Az Azure SQL Database és a felügyelt SQL-példány biztonsági képességeinek áttekintése

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ez a cikk az alkalmazások adatrétegének az Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics használatával történő biztonságossá tételének alapjait ismerteti. A leírt biztonsági stratégia az alábbi képen látható rétegzett védelmi megközelítést követi, és kívülről a következő módon mozog:

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Network security

A Microsoft Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics relációs adatbázis-szolgáltatást biztosít a felhőbeli és nagyvállalati alkalmazások számára. Az ügyféladatok védelme érdekében a tűzfalak megakadályozzák a kiszolgálóhoz való hálózati hozzáférést mindaddig, amíg a hozzáférés explicit módon meg nem adódik az IP-cím vagy az Azure virtuális hálózati forgalom eredete alapján.

IP firewall rules

Az IP-tűzfalszabályok az egyes kérések származó IP-címe alapján biztosítanak hozzáférést az adatbázisokhoz. További információ: Az Azure SQL Database és az Azure Synapse Analytics tűzfalszabályainak áttekintése.

Virtuális hálózat tűzfalszabályai

A virtuális hálózati szolgáltatásvégpontok kibővítik a virtuális hálózati kapcsolatot az Azure gerinchálózatán, és lehetővé teszik az Azure SQL Database számára, hogy azonosítsa azt a virtuális hálózati alhálózatot, amelyről a forgalom származik. Ha engedélyezni szeretné, hogy a forgalom elérje az Azure SQL Database-t, az SQL-szolgáltatáscímkék használatával engedélyezze a hálózati biztonsági csoportokon keresztüli kimenő forgalmat.

A virtuális hálózati szabályok lehetővé teszik, hogy az Azure SQL Database csak a kijelölt alhálózatokról küldött kommunikációkat fogadja el egy virtuális hálózaton belül.

Megjegyzés:

A tűzfalszabályokkal való hozzáférés szabályozása nem vonatkozik a felügyelt SQL-példányokra. A szükséges hálózati konfigurációval kapcsolatos további információkért lásd: Csatlakozás felügyelt példányra való Csatlakozás

Access management

Fontos

Az Azure-on belüli adatbázisok és kiszolgálók kezelését a portál felhasználói fiókjának szerepkör-hozzárendelései vezérlik. A cikkről további információt az Azure Portal azure-beli szerepköralapú hozzáférés-vezérlésében talál.

Authentication

Authentication is the process of proving the user is who they claim to be. Az SQL Database és a felügyelt SQL-példány támogatja az SQL-hitelesítést és -hitelesítést a Microsoft Entra-azonosítóval (korábbi nevén Azure Active Directory). A felügyelt SQL-példány emellett támogatja a Windows-hitelesítést a Microsoft Entra-tagok számára.

• SQL-hitelesítés:

  Az SQL-hitelesítés egy felhasználó hitelesítésére utal, amikor felhasználónévvel és jelszóval csatlakozik az Azure SQL Database-hez vagy a felügyelt Azure SQL-példányhoz. A kiszolgáló létrehozásakor meg kell adni egy felhasználónévvel és jelszóval rendelkező kiszolgálói rendszergazdai bejelentkezést. Ezen hitelesítő adatok használatával a kiszolgáló rendszergazdája az adott kiszolgálón vagy példányon lévő bármely adatbázissal hitelesítheti magát adatbázis-tulajdonosként. Ezt követően a kiszolgáló rendszergazdája további SQL-bejelentkezéseket és felhasználókat hozhat létre, amelyek lehetővé teszik a felhasználók számára, hogy felhasználónevet és jelszót használva csatlakozzanak.

• Microsoft Entra-hitelesítés:

  A Microsoft Entra-hitelesítés az Azure SQL Database-hez, a felügyelt Azure SQL-példányhoz és az Azure Synapse Analyticshez való csatlakozás mechanizmusa a Microsoft Entra ID identitásainak használatával. A Microsoft Entra-hitelesítés lehetővé teszi a rendszergazdák számára, hogy központilag kezeljék az adatbázis-felhasználók identitásait és engedélyeit, valamint más Azure-szolgáltatásokat egy központi helyen. Ez minimalizálja a jelszótárolást, és lehetővé teszi a központi jelszóváltási szabályzatokat.

  Létre kell hozni egy Microsoft Entra-rendszergazda nevű kiszolgálói rendszergazdát a Microsoft Entra-hitelesítés SQL Database-sel való használatához. További információ: Csatlakozás az SQL Database-hez Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés támogatja a felügyelt és az összevont fiókokat is. Az összevont fiókok támogatják a Microsoft Entra-azonosítóval összevont ügyféltartomány windowsos felhasználóit és csoportjait.

