Tutorial: Protección de una base de datos única o agrupadaTutorial: Secure a single or pooled database

En este tutorial, aprenderá a:In this tutorial you learn how to:

  • Crear reglas de firewall de nivel de servidor y de base de datos.Create server-level and database-level firewall rules
  • Configurar un administrador de Azure Active Directory (Azure AD).Configure an Azure Active Directory (AD) administrator
  • Administrar el acceso de usuario con la autenticación de SQL, la autenticación de Azure AD y cadenas de conexión seguras.Manage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Habilitar características de seguridad, como la seguridad avanzada para los datos, la auditoría, el enmascaramiento de datos y el cifrado.Enable security features, such as advanced data security, auditing, data masking, and encryption

Azure SQL Database protege los datos de una base de datos única o agrupada al permitir:Azure SQL Database secures data in a single or pooled database by allowing you to:

  • Limitar el acceso mediante reglas de firewallLimit access using firewall rules
  • Usar mecanismos de autenticación que requieran la identidadUse authentication mechanisms that require identity
  • Usar la autorización con pertenencias y permisos basados en rolesUse authorization with role-based memberships and permissions
  • Habilitar características de seguridadEnable security features

Nota

Una base de datos de Azure SQL en una instancia administrada se protege mediante reglas de seguridad de red y puntos de conexión privados, como se describe en Instancia administrada de Azure SQL Database y Arquitectura de conectividad.An Azure SQL database on a managed instance is secured using network security rules and private endpoints as described in Azure SQL database managed instance and connectivity architecture.

Para más información, consulte los artículos Información general sobre las funcionalidades de seguridad de Azure SQL Database y Funcionalidades.To learn more, see the Azure SQL Database security overview and capabilities articles.

Sugerencia

El siguiente módulo de Microsoft Learn le ayuda a aprender de forma gratuita sobre cómo proteger la instancia de Azure SQL Database.The following Microsoft Learn module helps you learn for free about how to Secure your Azure SQL Database.

Requisitos previosPrerequisites

Para completar el tutorial, asegúrese de que cuenta con estos requisitos previos:To complete the tutorial, make sure you have the following prerequisites:

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Inicio de sesión en Azure PortalSign in to the Azure portal

Para realizar todos los pasos del tutorial, inicie sesión en Azure Portal.For all steps in the tutorial, sign in to Azure portal

Creación de reglas de firewallCreate firewall rules

En Azure, las bases de datos SQL están protegidas mediante firewalls.SQL databases are protected by firewalls in Azure. De forma predeterminada, se rechazan todas las conexiones al servidor y a la base de datos.By default, all connections to the server and database are rejected. Para más información, consulte Reglas de firewall de nivel de base de datos y de nivel de servidor de Azure SQL Database.To learn more, see Azure SQL Database server-level and database-level firewall rules.

Establezca Permitir el acceso a servicios de Azure en OFF (DESACTIVADO) para configurar la opción más segura.Set Allow access to Azure services to OFF for the most secure configuration. A continuación, cree una dirección IP reservada (implementación clásica) para el recurso que tenga que conectar, como una máquina virtual de Azure o un servicio en la nube, y permita solo a esa dirección IP el acceso mediante el firewall.Then, create a reserved IP (classic deployment) for the resource that needs to connect, such as an Azure VM or cloud service, and only allow that IP address access through the firewall. Si usa el modelo de implementación de Resource Manager, es necesaria una dirección IP pública dedicada para cada recurso.If you're using the resource manager deployment model, a dedicated public IP address is required for each resource.

Nota

SQL Database se comunica a través del puerto 1433.SQL Database communicates over port 1433. Si intenta conectarse desde dentro de una red corporativa, es posible que el firewall de la red no permita el tráfico de salida a través del puerto 1433.If you're trying to connect from within a corporate network, outbound traffic over port 1433 may not be allowed by your network's firewall. En ese caso, no puede conectarse al servidor de Azure SQL Database, salvo que el administrador abra el puerto 1433.If so, you can't connect to the Azure SQL Database server unless your administrator opens port 1433.

