Panoramica della sicurezza del database di AzureAzure database security overview

La sicurezza è un tema della massima importanza per la gestione dei database ed è sempre stata una priorità per il database SQL di Azure.Security is a top concern when managing databases, and it has always been a priority for Azure SQL Database. Il database SQL di Azure supporta la sicurezza della connessione con regole del firewall e crittografia delle connessioni.Azure SQL Database supports connection security with firewall rules and connection encryption. Supporta anche l'autenticazione con nome utente e password e l'autenticazione di Azure Active Directory, che usa identità gestite da Azure Active Directory.It supports authentication with username and password and Azure Active Directory Authentication, which uses identities managed by Azure Active Directory. Per l'autorizzazione viene usato il controllo degli accessi in base al ruolo.Authorization uses role-based access control.

Il database SQL di Azure supporta la crittografia eseguendo in tempo reale la crittografia e la decrittografia dei database, dei backup associati e dei file di log delle transazioni inattivi, senza dover apportare modifiche all'applicazione.Azure SQL Database supports encryption by performing real-time encryption and decryption of databases, associated backups, and transaction log files at rest without requiring changes to the application.

Microsoft offre altri modi per crittografare i dati aziendali:Microsoft provides additional ways to encrypt enterprise data:

  • Crittografia a livello di cella per crittografare colonne specifiche o anche celle di dati con chiavi di crittografia diverse.Cell-level encryption to encrypt specific columns or even cells of data with different encryption keys.
  • Se è necessario un modulo di sicurezza hardware o la gestione centralizzata della gerarchia di chiavi di crittografia, prendere in considerazione l'uso di Azure Key Vault con SQL Server in una macchina virtuale di Azure.If you need a Hardware Security Module or central management of your encryption key hierarchy, consider using Azure Key Vault with SQL Server in an Azure VM.
  • La funzionalità Always Encrypted (attualmente in anteprima) gestisce la crittografia in modo trasparente per le applicazioni e consente ai client di crittografare dati sensibili all'interno delle applicazioni client senza condividere le chiavi di crittografia con il database SQL.Always Encrypted (currently in preview) makes encryption transparent to applications and allows clients to encrypt sensitive data inside client applications without sharing the encryption keys with SQL Database.

Il servizio di controllo del database SQL di Azure consente alle aziende di registrare gli eventi in un log di controllo in Archiviazione di Azure.Azure SQL Database Auditing allows enterprises to record events to an audit login Azure Storage. La funzionalità di controllo del database SQL si integra inoltre con Microsoft Power BI per facilitare l'esecuzione di analisi e report drill-down.SQL Database Auditing also integrates with Microsoft Power BI to facilitate drill-down reports and analyses.

I database SQL di Azure possono essere protetti in modo sicuro per soddisfare la maggior parte dei requisiti di legge e di sicurezza, tra i quali HIPAA, ISO 27001/27002 e PCI DSS livello 1.SQL Azure databases can be tightly secured to satisfy most regulatory or security requirements, including HIPAA, ISO 27001/27002, and PCI DSS Level 1, among others. Un elenco aggiornato delle certificazioni di conformità di sicurezza è disponibile nel sito Centro protezione di Microsoft Azure.A current list of security compliance certifications is available at the Microsoft Azure Trust Center site.

Questo articolo presenta le informazioni di base relative alla protezione dei database SQL di Microsoft Azure per i dati strutturati, tabulari e relazionali.This article walks through the basics of securing Microsoft Azure SQL Databases for Structured, Tabular and Relational Data. In particolare, questo articolo consente di iniziare a usare le risorse per la protezione dei dati, il controllo dell'accesso e il monitoraggio proattivo.In particular, this article will get you started with resources for protecting data, controlling access, and proactive monitoring.

Questa panoramica della sicurezza del database di Azure è incentrata sugli argomenti seguenti:This Azure Database Security Overview article focuses on the following areas:

  • Proteggere i datiProtect data
  • Controllo di accessoAccess control
  • Monitoraggio proattivoProactive monitoring
  • Gestione centralizzata della sicurezzaCentralized security management
  • Azure MarketplaceAzure marketplace

Proteggere i datiProtect data

Il database SQL protegge i dati in movimento con Transport Layer Security (TLS), i dati inattivi con Transparent Data Encryption (TDE) e i dati in uso con Always Encrypted.SQL Database secures your data by providing encryption for data in motion using Transport Layer Security, for data at rest using Transparent Data Encryption, and for data in use using Always Encrypted.