  A Microsoft Entra számos különböző hitelesítési lehetőséget támogat, beleértve a többtényezős hitelesítést, az integrált Windows-hitelesítést és a feltételes hozzáférést.

• Windows-hitelesítés Microsoft Entra-tagok esetén:

  A Microsoft Entra-tagok Kerberos-hitelesítése lehetővé teszi a Felügyelt Azure SQL-példányOk Windows-hitelesítését. A felügyelt példányok Windows-hitelesítése lehetővé teszi az ügyfelek számára, hogy meglévő szolgáltatásokat helyezzenek át a felhőbe, miközben zökkenőmentes felhasználói élményt biztosítanak, és az infrastruktúra modernizálásának alapjait biztosítják.

  A Microsoft Entra-tagok Windows-hitelesítésének engedélyezéséhez a Microsoft Entra-bérlőt egy független Kerberos-tartománysá kell alakítania, és létre kell hoznia egy bejövő megbízhatósági kapcsolatot az ügyféltartományban. Megtudhatja, hogyan valósítja meg a Felügyelt Azure SQL-példány Windows-hitelesítését a Microsoft Entra ID és a Kerberos.

Fontos

Az Azure-on belüli adatbázisok és kiszolgálók kezelését a portál felhasználói fiókjának szerepkör-hozzárendelései vezérlik. A cikkről további információt az Azure Portal azure-beli szerepköralapú hozzáférés-vezérlésében talál. A tűzfalszabályokkal való hozzáférés szabályozása nem vonatkozik a felügyelt SQL-példányokra. A szükséges hálózati konfigurációval kapcsolatos további információkért tekintse meg a felügyelt példányhoz való csatlakozásról szóló alábbi cikket.

Authorization

Az engedélyezés az adatbázisok erőforrásaihoz és parancsaihoz való hozzáférés szabályozására vonatkozik. Ez úgy történik, hogy engedélyeket rendel egy felhasználóhoz egy adatbázison belül az Azure SQL Database-ben vagy a felügyelt Azure SQL-példányban. Az engedélyeket ideális esetben úgy lehet kezelni, hogy felhasználói fiókokat ad hozzá az adatbázis-szerepkörökhöz, és adatbázisszintű engedélyeket rendel ezekhez a szerepkörökhöz. Másik lehetőségként az egyes felhasználók bizonyos objektumszintű engedélyeket is kaphatnak. További információ: Bejelentkezések és felhasználók

Ajánlott eljárásként szükség esetén hozzon létre egyéni szerepköröket. Adjon hozzá felhasználókat a szerepkörhöz a feladatfüggvény végrehajtásához szükséges legkisebb jogosultságokkal. Ne rendeljen engedélyeket közvetlenül a felhasználókhoz. A kiszolgálói rendszergazdai fiók tagja a beépített db_owner szerepkörnek, amely kiterjedt engedélyekkel rendelkezik, és csak néhány rendszergazdai feladattal rendelkező felhasználónak adható. A felhasználó által elvégezhető műveletek hatókörének további korlátozásához az EXECUTE AS a hívott modul végrehajtási környezetének megadására használható. Az ajánlott eljárások követése szintén alapvető lépés a feladatok elkülönítése felé.

Row-level security

A sorszintű biztonság lehetővé teszi az ügyfelek számára, hogy a lekérdezést végrehajtó felhasználó jellemzői (például csoporttagság vagy végrehajtási környezet) alapján vezérelhessék az adatbázistáblák soraihoz való hozzáférést. A sorszintű biztonság egyéni címkealapú biztonsági fogalmak implementálásához is használható. További információkat a sorszintű biztonsággal kapcsolatos részben találhat.

Fenyegetések elleni védelem

Az SQL Database és a felügyelt SQL-példány naplózási és fenyegetésészlelési képességek biztosításával védi az ügyféladatokat.

SQL-naplózás az Azure Monitor-naplókban és az Event Hubsban

Az SQL Database és a felügyelt SQL-példány naplózása nyomon követi az adatbázis-tevékenységeket, és segít fenntartani a biztonsági szabványoknak való megfelelést azáltal, hogy az adatbázis-eseményeket egy, az ügyfél tulajdonában lévő Azure Storage-fiók naplójába rögzíti. A naplózás lehetővé teszi a felhasználók számára a folyamatban lévő adatbázis-tevékenységek monitorozását, valamint az előzménytevékenységek elemzését és vizsgálatát a potenciális fenyegetések vagy a feltételezett visszaélések és biztonsági jogsértések azonosítása érdekében. További információk: Ismerkedés az SQL Database naplózási szolgáltatásával.