Configuración de reglas de firewall del servidor de SQL DatabaseSet up SQL Database server firewall rules

Las reglas de firewall de IP en el nivel de servidor se aplican a todas las bases de datos del mismo servidor de SQL Database.Server-level IP firewall rules apply to all databases within the same SQL Database server.

Para configurar una regla de firewall de nivel de servidor:To set up a server-level firewall rule:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

    regla de firewall del servidor

    Nota

    Copie el nombre completo del servidor (como suservidor.database.windows.net) para usarlo más adelante en el tutorial.Be sure to copy your fully qualified server name (such as yourserver.database.windows.net) for use later in the tutorial.

  2. En la página Información general, seleccione Establecer el firewall del servidor.On the Overview page, select Set server firewall. Se abre la página Configuración del firewall del servidor de bases de datos.The Firewall settings page for the database server opens.

    1. Seleccione Agregar IP de cliente en la barra de herramientas para agregar la dirección IP actual a la nueva regla de firewall.Select Add client IP on the toolbar to add your current IP address to a new firewall rule. La regla puede abrir el puerto 1433 para una única dirección IP o un intervalo de direcciones IP.The rule can open port 1433 for a single IP address or a range of IP addresses. Seleccione Guardar.Select Save.

      establecer regla de firewall del servidor

    2. Seleccione Aceptar y, después, cierre la página Configuración de firewall.Select OK and close the Firewall settings page.

Ahora puede conectarse a cualquier base de datos del servidor con la dirección IP o el intervalo de direcciones IP especificados.You can now connect to any database in the server with the specified IP address or IP address range.

Configuración de reglas de firewall para las bases de datosSetup database firewall rules

Las reglas de firewall de nivel de base de datos solo se aplican a bases de datos individuales.Database-level firewall rules only apply to individual databases. La base de datos conservará estas reglas durante una conmutación por error del servidor.The database will retain these rules during a server failover. Las reglas de firewall de nivel de base de datos solo pueden configurarse mediante instrucciones de Transact-SQL (T-SQL) y únicamente después de haber configurado una regla de firewall de nivel de servidor.Database-level firewall rules can only be configured using Transact-SQL (T-SQL) statements, and only after you've configured a server-level firewall rule.

Para configurar una regla de firewall de nivel de base de datos:To setup a database-level firewall rule:

  1. Conéctese a la base de datos, por ejemplo, mediante SQL Server Management Studio.Connect to the database, for example using SQL Server Management Studio.

  2. En el Explorador de objetos, haga clic con el botón derecho en la base de datos y seleccione Nueva consulta.In Object Explorer, right-click the database and select New Query.

  3. En la ventana de consulta, agregue esta instrucción y reemplace la dirección IP por su dirección IP pública:In the query window, add this statement and modify the IP address to your public IP address:

    EXECUTE sp_set_database_firewall_rule N'Example DB Rule','0.0.0.4','0.0.0.4';
    
  4. En la barra de herramientas, seleccione Ejecutar para crear la regla de firewall.On the toolbar, select Execute to create the firewall rule.

Nota

También puede crear una regla de firewall de nivel de servidor en SSMS mediante el comando sp_set_firewall_rule, aunque debe estar conectado a la base de datos maestra.You can also create a server-level firewall rule in SSMS by using the sp_set_firewall_rule command, though you must be connected to the master database.