Argomenti trattati in questa sezione:In this section, we talk about:

  • Crittografia di dati in movimentoEncryption in motion
  • Crittografia di dati inattiviEncryption at rest
  • Crittografia di dati in uso (client)Encryption in use (Client)

Per altri modi di crittografare i dati, considerare quanto segue:For other ways to encrypt your data, consider:

Crittografia di dati in movimentoEncryption in motion

Un problema comune per tutte le applicazioni client/server è la necessità di tutelare la privacy dei dati durante lo spostamento su reti pubbliche e private.A common problem for all client/server applications is the need for privacy as data moves over public and private networks. Se i dati trasferiti in rete non sono crittografati, sussiste il rischio di acquisizione e furto da parte di utenti non autorizzati.If data moving over a network is not encrypted, there’s the chance that it can be captured and stolen by unauthorized users. Quando si gestiscono i servizi di database, è necessario assicurarsi che i dati vengano crittografati tra il client del database e il server, così come tra i server di database che comunicano tra loro e con applicazioni di livello intermedio.When dealing with database services, you need to make sure that data is encrypted between the database client and server, as well as between database servers that communicate with each other and with middle-tier applications.

Un problema quando si amministra una rete riguarda la protezione dei dati inviati tra le applicazioni in una rete non attendibile.One problem when you administer a network is securing data that is being sent between applications across an untrusted network. È possibile usare TLS/SSL per autenticare server e client e quindi usare questa tecnologia per crittografare i messaggi tra le entità autenticate.You can use TLS/SSL to authenticate servers and clients and then use it to encrypt messages between the authenticated parties.

Nel processo di autenticazione, un client TLS/SSL invia un messaggio a un server TLS/SSL e il server risponde con le informazioni necessarie per autenticare se stesso.In the authentication process, a TLS/SSL client sends a message to a TLS/SSL server, and the server responds with the information that the server needs to authenticate itself. Il client e il server eseguono un ulteriore scambio di chiavi di sessione e le comunicazioni di autenticazione terminano.The client and server perform an additional exchange of session keys, and the authentication dialog ends. Al termine dell'autenticazione, può iniziare la comunicazione protetta con SSL tra il server e il client usando le chiavi di crittografia simmetrica stabilite durante il processo di autenticazione.When authentication is completed, SSL-secured communication can begin between the server and the client using the symmetric encryption keys that are established during the authentication process.

Tutte le connessioni al database SQL di Azure richiedono la crittografia SSL/TLS (SSL/TLS) in qualsiasi caso quando i dati sono "in transito" da e verso il database in qualsiasi momento.All connections to Azure SQL Database require encryption (SSL/TLS) at all times while data is "in transit" to and from the database. SQL Azure usa TLS/SSL per autenticare server e client, quindi usa questa tecnologia per crittografare i messaggi tra le entità autenticate.SQL Azure uses TLS/SSL to authenticate servers and clients and then use it to encrypt messages between the authenticated parties. Nella stringa di connessione dell'applicazione è necessario specificare i parametri per crittografare la connessione e non considerare attendibile il certificato del server (ciò avviene automaticamente se si copia la stringa di connessione dal portale di Azure), in caso contrario durante la connessione non verrà verificata l'identità del server e saranno possibili attacchi "man-in-the-middle".In your application's connection string, you must specify parameters to encrypt the connection and not to trust the server certificate (this is done for you if you copy your connection string out of the Azure Portal), otherwise the connection will not verify the identity of the server and will be susceptible to "man-in-the-middle" attacks. Per il driver ADO.NET, ad esempio, questi parametri della stringa di connessione sono Encrypt=True e TrustServerCertificate=False.For the ADO.NET driver, for instance, these connection string parameters are Encrypt=True and TrustServerCertificate=False.

Crittografia di dati inattiviEncryption at rest

È possibile adottare diverse precauzioni per proteggere il database, ad esempio la progettazione di un sistema sicuro, la crittografia di asset riservati e la creazione di un firewall che protegga i server di database.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. Tuttavia, nell'ipotesi del furto dei supporti fisici, come unità o nastri di backup, un malintenzionato potrebbe semplicemente ripristinare o collegare il database e accedere ai dati in esso contenuti.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data.