Advanced Threat Protection

Az Advanced Threat Protection a naplókat elemzi, hogy észlelje a szokatlan viselkedést és az adatbázisok elérésére vagy kihasználására tett potenciálisan káros kísérleteket. Riasztások jönnek létre olyan gyanús tevékenységekhez, mint az SQL-injektálás, a lehetséges adatszivárgás, a találgatásos támadások vagy a hozzáférési minták rendellenességei a jogosultságok eszkalálása és a hitelesítő adatok feltörése érdekében. A riasztások a Felhőhöz készült Microsoft Defender tekinthetők meg, ahol a gyanús tevékenységek részletei, valamint a fenyegetés mérséklésére irányuló intézkedésekkel együtt további vizsgálatra vonatkozó javaslatok találhatók. Az Advanced Threat Protection kiszolgálónként további díj ellenében engedélyezhető. További információ: Az SQL Database Advanced Threat Protection használatának első lépései.

Information protection and encryption

Transport Layer Security (Encryption-in-transit)

Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics a Transport Layer Security (TLS) használatával a mozgásban lévő adatok titkosításával védi az ügyféladatokat.

Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics mindig kényszeríti a titkosítást (SSL/TLS) minden kapcsolathoz. Ez biztosítja, hogy minden adat titkosítva legyen az ügyfél és a kiszolgáló között, függetlenül attól, hogy a Titkosítás vagy a TrustServerCertificate beállítás van-e a kapcsolati sztring.

Ajánlott eljárásként javasoljuk, hogy az alkalmazás által használt kapcsolati sztring adjon meg egy titkosított kapcsolatot, és ne bízzon meg a kiszolgálótanúsítványban. This forces your application to verify the server certificate and thus prevents your application from being vulnerable to man in the middle type attacks.

Ha például a ADO.NET illesztőprogramot használja, ez a Encrypt=True és a TrustServerCertificate=False használatával történik. If you obtain your connection string from the Azure portal, it will have the correct settings.

Fontos

Vegye figyelembe, hogy egyes nem Microsoft-illesztőprogramok alapértelmezés szerint nem használják a TLS-t, vagy a TLS egy régebbi verziójára (<1.2) támaszkodhatnak a működéshez. Ebben az esetben a kiszolgáló továbbra is lehetővé teszi az adatbázishoz való csatlakozást. Javasoljuk azonban, hogy értékelje ki azokat a biztonsági kockázatokat, amelyek miatt az ilyen illesztőprogramok és alkalmazások csatlakozhatnak az SQL Database-hez, különösen akkor, ha bizalmas adatokat tárol.

További információ a TLS-ről és a kapcsolatról: TLS-szempontok

transzparens adattitkosítás (Inaktív titkosítás)

Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics transzparens adattitkosítása (TDE) biztonsági réteget biztosít a inaktív adatok védelméhez a nyers fájlokhoz vagy biztonsági másolatokhoz való jogosulatlan vagy offline hozzáféréssel szemben. Gyakori forgatókönyvek például az adatközpontok ellopása vagy a hardverek vagy adathordozók, például a lemezmeghajtók és a biztonsági mentési szalagok nem biztonságos eltávolítása. A TDE egy AES titkosítási algoritmussal titkosítja a teljes adatbázist, ami nem követeli meg, hogy az alkalmazásfejlesztők módosításokat végezzenek a meglévő alkalmazásokon.

Az Azure-ban az újonnan létrehozott adatbázisok alapértelmezés szerint titkosítva vannak, az adatbázis titkosítási kulcsát pedig egy beépített kiszolgálótanúsítvány védi. A tanúsítványkarbantartást és a rotációt a szolgáltatás kezeli, és nem igényel bemenetet a felhasználótól. Azok az ügyfelek, akik szívesebben veszik át az irányítást a titkosítási kulcsok felett, kezelhetik a kulcsokat az Azure Key Vaultban.

Kulcskezelés az Azure Key Vaulttal

A saját kulcs (BYOK) támogatása a transzparens adattitkosítás (TDE) esetében lehetővé teszi az ügyfelek számára, hogy az Azure Key Vault, az Azure felhőalapú külső kulcskezelő rendszere használatával tulajdonba vegyék a kulcskezelést és a rotációt. Ha az adatbázis hozzáférése a kulcstartóhoz visszavonva, az adatbázis nem fejthető vissza, és nem olvasható be a memóriába. Az Azure Key Vault központi kulcskezelési platformot biztosít, szorosan figyelt hardveres biztonsági modulokat (HSM-eket) használ, és lehetővé teszi a kulcsok és adatok kezelése közötti feladatok elkülönítését a biztonsági megfelelőségi követelmények teljesítéséhez.

