auditování spravované Instance SQL Database a SQL sleduje aktivity databáze a pomáhá udržet dodržování standardů zabezpečení tím, že zaznamenává databázové události do protokolu auditu ve vlastnictví účtu Azure storage ve vlastnictví zákazníka. Auditování umožňuje uživatelům sledovat probíhající databázové aktivity a analyzovat a prozkoumat historické aktivity a identifikovat potenciální hrozby nebo podezření na zneužití a narušení zabezpečení. další informace najdete v tématu začínáme s auditováním SQL Database.

Advanced Threat Protection

Rozšířená ochrana před internetovými útoky analyzuje protokoly a detekuje neobvyklé chování a potenciálně nebezpečné pokusy o přístup k databázím nebo jejich zneužití. výstrahy se vytvářejí pro podezřelé aktivity, jako je například vkládání SQL, potenciální defiltrace dat a útoky hrubou silou nebo pro anomálie ve vzorech přístupu, aby bylo možné zachytit eskalace oprávnění a porušování používání přihlašovacích údajů. Výstrahy se zobrazují v programu Microsoft Defender pro Cloud, kde jsou uvedené podrobnosti o podezřelých aktivitách a doporučení pro další šetření, která jsou k dispozici, a také opatření pro zmírnění hrozby. Rozšířená ochrana před internetovými útoky se dá pro jednotlivé servery povolit za další poplatek. další informace najdete v tématu začínáme s SQL Database rozšířené ochrany před internetovými útoky.

Diagram znázorňující SQL přístup k SQL databáze pro webovou aplikaci od externího útočníka a škodlivého programu insider.

Ochrana a šifrování informací

Transport Layer Security (šifrování při přenosu)

SQL Database, SQL spravované Instance a služba Azure Synapse Analytics zabezpečuje zákaznická data šifrováním dat v pohybu pomocí protokolu TLS (Transport Layer Security).

SQL Database, SQL Managed Instance a Azure Synapse Analytics vynutila šifrování (SSL/TLS) pro všechna připojení neustále. Tím se zajistí, že všechna data budou zašifrovaná mezi klientem a serverem, a to bez ohledu na nastavení šifrování nebo TrustServerCertificate v připojovacím řetězci.

V rámci osvědčeného postupu doporučujeme, abyste v připojovacím řetězci, který používá aplikaci, zadali šifrované připojení a nedůvěřujete certifikátu serveru. Tím se aplikace vynutí ověřit certifikát serveru, a tím zabrání v ohrožení vaší aplikace muž při útokech středního typu.

například při použití ovladače ADO.NET se dosáhnete pomocí Encrypt = True a TrustServerCertificate = False. Pokud získáte připojovací řetězec z Azure Portal, bude mít správné nastavení.

Důležité

Všimněte si, že některé ovladače od jiných výrobců nemůžou ve výchozím nastavení používat protokol TLS, nebo se musí spoléhat na starší verzi TLS (<1,2), aby fungovala. V takovém případě server stále umožňuje připojení k vaší databázi. doporučujeme však vyhodnotit rizika zabezpečení, která umožňují, aby se tyto ovladače a aplikace připojovaly k SQL Database, zejména pokud ukládáte citlivá data.

Další informace o TLS a připojení najdete v tématu informace o TLS .

transparentní šifrování dat (šifrování v klidovém umístění)

transparentní šifrování dat (TDE) pro SQL Database, SQL Managed Instance a Azure Synapse Analytics přináší úroveň zabezpečení, která vám umožní ochránit data v klidovém stavu před neautorizovaným nebo offline přístupem k nezpracovaným souborům nebo zálohám. Mezi běžné scénáře patří krádež datového centra nebo nezabezpečené vyřazení hardwaru nebo médií, jako jsou diskové jednotky a záložní pásky.TDE šifruje celou databázi pomocí šifrovacího algoritmu AES, který nepožaduje, aby vývojáři aplikací provedli změny v existujících aplikacích.

V Azure se všechny nově vytvořené databáze šifrují ve výchozím nastavení a šifrovací klíč databáze je chráněný integrovaným certifikátem serveru. Údržba a rotace certifikátů spravuje služba a nevyžaduje od uživatele žádné vstupy. Zákazníci, kteří chtějí převzít kontrolu nad šifrovacími klíči, mohou spravovat klíče v Azure Key Vault.

Správa klíčů pomocí Azure Key Vault

podpora Bring Your Own Key (BYOK) pro transparentní šifrování dat (TDE) umožňuje zákazníkům převzít vlastnictví správy klíčů a rotace pomocí Azure Key Vault, cloudového externího systému správy klíčů Azure. Pokud je přístup k trezoru klíčů odvolaný, databáze nemůže být dešifrována a načtena do paměti. Azure Key Vault poskytuje platformu pro správu centrálních klíčů, využívá důkladně monitorované moduly hardwarového zabezpečení (HSM) a umožňuje oddělení povinností mezi správou klíčů a dat, které vám pomůžou splnit požadavky na dodržování předpisů zabezpečení.

Always Encrypted (šifrování při použití)

Diagram znázorňující základy funkce Always Encrypted. k databázi SQL s zámkem se používá jen aplikace obsahující klíč.

Always Encrypted je funkce určená k ochraně citlivých dat uložených v konkrétních databázových sloupcích před přístupem (například čísla osobních karet, národní identifikační čísla nebo data podle potřeby). Patří sem správci databází nebo jiní privilegovaní uživatelé, kteří mají oprávnění pro přístup k databázi k provádění úloh správy, ale nemají žádnou obchodní potřebu přistupovat ke konkrétním datům v šifrovaných sloupcích. Data jsou vždy šifrovaná, což znamená, že šifrovaná data se dešifrují jenom pro zpracování klientskými aplikacemi s přístupem k šifrovacímu klíči. Šifrovací klíč není nikdy vystavený spravované instanci SQL Database SQL a je možné ho uložit buď do úložiště certifikátů Windows, nebo do Azure Key Vault.

Dynamické maskování dat

Diagram znázorňující dynamické maskování dat Obchodní aplikace odesílá data do SQL databáze, která data před odesláním zpět do obchodní aplikace zamaskuje.

Dynamické maskování dat minimalizuje odhalení citlivých dat tím, že je pro uživatele bez oprávnění maskuje. Dynamické maskování dat automaticky zjišťuje potenciálně citlivá data ve spravované instanci Azure SQL Database SQL SQL poskytuje doporučení k maskování těchto polí s minimálním dopadem na aplikační vrstvu. Funguje tak, že maskuje citlivá data v sadě výsledků dotazu nad určenými poli databáze, zatímco data v databázi se nemění. Další informace najdete v tématu Začínáme s dynamickým maskováním dat SQL Database a SQL Managed Instance.

Správa zabezpečení

Posouzení ohrožení zabezpečení

Posouzení ohrožení zabezpečení je snadná konfigurace služby, která může zjišťovat, sledovat a pomáhat opravovat potenciální ohrožení zabezpečení databáze s cílem proaktivně zlepšit celkové zabezpečení databáze. Posouzení ohrožení zabezpečení je součástí nabídky Microsoft Defender for SQL, což je jednotný balíček pro pokročilé funkce zabezpečení SQL zabezpečení. K posouzení ohrožení zabezpečení můžete přistupovat a spravovat ho prostřednictvím centrálního programu Microsoft Defender for SQL Portal.

Zjišťování a klasifikace dat

Zjišťování a klasifikace dat (aktuálně ve verzi Preview) poskytuje základní funkce integrované do spravované instance Azure SQL Database a SQL pro zjišťování, klasifikaci a označování citlivých dat v databázích. Zjišťování a klasifikování citlivých osobních údajů (obchodní/finanční, zdravotní, osobní údaje atd.) může hrát klíčovou roli ve vaší organizaci pro ochranu informací. Může sloužit jako infrastruktura na:

  • Různé scénáře zabezpečení, jako je monitorování (auditování) a upozornění na neobvyklé přístupy k citlivým datům.
  • Řízení přístupu k databázím obsahujícím vysoce citlivá data a jejich zabezpečení
  • podporu dodržování předpisů v oblasti ochrany osobních údajů a dalších regulací;

Další informace najdete v tématu Začínáme se zjišťováním a klasifikací dat.

Dodržování předpisů

Kromě výše uvedených funkcí, které můžou vaší aplikaci pomoct splnit různé požadavky na zabezpečení, se Azure SQL Database také účastní pravidelných auditů a má certifikaci pro řadu standardů dodržování předpisů. Další informace najdete v Centru zabezpečení Microsoft Azure, kde najdete nejnovější seznam certifikací dodržování SQL Database předpisů.

Další kroky

  • Diskuzi o používání přihlášení, uživatelských účtů, databázových rolí a oprávnění ve službě SQL Database a SQL Managed Instance najdete v tématu Správa přihlášení a uživatelských účtů.
  • Diskuzi o auditování databáze najdete v tématu auditování.
  • Diskuzi o detekci hrozeb najdete v tématu detekce hrozeb.