Creación de un administrador de Azure ADCreate an Azure AD admin

Asegúrese de que está usando el dominio administrado de Azure Active Directory (AD) adecuado.Make sure you're using the appropriate Azure Active Directory (AD) managed domain. Seleccione el dominio de AD en la esquina superior derecha de Azure Portal.To select the AD domain, use the upper-right corner of the Azure portal. Este proceso confirma que la misma suscripción se usa tanto para Azure AD como para el servidor SQL Server que hospeda el almacenamiento de datos o la base de datos de Azure SQL.This process confirms the same subscription is used for both Azure AD and the SQL Server hosting your Azure SQL database or data warehouse.

elegir ad

Para establecer el administrador de Azure AD:To set the Azure AD administrator:

  1. En Azure Portal, en la página SQL Server, seleccione Administrador de Active Directory. A continuación, seleccione Establecer administrador.In Azure portal, on the SQL server page, select Active Directory admin. Next select Set admin.

    seleccione active directory

    Importante

    Debe ser "Administrador de empresa" o "Administrador global" para realizar esta tarea.You need to be either a "Company Administrator" or "Global Administrator" to perform this task.

  2. En la página Agregar administrador, busque y seleccione el usuario o el grupo de AD, y elija Seleccionar.On the Add admin page, search and select the AD user or group and choose Select. Se muestran todos los miembros y grupos de Active Directory; no se admiten las entradas atenuadas como administradores de Azure AD.All members and groups of your Active Directory are listed, and entries grayed out are not supported as Azure AD administrators. Consulte Características y limitaciones de Azure AD.See Azure AD features and limitations.

    Seleccionar administrador

    Importante

    El control de acceso basado en rol (RBAC) se aplica solo al portal y no se propaga a SQL Server.Role-based access control (RBAC) only applies to the portal and isn't propagated to SQL Server.

  3. En la parte superior de la página Administrador de Active Directory, seleccione Guardar.At the top of the Active Directory admin page, select Save.

    El proceso de cambio de un administrador puede tardar varios minutos.The process of changing an administrator may take several minutes. El nuevo administrador aparecerá en el cuadro Administrador de Active Directory.The new administrator will appear in the Active Directory admin box.

Nota

Al configurar un administrador de Azure AD, el nombre del nuevo administrador (usuario o grupo) no puede existir como un usuario de autenticación de SQL Server en la base de datos maestra.When setting an Azure AD admin, the new admin name (user or group) cannot exist as a SQL Server authentication user in the master database. Si estuviera, se producirá un error en la instalación, se revertirán los cambios y se indicará que ese nombre de administrador ya existe.If present, the setup will fail and roll back changes, indicating that such an admin name already exists. Como el usuario de autenticación de SQL Server no forma parte de Azure AD, se producirá un error cada vez que se intente conectar el usuario con la autenticación de Azure AD.Since the SQL Server authentication user is not part of Azure AD, any effort to connect the user using Azure AD authentication fails.

Para más información acerca de la configuración de Azure AD, consulte:For information about configuring Azure AD, see:

Administración del acceso a las bases de datosManage database access

Para administrar el acceso de la base de datos, agregue usuarios a la base de datos o permita el acceso de los usuarios con cadenas de conexión segura.Manage database access by adding users to the database, or allowing user access with secure connection strings. Las cadenas de conexión son útiles para las aplicaciones externas.Connection strings are useful for external applications. Para más información, consulte Control de acceso de Azure SQL y Autenticación de Azure AD.To learn more, see Azure SQL access control and AD authentication.

Para agregar usuarios, elija el tipo de autenticación de base de datos:To add users, choose the database authentication type:

  • Autenticación de SQL, que usa un nombre de usuario y una contraseña para iniciar sesión, y son válidos únicamente en el contexto de una base de datos específica dentro de un servidor.SQL authentication, use a username and password for logins and are only valid in the context of a specific database within the server

  • Autenticación de Azure AD, que usa identidades administradas por Azure AD.Azure AD authentication, use identities managed by Azure AD

Autenticación de SQLSQL authentication

Para agregar un usuario con la autenticación de SQL:To add a user with SQL authentication:

  1. Conéctese a la base de datos, por ejemplo, mediante SQL Server Management Studio.Connect to the database, for example using SQL Server Management Studio.

  2. En el Explorador de objetos, haga clic con el botón derecho en la base de datos y elija Nueva consulta.In Object Explorer, right-click the database and choose New Query.

  3. En la ventana de consulta, escriba el comando siguiente:In the query window, enter the following command:

    CREATE USER ApplicationUser WITH PASSWORD = 'YourStrongPassword1';
    
  4. En la barra de herramientas, seleccione Ejecutar para crear el usuario.On the toolbar, select Execute to create the user.

  5. De forma predeterminada, el usuario puede conectarse a la base de datos, pero no tiene permisos para leer o escribir datos.By default, the user can connect to the database, but has no permissions to read or write data. Para conceder estos permisos, ejecute los dos comandos siguientes en una nueva ventana de consulta:To grant these permissions, execute the following commands in a new query window:

    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
    ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;
    

Nota

Cree cuentas sin privilegios de administrador en el nivel de base de datos, a menos que haya que ejecutar tareas de administrador tales como crear nuevos usuarios.Create non-administrator accounts at the database level, unless they need to execute administrator tasks like creating new users.

Autenticación de Azure ADAzure AD authentication

La autenticación de Azure Active Directory requiere que los usuarios de la base de datos se creen como independientes.Azure Active Directory authentication requires that database users are created as contained. Un usuario de base de datos independiente se asigna a una identidad en el directorio de Azure AD asociado a la base de datos y no tiene inicio de sesión en la base de datos maestra.A contained database user maps to an identity in the Azure AD directory associated with the database and has no login in the master database. La identidad de Azure AD puede ser una cuenta de usuario individual o un grupo.The Azure AD identity can either be for an individual user or a group. Para más información, consulte Usuarios de base de datos independiente: hacer que la base de datos sea portátil y revise el Tutorial de Azure AD acerca de cómo autenticarse con Azure AD.For more information, see Contained database users, make your database portable and review the Azure AD tutorial on how to authenticate using Azure AD.

Nota

Los usuarios de base de datos (a excepción de los administradores) no se pueden crear mediante Azure Portal.Database users (excluding administrators) cannot be created using the Azure portal. Los roles de Azure RBAC no se propagan a los almacenes de servidores, bases de datos o datos SQL.Azure RBAC roles do not propagate to SQL servers, databases, or data warehouses. Se utilizan solo para administrar los recursos de Azure y no se aplican a los permisos de base de datos.They are only used to manage Azure resources and do not apply to database permissions.

Por ejemplo, el rol Colaborador de SQL Server no concede acceso para conectarse a una base de datos o a un almacenamiento de datos.For example, the SQL Server Contributor role does not grant access to connect to a database or data warehouse. Este permiso tiene que concederse dentro de la base de datos mediante instrucciones de T-SQL.This permission must be granted within the database using T-SQL statements.

Importante

No se admiten caracteres especiales, como los dos puntos : o la "y" comercial &, en los nombres de usuario de las instrucciones CREATE LOGIN y CREATE USER de T-SQL.Special characters like colon : or ampersand & are not supported in user names in the T-SQL CREATE LOGIN and CREATE USER statements.

Para agregar un usuario con la autenticación de Azure AD:To add a user with Azure AD authentication:

  1. Conéctese a su servidor SQL de Azure con una cuenta de Azure AD con al menos el permiso ALTER ANY USER.Connect to your Azure SQL server using an Azure AD account with at least the ALTER ANY USER permission.

  2. En el Explorador de objetos, haga clic con el botón derecho en la base de datos y seleccione Nueva consulta.In Object Explorer, right-click the database and select New Query.

  3. En la ventana de consulta, escriba el siguiente comando y reemplace <Azure_AD_principal_name> por el nombre principal del usuario de Azure AD o el nombre para mostrar del grupo de Azure AD:In the query window, enter the following command and modify <Azure_AD_principal_name> to the principal name of the Azure AD user or the display name of the Azure AD group:

    CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;
    

Nota

Los usuarios de Azure AD se marcan en los metadatos de la base de datos con el tipo E (EXTERNAL_USER) y el tipo X (EXTERNAL_GROUPS) para grupos.Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and type X (EXTERNAL_GROUPS) for groups. Para obtener más información, consulte sys.database_principals (Transact-SQL).For more information, see sys.database_principals.

Cadenas de conexión segurasSecure connection strings

Para garantizar una conexión cifrada y segura entre la aplicación cliente y SQL Database, se debe configurar una cadena de conexión para:To ensure a secure, encrypted connection between the client application and SQL database, a connection string must be configured to:

  • Solicitar una conexión cifrada.Request an encrypted connection
  • No confiar en el certificado de servidor.Not trust the server certificate

La conexión se establece mediante la Seguridad de la capa de transporte (TLS) y se reduce el riesgo de ataques de tipo "Man in the middle".The connection is established using Transport Layer Security (TLS) and reduces the risk of a man-in-the-middle attack. Las cadenas de conexión están disponibles para cada base de datos y están preconfiguradas para admitir los controladores de cliente como ADO.NET, JDBC, ODBC y PHP.Connection strings are available per database and are pre-configured to support client drivers such as ADO.NET, JDBC, ODBC, and PHP. Para información sobre TLS y la conectividad, consulte Consideraciones de TLS.For information about TLS and connectivity, see TLS considerations.

Para copiar una cadena de conexión segura:To copy a secure connection string:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. En la página Información general, haga clic en Mostrar las cadenas de conexión de la base de datos.On the Overview page, select Show database connection strings.

  3. Seleccione una pestaña de controlador y copie la cadena de conexión completa.Select a driver tab and copy the complete connection string.

    Cadena de conexión ADO.NET

Habilitar características de seguridadEnable security features

Azure SQL Database proporciona características de seguridad que son accesibles mediante Azure Portal.Azure SQL Database provides security features that are accessed using the Azure portal. Estas características están disponibles tanto para la base de datos como para el servidor, excepto el enmascaramiento de datos, que solo está disponible en la base de datos.These features are available for both the database and server, except for data masking, which is only available on the database. Para más información, consulte Advanced Data Security, Auditoría, Enmascaramiento dinámico de datos y Cifrado de datos transparente.To learn more, see Advanced data security, Auditing, Dynamic data masking, and Transparent data encryption.

Advanced Data SecurityAdvanced data security

La característica Advanced Data Security detecta amenazas a medida que se producen y proporciona alertas de seguridad sobre actividades anómalas.The advanced data security feature detects potential threats as they occur and provides security alerts on anomalous activities. Los usuarios pueden explorar los eventos sospechosos con la característica de autoría y determinar si el evento pretendía acceder a los datos de la base de datos, infringir su seguridad o aprovechar sus vulnerabilidades.Users can explore these suspicious events using the auditing feature, and determine if the event was to access, breach, or exploit data in the database. Los usuarios también obtienen una visión general de la seguridad que incluye una evaluación de las vulnerabilidades y la herramienta de detección y clasificación de datos.Users are also provided a security overview that includes a vulnerability assessment and the data discovery and classification tool.

Nota

Un ejemplo de amenaza es la inyección de código SQL, un proceso mediante el cual los atacantes insertan SQL malintencionado en los datos de entrada de la aplicación.An example threat is SQL injection, a process where attackers inject malicious SQL into application inputs. Después, una aplicación puede ejecutar el código SQL malintencionado sin saberlo y permitir el acceso de los atacantes para infringir la seguridad o modificar los datos de la base de datos.An application can then unknowingly execute the malicious SQL and allow attackers access to breach or modify data in the database.

Para habilitar Advanced Data Security:To enable advanced data security:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. En la página Información general, seleccione el vínculo Nombre de servidor.On the Overview page, select the Server name link. Se abrirá la página del servidor de bases de datos.The database server page will open.

  3. En la página Servidor SQL Server, busque la sección Seguridad y seleccione Advanced Data Security.On the SQL server page, find the Security section and select Advanced Data Security.

    1. Seleccione ACTIVADA en Advanced Data Security para habilitar la característica.Select ON under Advanced Data Security to enable the feature. Elija una cuenta de almacenamiento para guardar los resultados de la evaluación de vulnerabilidad.Choose a storage account for saving vulnerability assessment results. Después, seleccione Guardar.Then select Save.

      Panel de navegación

      También puede configurar mensajes de correo electrónico para recibir las alertas de seguridad, los detalles de almacenamiento y los tipos de detección de amenazas.You can also configure emails to receive security alerts, storage details, and threat detection types.

  4. Vuelva a la página Bases de datos SQL de la base de datos y seleccione Advanced Data Security en la sección Seguridad.Return to the SQL databases page of your database and select Advanced Data Security under the Security section. Aquí encontrará varios indicadores de seguridad disponibles para la base de datos.Here you'll find various security indicators available for the database.

    Estado de amenaza

Si se detectan actividades anómalas, recibirá un correo electrónico con información sobre el evento.If anomalous activities are detected, you receive an email with information on the event. Por ejemplo, la naturaleza de la actividad, la base de datos, el servidor, la hora del evento, las posibles causas y las acciones recomendadas para investigar y mitigar la posible amenaza.This includes the nature of the activity, database, server, event time, possible causes, and recommended actions to investigate and mitigate the potential threat. Si se recibe dicho correo electrónico, seleccione el vínculo Registro de auditoría de SQL Azure para abrir Azure Portal y mostrar los registros de auditorías pertinentes para el momento del evento.If such an email is received, select the Azure SQL Auditing Log link to launch the Azure portal and show relevant auditing records for the time of the event.

Correo electrónico de detección de amenazas

AuditoríaAuditing

La característica de auditoría realiza un seguimiento de los eventos de base de datos y escribe los eventos en un registro de auditoría en un almacenamiento de Azure, registros de Azure Monitor o en un centro de eventos.The auditing feature tracks database events and writes events to an audit log in either Azure storage, Azure Monitor logs, or to an event hub. La auditoría ayuda a mantener el cumplimiento de las normativas y conocer la actividad de las bases de datos, así como las discrepancias y anomalías que pueden indicar la existencia de posibles infracciones de la seguridad.Auditing helps maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate potential security violations.

Para habilitar la auditoría:To enable auditing:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. En la sección Seguridad, seleccione Auditoría.In the Security section, select Auditing.

  3. En las opciones de Auditoría, establezca los valores siguientes:Under Auditing settings, set the following values:

    1. Establezca Auditoría en ACTIVADA.Set Auditing to ON.

    2. En Destino del registro de auditoría, seleccione alguna de las opciones siguientes:Select Audit log destination as any of the following:

      • Almacenamiento, una cuenta de Azure Storage donde se guardan los registros de eventos, que se pueden descargar como archivos .xel.Storage, an Azure storage account where event logs are saved and can be downloaded as .xel files

        Sugerencia

        Use la misma cuenta de almacenamiento para todas las bases de datos auditadas con el fin de obtener el máximo partido de las plantillas de informes de auditorías.Use the same storage account for all audited databases to get the most from auditing report templates.

      • Log Analytics, que almacena automáticamente los eventos para realizar consultas o un análisis más profundo.Log Analytics, which automatically stores events for query or further analysis

        Nota

        Se requiere un área de trabajo de Log Analytics para admitir características avanzadas, como análisis, reglas de alerta personalizadas y exportaciones de Excel o Power BI.A Log Analytics workspace is required to support advanced features such as analytics, custom alert rules, and Excel or Power BI exports. Sin un área de trabajo, solo está disponible el editor de consultas.Without a workspace, only the query editor is available.