Una soluzione consiste nel crittografare i dati sensibili nel database e proteggere con un certificato le chiavi usate per crittografarli.One solution is to encrypt the sensitive data in the database and protects the keys that are used to encrypt the data with a certificate. In questo modo, senza disporre delle chiavi nessuno potrà usare i dati. Tuttavia, questo tipo di protezione deve essere pianificato.This prevents anyone without the keys from using the data, but this kind of protection must be planned.

Per risolvere questo problema, SQL Server e SQL Azure supportano Transparent Data Encryption (TDE).To solve this problem, SQL Server and Azure SQL support Transparent Data Encryption (TDE). TDE crittografa i file di dati di SQL Server e del database SQL di Azure, noti come dati di crittografia inattivi.TDE encrypts SQL Server and Azure SQL Database data files, known as encryption data at rest.

La funzionalità Transparent Data Encryption (TDE) del database SQL di Azure consente di proteggere il sistema da attività dannose eseguendo in tempo reale la crittografia e la decrittografia dei database, dei backup associati e dei file di log delle transazioni inattivi, senza dover apportare modifiche all'applicazione.Azure SQL Database transparent data encryption helps protect against the threat of malicious activity by performing real-time encryption and decryption of the database, associated backups, and transaction log files at rest without requiring changes to the application.

TDE esegue la crittografia dell'archiviazione di un intero database usando una chiave simmetrica detta "chiave di crittografia del database".TDE encrypts the storage of an entire database by using a symmetric key called the database encryption key. Nel database SQL la chiave di crittografia del database è protetta da un certificato del server incorporato.In SQL Database, the database encryption key is protected by a built-in server certificate. Il certificato server incorporato è univoco per ogni server di database SQL.The built-in server certificate is unique for each SQL Database server.

Se un database partecipa a una relazione GeoDR, è protetto da una chiave diversa in ogni server.If a database is in a GeoDR relationship, it is protected by a different key on each server. Se due database sono connessi allo stesso server, condividono lo stesso certificato predefinito.If two databases are connected to the same server, they share the same built-in certificate. Microsoft ruota automaticamente questi certificati almeno ogni 90 giorni.Microsoft automatically rotates these certificates at least every 90 days. Per una descrizione generale della funzionalità TDE, vedere Transparent Data Encryption (TDE).For a general description of TDE, see Transparent Data Encryption (TDE).

Crittografia di dati in uso (client)Encryption in use (client)

La maggior parte delle violazioni di dati comportano il furto di dati critici, ad esempio numeri di carta di credito o informazioni personali.Most data breaches involve the theft of critical data such as credit card numbers or personally identifiable information. I database possono essere veri e propri forzieri di informazioni sensibiliDatabases can be treasure troves of sensitive information. e contenere dati personali dei clienti, informazioni riservate sulla concorrenza e dati di proprietà intellettuale.They can contain customers' personal data, confidential competitive information, and intellectual property. I dati persi o rubati, in particolare i dati dei clienti, possono causare danni di immagine, svantaggi competitivi, sanzioni e persino problemi legali.Lost or stolen data, especially customer data, can result in brand damage, competitive disadvantage, and serious fines—even lawsuits.

Always Encrypted

Always Encrypted è una funzionalità progettata per proteggere i dati sensibili, ad esempio i numeri di carta di credito o i numeri di identificazione nazionale, come i codici fiscali, archiviati nei database SQL di Azure o nei database di SQL Server.Always Encrypted is a feature designed to protect sensitive data, such as credit card numbers or national identification numbers (for example, U.S. social security numbers), stored in Azure SQL Database or SQL Server databases. La funzionalità Always Encrypted consente ai client di crittografare i dati sensibili nelle applicazioni client e di non rivelare mai le chiavi di crittografia al motore di database (database SQL o SQL Server).Always Encrypted allows clients to encrypt sensitive data inside client applications and never reveal the encryption keys to the Database Engine (SQL Database or SQL Server).