Always Encrypted (Használatban lévő titkosítás)

Az Always Encrypted egy olyan funkció, amelynek célja, hogy megvédje az adott adatbázisoszlopokban tárolt bizalmas adatokat a hozzáféréstől (például hitelkártyaszámok, nemzeti/regionális azonosító számok vagy adatok ismerete alapján). Ide tartoznak az adatbázisgazdák vagy más kiemelt felhasználók, akik jogosultak hozzáférni az adatbázishoz felügyeleti feladatok végrehajtásához, de nem kell üzletileg hozzáférniük a titkosított oszlopokban lévő adatokhoz. Az adatok mindig titkosítva lesznek, ami azt jelenti, hogy a titkosított adatok visszafejtése csak a titkosítási kulcshoz hozzáféréssel rendelkező ügyfélalkalmazások általi feldolgozáshoz történik. A titkosítási kulcs soha nem érhető el az SQL Database vagy a felügyelt SQL-példány számára, és tárolható a Windows tanúsítványtárolójában vagy az Azure Key Vaultban.

Dynamic data masking

A dinamikus adatmaszkolás csökkenti a bizalmas adatok kitettségét azzal, hogy nem jogosult felhasználókhoz maszkolja őket. A dinamikus adatmaszkolás automatikusan észleli a potenciálisan bizalmas adatokat az Azure SQL Database-ben és a felügyelt SQL-példányban, és végrehajtható javaslatokat nyújt ezeknek a mezőknek a maszkolására, minimális hatással az alkalmazásrétegre. Rejtjelezi a bizalmas adatokat egy kijelölt adatbázismezőkön végrehajtott lekérdezés eredményhalmazában, miközben az adatbázis adatait nem módosítja. További információ: Az SQL Database és a felügyelt SQL-példány dinamikus adatmaszkolásának első lépései.

Biztonsági felügyelet

Vulnerability assessment

A sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely képes felderíteni, nyomon követni és elhárítani a lehetséges adatbázis-biztonsági réseket azzal a céllal, hogy proaktív módon javítsa az adatbázisok általános biztonságát. A sebezhetőségi felmérés (VA) része a Microsoft Defender for SQL ajánlatnak, amely egy egységes csomag a fejlett SQL biztonsági képességekhez. A sebezhetőségi felmérést az SQL-hez készült Microsoft Defender központi portálján lehet elérni és kezelni.

Adatfelderítés és besorolás

Az adatfelderítés és -besorolás (jelenleg előzetes verzióban) az Azure SQL Database-be és a felügyelt SQL-példányba beépített alapvető képességeket biztosít az adatbázisokban lévő bizalmas adatok felderítéséhez, besorolásához és címkézéséhez. A legérzékenyebb adatok (üzleti/pénzügyi, egészségügyi, személyes adatok stb.) felderítése és besorolása kulcsfontosságú szerepet játszhat a szervezeti információvédelem területén. Infrastruktúraként alkalmas lehet az alábbiakra:

• Különböző biztonsági forgatókönyvek, például monitorozás (naplózás) és riasztások a bizalmas adatokhoz való rendellenes hozzáférésről.
• A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz való hozzáférés szabályozása és biztonságának növelése.
• Segíthet megfelelni az adatvédelmi szabványoknak és a szabályozási megfelelőség követelményeinek.

További információ: Ismerkedés az adatfelderítéssel és -besorolással.

Megfelelőség

A fenti funkciók és funkciók mellett, amelyek segíthetnek az alkalmazásnak a különböző biztonsági követelményeknek való megfelelésben, az Azure SQL Database rendszeres auditokon is részt vesz, és számos megfelelőségi szabványnak megfelelő minősítéssel rendelkezik. További információkért tekintse meg a Microsoft Azure Adatvédelmi központot , ahol megtalálhatja az SQL Database megfelelőségi tanúsítványainak legfrissebb listáját.

További lépések

• A bejelentkezések, felhasználói fiókok, adatbázis-szerepkörök és engedélyek SQL Database-ben és felügyelt SQL-példányban való használatáról a Bejelentkezések és felhasználói fiókok kezelése című témakörben olvashat.
• Az adatbázis-naplózásról a naplózást ismertető cikkben olvashat.
• A fenyegetésészlelésről további információt a fenyegetésészlelés című témakörben talál.