      • Centro de eventos, que permite enrutar los eventos para usarlos en otras aplicaciones.Event Hub, which allows events to be routed for use in other applications

    3. Seleccione Guardar.Select Save.

      Configuración de auditoría

  4. Ahora puede seleccionar Ver registros de auditoría para ver los datos de eventos de base de datos.Now you can select View audit logs to view database events data.

    Registros de auditoría

Importante

Consulte en Auditoría de base de datos SQL cómo personalizar aún más los eventos de auditoría con PowerShell o la API REST.See SQL database auditing on how to further customize audit events using PowerShell or REST API.

Enmascaramiento de datos dinámicosDynamic data masking

La función de enmascaramiento de datos ocultará automáticamente los datos confidenciales de la base de datos.The data masking feature will automatically hide sensitive data in your database.

Para habilitar el enmascaramiento de datos:To enable data masking:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. En la sección Seguridad, seleccione Enmascaramiento dinámico de datos.In the Security section, select Dynamic Data Masking.

  3. En la opción Enmascaramiento dinámico de datos, seleccione Agregar máscara para agregar una regla de enmascaramiento.Under Dynamic data masking settings, select Add mask to add a masking rule. Azure rellenará automáticamente los esquemas de base de datos disponibles, las tablas y las columnas para elegir.Azure will automatically populate available database schemas, tables, and columns to choose from.

    Configuración de máscara

  4. Seleccione Guardar.Select Save. Ahora se enmascara la información seleccionada para mantener la privacidad.The selected information is now masked for privacy.

    Ejemplo de máscara

Cifrado de datos transparenteTransparent data encryption

La característica de cifrado cifra automáticamente los datos en reposo y no requiere cambios en las aplicaciones que acceden a la base de datos cifrada.The encryption feature automatically encrypts your data at rest, and requires no changes to applications accessing the encrypted database. En las bases de datos nuevas, el cifrado está activado de forma predeterminada.For new databases, encryption is on by default. También puede cifrar los datos con SSMS y la característica Always encrypted.You can also encrypt data using SSMS and the Always encrypted feature.

Para habilitar o comprobar el cifrado:To enable or verify encryption:

  1. En Azure Portal, seleccione Bases de datos SQL en el menú de la izquierda y seleccione la base de datos en la página Bases de datos SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. En la sección Seguridad, seleccione Cifrado de datos transparente.In the Security section, select Transparent data encryption.

  3. Si es necesario, establezca Cifrado de datos en ACTIVADO.If necessary, set Data encryption to ON. Seleccione Guardar.Select Save.

    Cifrado de datos transparente

Nota

Para ver el estado de cifrado, conéctese a la base de datos mediante SSMS y consulte la columna encryption_state de la vista sys.dm_database_encryption_keys.To view encryption status, connect to the database using SSMS and query the encryption_state column of the sys.dm_database_encryption_keys view. El estado 3 indica que la base de datos está cifrada.A state of 3 indicates the database is encrypted.

Pasos siguientesNext steps

En este tutorial, ha aprendido a mejorar la seguridad de una base de datos con unos sencillos pasos.In this tutorial, you've learned to improve the security of your database with just a few simple steps. Ha aprendido a:You learned how to:

  • Crear reglas de firewall de nivel de servidor y de base de datos.Create server-level and database-level firewall rules
  • Configurar un administrador de Azure Active Directory (Azure AD).Configure an Azure Active Directory (AD) administrator
  • Administrar el acceso de usuario con la autenticación de SQL, la autenticación de Azure AD y cadenas de conexión seguras.Manage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Habilitar características de seguridad, como la seguridad avanzada para los datos, la auditoría, el enmascaramiento de datos y el cifrado.Enable security features, such as advanced data security, auditing, data masking, and encryption

En el siguiente tutorial aprenderá a implementar una distribución geográfica.Advance to the next tutorial to learn how to implement geo-distribution.