Always Encrypted consente di separare i proprietari dei dati (che possono visualizzarli) e le persone incaricate della gestione dei dati (che però non devono poter accedere ai dati).Always Encrypted provides a separation between those who own the data (and can view it) and those who manage the data (but should have no access). Lo scopo è assicurare che gli amministratori di database locali, gli operatori di database cloud o altri utenti con privilegi elevati, ma non autorizzati, non possano accedere ai dati crittografati.By ensuring on-premises database administrators, cloud database operators, or other high-privileged, but unauthorized users, cannot access the encrypted data.

Inoltre, con Always Encrypted la crittografia è trasparente per le applicazioni.In addition, Always Encrypted makes encryption transparent to applications. Un driver abilitato per Always Encrypted viene installato nel computer client in modo che possa automaticamente crittografare e decrittografare i dati sensibili nell'applicazione client.An Always Encrypted-enabled driver installed on the client computer so that it can automatically encrypt and decrypt sensitive data in the client application. Il driver crittografa i dati nelle colonne sensibili prima di passarli al motore di database e riscrive automaticamente le query in modo da mantenere la semantica per l'applicazione.The driver encrypts the data in sensitive columns before passing the data to the Database Engine, and automatically rewrites queries so that the semantics to the application are preserved. Analogamente, il driver decrittografa in modo trasparente i dati, archiviati nelle colonne di database crittografate, contenuti nei risultati delle query.Similarly, the driver transparently decrypts data, stored in encrypted database columns, contained in query results.

Controllo di accessoAccess control

Per garantire la sicurezza, il database SQL controlla l'accesso con regole del firewall che limitano la connettività in base all'indirizzo IP, meccanismi di autenticazione che richiedono agli utenti di dimostrare la propria identità e meccanismi di autorizzazione che consentono agli utenti di usufruire solo di azioni e dati specifici.To provide security, SQL Database controls access with firewall rules limiting connectivity by IP address, authentication mechanisms requiring users to prove their identity, and authorization mechanisms limiting users to specific actions and data.

Accesso al databaseDatabase access

La protezione dei dati inizia con il controllo dell'accesso ai dati.Data protection begins with controlling access to your data. Il data center che ospita i dati gestisce l'accesso fisico, sebbene sia possibile configurare un firewall per gestire la sicurezza a livello di rete.The datacenter hosting your data manages physical access, while you can configure a firewall to manage security at the network layer. È anche possibile controllare l'accesso configurando gli account di accesso per l'autenticazione e definendo le autorizzazioni per i ruoli del server e del database.You also control access by configuring logins for authentication and defining permissions for server and database roles.

Argomenti trattati in questa sezione:In this section, we talk about:

  • Firewall e regole del firewallFirewall and firewall rules
  • AuthenticationAuthentication
  • AuthorizationAuthorization

Firewall e regole del firewallFirewall and firewall rules

Il database SQL di Microsoft Azure fornisce un servizio di database relazionale per Azure e altre applicazioni basate su Internet.Microsoft Azure SQL Database provides a relational database service for Azure and other Internet-based applications. Per proteggere i dati, il firewall impedisce qualsiasi accesso al server di database finché non vengono specificati i computer autorizzati.To help protect your data, firewalls prevent all access to your database server until you specify which computers have permission. Il firewall concede l'accesso ai database in base all'indirizzo IP di origine di ogni richiesta.The firewall grants access to databases based on the originating IP address of each request. Per altre informazioni, vedere Panoramica sulle regole del firewall per il database SQL di Azure.For more information, see Overview of Azure SQL Database firewall rules.

Il servizio database SQL di Azure è disponibile solo tramite la porta TCP 1433.The Azure SQL Database service is only available through TCP port 1433. Per accedere al database SQL dal computer, assicurarsi che il firewall del computer client consenta la comunicazione TCP in uscita sulla porta TCP 1433.To access a SQL Database from your computer, ensure that your client computer firewall allows outgoing TCP communication on TCP port 1433. Se non sono necessarie per altre applicazioni, bloccare le connessioni in ingresso sulla porta TCP 1433.If not needed for other applications, block inbound connections on TCP port 1433.

AuthenticationAuthentication

Per autenticazione del database SQL si intende il modo in cui viene dimostrata la propria identità durante la connessione al database.SQL database authentication refers to how you prove your identity when connecting to the database. Il database SQL supporta due tipi di autenticazione:SQL Database supports two types of authentication:

  • Autenticazione SQL: quando viene creata un'istanza logica di SQL, viene creato un singolo account di accesso, denominato account sottoscrittore del database SQL.SQL Authentication: A single login account is created when a logical SQL instance is created, called the SQL Database Subscriber Account. Tale account, che effettua la connessione con l'autenticazione di SQL Server (nome utente e password),This account connects using SQL Server authentication (user name and password). è un amministratore nell'istanza logica del server e in tutti i database utente collegati a tale istanza.This account is an administrator on the logical server instance and on all user databases attached to that instance. Le autorizzazioni dell'account sottoscrittore non possono essere soggette a restrizioni.The permissions of the Subscriber Account cannot be restricted. Può esistere un solo account di questo tipo.Only one of these accounts can exist.
  • Autenticazione di Azure Active Directory: l'autenticazione di Azure Active Directory è un meccanismo di connessione al database SQL di Microsoft Azure e ad Azure SQL Data Warehouse tramite le identità di Azure Active Directory (Azure AD).Azure Active Directory Authentication: Azure Active Directory authentication is a mechanism of connecting to Microsoft Azure SQL Database and SQL Data Warehouse by using identities in Azure Active Directory (Azure AD). Ciò consente di gestire in modo centralizzato le identità degli utenti del database.This enables you to centrally manage identities of database users.

Authentication

I vantaggi dell'autenticazione di Azure Active Directory includono:Advantages of Azure Active Directory authentication include:

  • Offre un'alternativa all'autenticazione di SQL Server.It provides an alternative to SQL Server authentication.
  • Contribuisce anche ad arrestare la proliferazione di identità utente tra i server di database e consente la rotazione delle password in un'unica posizione.It also Helps stop the proliferation of user identities across database servers & allows password rotation in a single place.
  • È possibile gestire le autorizzazioni del database tramite gruppi (Azure Active Directory) esterni.You can manage database permissions using external (Azure Active Directory) groups.
  • Può eliminare l'archiviazione delle password abilitando l'autenticazione integrata di Windows e altre forme di autenticazione supportate da Azure Active Directory.It can eliminate storing passwords by enabling integrated Windows authentication and other forms of authentication supported by Azure Active Directory.

AuthorizationAuthorization

Per autorizzazione si intendono le operazioni che l'utente può eseguire in un database SQL di Azure, che sono controllate dalle appartenenze ai ruoli del database e dalle autorizzazioni a livello di oggetto dell'account utente.Authorization refers to what a user can do within an Azure SQL Database, and this is controlled by your user account's database role memberships and object-level permissions. L'autorizzazione è il processo volto a determinare le risorse a protezione diretta accessibili per un'entità di sicurezza e quali operazioni sono consentite per le risorse.Authorization is the process of determining which securable resources a principal can access, and which operations are allowed for those resources.

Accesso all'applicazioneApplication access

Argomenti trattati in questa sezione:In this section, we talk about:

  • Maschera dati dinamicaDynamic data masking
  • Sicurezza a livello di rigaRow-level security

Maschera dati dinamicaDynamic data masking

Un addetto all'assistenza in un call center può identificare i chiamanti da alcune cifre del codice fiscale o del numero di carta di credito, ma tali elementi di dati non devono essere completamente visibili all'addetto.A service representative at a call center may identify callers by several digits of their social security number or credit card number, but those data items should not be fully exposed to the service representative.

È possibile definire una regola di maschera che renda visibili solo le ultime quattro cifre del codice fiscale o del numero di carta di credito nel set di risultati di tutte le query.A masking rule can be defined that masks all but the last four digits of any social security number or credit card number in the result set of any query.

Maschera dati dinamica

Oppure, è possibile definire una maschera dati appropriata per la protezione di informazioni personali identificabili (PII), in modo che uno sviluppatore possa eseguire una query negli ambienti di produzione a scopi di risoluzione dei problemi senza violare le normative di conformità.As another example, an appropriate data mask can be defined to protect personally identifiable information (PII) data, so that a developer can query production environments for troubleshooting purposes without violating compliance regulations.

La funzione Maschera dati dinamica del database SQL limita l'esposizione dei dati sensibili, nascondendoli agli utenti senza privilegi.SQL Database Dynamic Data Masking limits sensitive data exposure by masking it to non-privileged users. La maschera dati dinamica è supportata per la versione 12 del database SQL di Azure.Dynamic data masking is supported for the V12 version of Azure SQL Database.

La maschera dati dinamica impedisce l'accesso non autorizzato ai dati sensibili consentendo di definire la quantità di dati sensibili da rivelare, con un impatto minimo sul livello dell'applicazione.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling you to designate how much of the sensitive data to reveal with minimal impact on the application layer. Si tratta di una funzionalità di sicurezza basata su criteri che consente di nascondere i dati sensibili nel set di risultati di una query in campi del database designati, senza alcuna modifica dei dati contenuti nel database.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.

Nota

Il mascheramento dei dati dinamici può essere configurato dall'amministratore del database di Azure, dall'amministratore del server o dal responsabile della sicurezza.Dynamic data masking can be configured by the Azure Database admin, server admin, or security officer roles.

Sicurezza a livello di rigaRow level security

Un altro requisito di sicurezza comune per i database multi-tenant è la sicurezza a livello di riga.Another common security requirement for multitenant databases is Row-Level Security. Questa funzionalità consente di controllare l'accesso alle righe in una tabella di database in base alle caratteristiche dell'utente che esegue una query, ad esempio l'appartenenza a un gruppo o il contesto di esecuzione.This feature enables you to control access to rows in a database table based on the characteristics of the user executing a query (e.g., group membership or execution context).

Sicurezza a livello di riga

La logica di restrizione dell'accesso si trova nel livello database e non lontano dai dati in un altro livello applicazione.The access restriction logic is located in the database tier rather than away from the data in another application tier. Il sistema di database applica le restrizioni di accesso a ogni tentativo di accesso ai dati da qualsiasi livello.The database system applies the access restrictions every time that data access is attempted from any tier. Il sistema di sicurezza è così più affidabile e solido, grazie alla riduzione della superficie di attacco del sistema di sicurezza.This makes your security system more reliable and robust by reducing the surface area of your security system.

La sicurezza a livello di riga introduce il controllo di accesso basato su predicato.Row level security introduces predicate based access control. Questa funzionalità offre una valutazione flessibile e centralizzata basata su predicato che può prendere in considerazione i metadati o qualsiasi altro criterio ritenuto appropriato dall'amministratore.It features a flexible, centralized, predicate-based evaluation that can take into consideration metadata or any other criteria the administrator determines as appropriate. Il predicato viene usato come criterio per determinare se l'utente dispone o meno dell'accesso appropriato ai dati in base agli attributi utente.The predicate is used as a criterion to determine whether or not the user has the appropriate access to the data based on user attributes. Il controllo di accesso basato su etichetta può essere implementato usando il controllo di accesso basato su predicato.Label-based access control can be implemented by using predicate-based access control.

Monitoraggio proattivoProactive monitoring

Il database SQL protegge i dati fornendo funzionalità di controllo e di rilevamento delle minacce.SQL Database secures your data by providing auditing and threat detection capabilities.

ControlloAuditing

Il servizio di controllo del database SQL di Azure aumenta la possibilità di ottenere informazioni dettagliate sugli eventi e le modifiche apportate all'interno del database, inclusi gli aggiornamenti e le query sui dati.SQL Database Auditing increases your ability to gain insight into events and changes that occur within the database, including updates and queries against the data.

Il servizio di controllo del database SQL di Azure tiene traccia degli eventi che si verificano nel database e li registra in un log di controllo nell'account di Archiviazione di Azure dell'utente.Azure SQL Database Auditing tracks database events and writes them to an audit log in your Azure Storage account. Il controllo consente di agevolare la conformità alle normative, comprendere le attività del database e ottenere informazioni su eventuali discrepanze e anomalie che potrebbero indicare problemi aziendali o sospette violazioni della sicurezza.Auditing can help you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations. Il controllo abilita e facilita il rispetto degli standard di conformità, ma non garantisce la conformità.Auditing enables and facilitates adherence to compliance standards but doesn't guarantee compliance.

Il controllo del database SQL consente di:SQL Database Auditing allows you to:

  • Conservare un audit trail di eventi selezionati.Retain an audit trail of selected events. È possibile definire categorie di azioni di database da controllare.You can define categories of database actions to be audited.
  • Creare report sulle attività del database.Report on database activity. È possibile usare i report preconfigurati e un dashboard per iniziare rapidamente a usare l’attività e la segnalazione di eventi.You can use preconfigured reports and a dashboard to get started quickly with activity and event reporting.
  • Analizzare i report.Analyze reports. È possibile individuare eventi sospetti, attività insolite e tendenze.You can find suspicious events, unusual activity, and trends.

Esistono due metodi di controllo:There are two Auditing methods:

  • Controllo BLOB: i log vengono scritti nell'Archiviazione BLOB di Azure.Blob auditing - logs are written to Azure Blob Storage. Questo è un metodo di controllo più recente che fornisce prestazioni più elevate, supporta una maggiore granularità del controllo a livello di oggetto ed è più conveniente.This is a newer auditing method, which provides higher performance, supports higher granularity object-level auditing, and is more cost effective.
  • Controllo Tabella: i log vengono scritti nell'archiviazione tabelle di Azure.Table auditing - logs are written to Azure Table Storage.

Introduzione al rilevamento delle minacceThreat detection

La funzionalità di rilevamento delle minacce del database SQL di Azure rileva attività sospette che indicano potenziali minacce alla sicurezza.Azure SQL Database threat detection detects suspicious activities that indicate potential security threats. La funzionalità di rilevamento delle minacce consente di rispondere a eventi sospetti nel database, ad esempio attacchi SQL injection, non appena si verificano.Threat detection enables you to respond to suspicious events in the database, such as SQL Injections, as they occur. Fornisce avvisi e consente di usare il servizio di controllo del database SQL di Azure per esaminare gli eventi sospetti.It provides alerts and allows the use of Azure SQL Database Auditing to explore the suspicious events.

Rilevamento delle minacce

Ad esempio, l'attacco SQL injection è uno dei problemi di sicurezza comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati.For example, SQL injection is one of the common Web application security issues on the Internet, used to attack data-driven applications. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database.

I responsabili della sicurezza o altri amministratori designati possono ricevere una notifica immediata sulle attività di database sospette non appena si verificano.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Ogni notifica contiene dettagli sulle attività sospette e consigli su come eseguire ulteriori indagini e mitigare la minaccia.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Gestione centralizzata della sicurezzaCentralized security management

Il Centro sicurezza di Azure consente di impedire, rilevare e gestire le minacce.Azure Security Center helps you prevent, detect, and respond to threats. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni di Azure, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Il Centro sicurezza consente di proteggere i dati nel database SQL fornendo visibilità per la sicurezza di tutti i server e database.Security Center helps you safeguard data in SQL Database by providing visibility into the security of all your servers and databases. Con il Centro sicurezza è possibile:With Security Center, you can:

  • Definire i criteri per la crittografia e il controllo del database SQL.Define policies for SQL Database encryption and auditing.
  • Monitorare la sicurezza delle risorse del database SQL per tutte le sottoscrizioni.Monitor the security of SQL Database resources across all your subscriptions.
  • Identificare e correggere rapidamente i problemi di sicurezza.Quickly identify and remediate security issues.
  • Integrare gli avvisi generati dal rilevamento delle minacce del database SQL di Azure.Integrate alerts from Azure SQL Database threat detection.
  • Il Centro sicurezza supporta l'accesso in base al ruolo.Security Center supports role-based access.

Azure MarketplaceAzure Marketplace

Azure Marketplace è un marketplace online di applicazioni e servizi che consente a startup e fornitori di software indipendenti (ISV) di offrire le proprie soluzioni a clienti di Azure in tutto il mondo.The Azure Marketplace is an online applications and services marketplace that enables start-ups and independent software vendors (ISVs) to offer their solutions to Azure customers around the world. Azure Marketplace riunisce gli ecosistemi dei partner di Microsoft Azure in una singola piattaforma unificata per offrire un servizio migliore a clienti e partner.The Azure Marketplace combines Microsoft Azure partner ecosystems into a single, unified platform to better serve our customers and partners. Fare clic su qui per informazioni sui prodotti di sicurezza del database disponibili in Azure Marketplace.Click here to glance database security products available on Azure market place.

Passaggi successiviNext steps