Kontrolní seznam zabezpečení databáze Azure

Azure Database obsahuje mnoho integrovaných kontrolních mechanismů zabezpečení, které můžete použít k omezení a řízení přístupu.

Mezi bezpečnostní prvky patří:

• Brána firewall, která umožňuje vytvářet pravidla brány firewall, která omezují připojení podle IP adresy,
• Brána firewall na úrovni serveru přístupná z webu Azure Portal
• Pravidla brány firewall na úrovni databáze přístupná z aplikace SSMS
• Zabezpečené připojení k databázi pomocí zabezpečených připojovací řetězec
• Použití správy přístupu
• Šifrování dat
• Auditování služby SQL Database
• Detekce hrozeb ve službě SQL Database

Úvod

Cloud computing vyžaduje nová bezpečnostní paradigmata, která nejsou pro mnoho uživatelů aplikací, správců databází a programátorů neznámá. V důsledku toho některé organizace váhají implementovat cloudovou infrastrukturu pro správu dat kvůli vnímaným rizikům zabezpečení. Velkou část tohoto problému však lze zmírnit lepším porozuměním funkcím zabezpečení integrovaným do Microsoft Azure a Microsoft Azure SQL Database.

Kontrolní seznam

Před kontrolou tohoto kontrolního seznamu doporučujeme přečíst si článek Osvědčené postupy zabezpečení služby Azure Database. Jakmile pochopíte osvědčené postupy, budete moct tento kontrolní seznam využít na maximum. Pomocí tohoto kontrolního seznamu se pak můžete ujistit, že jste vyřešili důležité problémy v zabezpečení databáze Azure.

Kategorie kontrolního seznamu	Popis
Ochrana dat
Šifrování při pohybu a přenosu	Zabezpečení přenosové vrstvy pro šifrování dat při přesunu dat do sítí. Databáze vyžaduje zabezpečenou komunikaci od klientů na základě protokolu TDS (Tabular Data Stream) přes protokol TLS (Transport Layer Security).
Šifrování neaktivních uložených dat	transparentní šifrování dat, když jsou neaktivní data uložena fyzicky v libovolné digitální podobě.
Řízení přístupu
Přístup k databázi	Ověřování (ověřování Microsoft Entra) AD používá identity spravované pomocí Microsoft Entra ID. Autorizace uživatelům uděluje nejnižší potřebná oprávnění.
Přístup k aplikacím	Zabezpečení na úrovni řádků (použití zásad zabezpečení, omezení přístupu na úrovni řádků na základě identity, role nebo kontextu spuštění uživatele) Dynamické maskování dat (použití oprávnění a zásad, omezení ohrožení citlivých dat maskováním pro neprivilegované uživatele)
Proaktivní monitorování
Sledování a zjišťování	Auditování sleduje události databáze a zapisuje je do protokolu auditu nebo protokolu aktivit ve vašem účtu Azure Storage. Sledování stavu služby Azure Database pomocí protokolů aktivit služby Azure Monitor Detekce hrozeb detekuje neobvyklé databázové aktivity označující potenciální bezpečnostní hrozby pro databázi.
Microsoft Defender for Cloud	Monitorování dat používá Microsoft Defender pro cloud jako centralizované řešení pro monitorování zabezpečení pro SQL a další služby Azure.

Závěr

Azure Database je robustní databázová platforma s celou řadou funkcí zabezpečení, které splňují řadu požadavků organizace a dodržování právních předpisů. Data můžete snadno chránit pomocí řízení fyzického přístupu k datům a použitím různých možností zabezpečení dat na úrovni souboru, sloupce nebo řádku pomocí transparentní šifrování dat, šifrování na úrovni buněk nebo zabezpečení na úrovni řádků. Funkce Always Encrypted také umožňuje operace s šifrovanými daty, což zjednodušuje proces aktualizací aplikací. Přístup k protokolům auditování aktivit služby SQL Database poskytuje potřebné informace, které vám umožní zjistit, jak a kdy se k datům přistupuje.

Další kroky

Ochranu databáze před uživateli se zlými úmysly nebo neoprávněným přístupem můžete zlepšit v několika jednoduchých krocích. V tomto kurzu se naučíte:

• Nastavte pravidla brány firewall pro váš server a databázi.
• Chraňte svá data šifrováním.
• Povolte auditování služby SQL Database.