Důležité informace o zabezpečení pro SQL Server na virtuálních počítačích Azure

  • Článek
  • 5 min ke čtení

PLATÍ PRO: SQL Server na virtuálním počítači Azure

toto téma obsahuje obecné pokyny pro zabezpečení, které vám pomůžou navázat zabezpečený přístup k SQL Server instancí na virtuálním počítači Azure (VM).

Azure vyhovuje několika oborovým předpisům a standardům, které vám umožní vytvořit vyhovující řešení s SQL Server běžícím na virtuálním počítači. Informace o dodržování legislativních předpisů s Azure najdete v tématu Centrum zabezpečení Azure.

Kromě postupů popsaných v tomto tématu doporučujeme, abyste provedli kontrolu a implementaci osvědčených postupů zabezpečení z tradičních místních postupů zabezpečení i osvědčených postupů zabezpečení virtuálních počítačů.

Microsoft Defender pro SQL

microsoft defender pro SQL umožňuje programu microsoft defender pro funkce zabezpečení cloudu, jako jsou vyhodnocení ohrožení zabezpečení a výstrahy zabezpečení. další informace najdete v tématu povolení programu Microsoft Defender pro SQL .

Správa portálu

po zaregistrování SQL Server virtuálního počítače s rozšířením SQL IaaSmůžete nakonfigurovat řadu nastavení zabezpečení pomocí prostředku SQL virtuálních počítačů v Azure Portal, jako je povolení integrace Azure Key Vault nebo SQL ověřování.

navíc po povolení programu Microsoft Defender pro SQL můžete zobrazit Defender pro cloudové funkce přímo v rámci prostředku SQL virtuálních počítačů v Azure Portal, jako jsou například vyhodnocení ohrožení zabezpečení a výstrahy zabezpečení.

další informace najdete v tématu správa SQL Server virtuálního počítače na portálu .

Integrace se službou Azure Key Vault

existuje několik funkcí SQL Server šifrování, jako je transparentní šifrování dat (TDE), šifrování na úrovni sloupce (CLE) a šifrování záloh. Tyto formy šifrování vyžadují, abyste mohli spravovat a ukládat kryptografické klíče, které používáte pro šifrování. Služba Azure Key Vault je navržená tak, aby vylepšila zabezpečení a správu těchto klíčů v zabezpečeném a vysoce dostupném umístění. konektor SQL Server umožňuje SQL Server používat tyto klíče z Azure Key Vault. podrobné informace najdete v dalších článcích v této sérii: kontrolní seznam, velikost VM, Storage, konfigurace HADR, shromáždění standardních hodnot.

Další informace najdete v tématu integrace Azure Key Vault .

Řízení přístupu

při vytváření virtuálního počítače s SQL Server zvažte pečlivé řízení, kdo má přístup k počítači a SQL Server. Obecně platí, že byste měli provést následující akce:

  • omezte přístup k SQL Server jenom na aplikace a klienty, které ho potřebují.
  • Dodržujte osvědčené postupy pro správu uživatelských účtů a hesel.

V následujících částech jsou uvedeny návrhy na promyšlení těchto bodů.

Zabezpečená připojení

když vytvoříte virtuální počítač s SQL Server s imagí galerie, možnost připojení SQL Server vám umožní vybrat místní (uvnitř virtuálního počítače), privátní (v rámci Virtual Network) nebo veřejné (Internet).

SQL Server připojení

Pro zajištění nejlepšího zabezpečení vyberte nejvíce omezující možnost pro váš scénář. například pokud používáte aplikaci, která přistupuje k SQL Server na stejném virtuálním počítači, pak je místní volba nejbezpečnější. pokud používáte aplikaci Azure, která vyžaduje přístup k SQL Server, pak soukromá zabezpečená komunikace s SQL Server jenom v rámci zadané virtuální sítě Azure. pokud požadujete veřejný přístup k virtuálnímu počítači s SQL Server (internet), nezapomeňte podle dalších osvědčených postupů v tomto tématu snížit prostor pro útoky.

Vybrané možnosti portálu používají pravidla zabezpečení příchozí pro skupinu zabezpečení sítě (NSG) virtuálního počítače a povolují nebo zakazují síťový provoz na virtuálním počítači. můžete upravit nebo vytvořit nová příchozí pravidla NSG, která povolí provoz na port SQL Server (standardně 1433). Můžete také zadat konkrétní IP adresy, které můžou komunikovat přes tento port.

Pravidla skupiny zabezpečení sítě

kromě pravidel NSG pro omezení síťového provozu můžete také použít bránu Firewall Windows na virtuálním počítači.

Pokud používáte koncové body s modelem nasazení Classic, odeberte všechny koncové body na virtuálním počítači, pokud je nepoužíváte. Pokyny k používání seznamů ACL s koncovými body najdete v tématu Správa seznamu ACL na koncovém bodu. To není nutné pro virtuální počítače, které používají Azure Resource Manager.

nakonec zvažte povolení šifrovaných připojení pro instanci databázového stroje SQL Server na virtuálním počítači Azure. nakonfigurujte SQL instanci serveru s podepsaným certifikátem. Další informace najdete v tématu Povolení šifrovaných připojení k databázovému stroji a syntaxi připojovacího řetězce.

Šifrování

Spravované disky nabízejí Server-Side šifrování a Azure Disk Encryption. Šifrování na straně serveru poskytuje šifrování v klidovém prostředí a chrání vaše data, aby splňovala závazky zabezpečení vaší organizace a dodržování předpisů. Azure Disk Encryption používá technologii BitLocker nebo DM-Crypt a integruje se s Azure Key Vault k šifrování disků s operačním systémem a datovými disky.

Jiný než výchozí port

Ve výchozím nastavení SQL Server naslouchá na dobře známém portu 1433. pro zvýšení zabezpečení nakonfigurujte SQL Server, aby naslouchala na jiný než výchozí port, například 1401. pokud zřizujete obrázek galerie SQL Server v Azure Portal, můžete tento port zadat v okně nastavení SQL Server .

Pokud to chcete nakonfigurovat po zřízení, máte dvě možnosti:

  • u Správce prostředků virtuálních počítačů můžete vybrat zabezpečení z prostředku SQL virtuálních počítačů. Tato možnost umožňuje změnit port.

    Změna portu TCP na portálu

  • u klasických virtuálních počítačů nebo u SQL Server virtuálních počítačů, které nebyly zřízené s portálem, můžete port ručně nakonfigurovat připojením k virtuálnímu počítači. Postup konfigurace najdete v tématu Konfigurace serveru pro naslouchání na specifickém portu TCP. pokud používáte tuto ruční techniku, musíte přidat Windows pravidlo brány Firewall, které povolí příchozí provoz na tomto portu TCP.

Důležité

pokud je port SQL Server otevřený pro veřejná internetová připojení, je vhodné zadat jiný než výchozí port.

pokud SQL Server naslouchá na portu, který není výchozí, je nutné při připojování zadat port. představte si třeba situaci, kdy se IP adresa serveru 13.55.255.255 a SQL Server naslouchá na portu 1401. pokud se chcete připojit k SQL Server, zadali jste 13.55.255.255,1401 v připojovacím řetězci.

Správa účtů

Nechcete, aby útočníci mohli snadno uhodnout názvy účtů nebo hesla. Následující tipy vám pomůžou:

  • Vytvořte jedinečný účet místního správce, který se nejmenuje jako správce.

  • Používejte složitá silná hesla pro všechny vaše účty. Další informace o tom, jak vytvořit silné heslo, najdete v článku o vytvoření silného hesla.

  • ve výchozím nastavení Azure vybírá Windows ověřování během SQL Server nastavení virtuálního počítače. Proto je přihlašovací jméno SA zakázané a instalační program přiřadí heslo. Doporučujeme, abyste přihlášení SA nepoužívali ani nepovolili. pokud musíte mít SQL přihlášení, použijte jednu z následujících strategií:

    • vytvořte účet SQL s jedinečným názvem, který má členství sysadmin . to můžete provést z portálu povolením SQL ověřování během zřizování.

      Tip

      pokud během zřizování nepovolíte SQL ověřování, musíte ručně změnit režim ověřování na SQL Server a Windows režim ověřování. Další informace najdete v tématu Změna režimu ověřování serveru.

    • Pokud musíte použít přihlašovací jméno SA , povolte přihlašovací údaje po zřízení a přiřaďte nové silné heslo.

Další kroky

pokud vás zajímá i osvědčené postupy týkající se výkonu, přečtěte si téma osvědčené postupy výkonu pro SQL Server v Azure Virtual Machines.

další témata související se spouštěním SQL Server ve virtuálních počítačích azure najdete v tématu SQL Server na azure Virtual Machines přehled. Pokud máte dotazy k virtuálním počítačům s SQL Serverem, přečtěte si Nejčastější dotazy.

Další informace najdete v dalších článcích v této sérii: