Esercitazione: Proteggere un database singolo o in poolTutorial: Secure a single or pooled database

In questa esercitazione si apprenderà come:In this tutorial you learn how to:

  • Creare regole del firewall a livello di server e di databaseCreate server-level and database-level firewall rules
  • Configurare un amministratore di Azure Active Directory (AD)Configure an Azure Active Directory (AD) administrator
  • Gestire l'accesso degli utenti con l'autenticazione SQL, l'autenticazione di Azure AD e le stringhe di connessione sicureManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Abilitare funzionalità di sicurezza come la sicurezza dei dati avanzata, il controllo, la maschera dati e la crittografiaEnable security features, such as advanced data security, auditing, data masking, and encryption

Database SQL di Azure protegge i dati in un database singolo o in pool consentendo di:Azure SQL Database secures data in a single or pooled database by allowing you to:

  • Limitare l'accesso tramite regole del firewallLimit access using firewall rules
  • Usare meccanismi di autenticazione che verificano l'identitàUse authentication mechanisms that require identity
  • Concedere autorizzazioni tramite appartenenze e autorizzazioni basate sui ruoliUse authorization with role-based memberships and permissions
  • Abilitare le funzionalità di sicurezzaEnable security features

Nota

Per proteggere un database SQL di Azure in un'istanza gestita si usano regole di sicurezza di rete ed endpoint privati come descritto in Istanza gestita di database SQL di Azure e in Architettura della connettività di Istanza gestita di database SQL di Azure.An Azure SQL database on a managed instance is secured using network security rules and private endpoints as described in Azure SQL database managed instance and connectivity architecture.

Per altre informazioni, vedere gli articoli Database SQL di Azure - Sicurezza avanzata e Panoramica della funzionalità di sicurezza del database SQL di Azure.To learn more, see the Azure SQL Database security overview and capabilities articles.

Suggerimento

Il modulo seguente di Microsoft Learn consente di imparare gratuitamente come proteggere il database SQL di Azure.The following Microsoft Learn module helps you learn for free about how to Secure your Azure SQL Database.

PrerequisitiPrerequisites

Per completare questa esercitazione, verificare di avere i prerequisiti seguenti:To complete the tutorial, make sure you have the following prerequisites:

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

Accedere al portale di AzureSign in to the Azure portal

Per tutti i passaggi dell'esercitazione, accedere al portale di AzureFor all steps in the tutorial, sign in to Azure portal

Creare regole del firewallCreate firewall rules

I database SQL sono protetti da firewall in Azure.SQL databases are protected by firewalls in Azure. Per impostazione predefinita, vengono rifiutate tutte le connessioni al server e al database.By default, all connections to the server and database are rejected. Per altre informazioni, vedere Regole firewall a livello di database e di server di database SQL di Azure.To learn more, see Azure SQL Database server-level and database-level firewall rules.

La configurazione più sicura consiste nell'impostare Consenti l'accesso a Servizi di Azure su NO.Set Allow access to Azure services to OFF for the most secure configuration. Quindi, creare un IP riservato (distribuzione classica) per la risorsa da connettere, ad esempio una macchina virtuale di Azure o un servizio cloud, e consentire l'accesso tramite il firewall solo a questo indirizzo IP.Then, create a reserved IP (classic deployment) for the resource that needs to connect, such as an Azure VM or cloud service, and only allow that IP address access through the firewall. Se si usa il modello di distribuzione Resource Manager, è necessario un indirizzo IP pubblico dedicato per ogni risorsa.If you're using the resource manager deployment model, a dedicated public IP address is required for each resource.

Nota

Il database SQL comunica attraverso la porta 1433.SQL Database communicates over port 1433. Se si sta tentando di connettersi da una rete aziendale, il traffico in uscita attraverso la porta 1433 potrebbe non essere autorizzato dal firewall della rete.If you're trying to connect from within a corporate network, outbound traffic over port 1433 may not be allowed by your network's firewall. In questo caso, non è possibile connettersi al server di database SQL di Azure a meno che l'amministratore non apra la porta 1433.If so, you can't connect to the Azure SQL Database server unless your administrator opens port 1433.

Configurare le regole del firewall per il server di database SQLSet up SQL Database server firewall rules

Le regole del firewall IP a livello di server si applicano a tutti i database all'interno dello stesso server di database SQL.Server-level IP firewall rules apply to all databases within the same SQL Database server.

Per configurare una regola del firewall a livello di server:To set up a server-level firewall rule:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

    Regola del firewall del server

    Nota

    Assicurarsi di copiare il nome completo del server, ad esempio server.database.windows.net, per l'uso successivo nell'esercitazione.Be sure to copy your fully qualified server name (such as yourserver.database.windows.net) for use later in the tutorial.

  2. Nella pagina Panoramica selezionare Imposta firewall server.On the Overview page, select Set server firewall. Verrà visualizzata la pagina Impostazioni del firewall per il server di database.The Firewall settings page for the database server opens.

    1. Selezionare Aggiungi IP client sulla barra degli strumenti per aggiungere l'indirizzo IP corrente a una nuova regola del firewall.Select Add client IP on the toolbar to add your current IP address to a new firewall rule. La regola può aprire la porta 1433 per un indirizzo IP singolo o un intervallo di indirizzi IP.The rule can open port 1433 for a single IP address or a range of IP addresses. Selezionare Salva.Select Save.

      Impostare la regola del firewall del server

    2. Selezionare OK e chiudere la pagina Impostazioni del firewall.Select OK and close the Firewall settings page.

È ora possibile connettersi a qualsiasi database nel server con l'indirizzo IP specificato o con un intervallo di indirizzi IP.You can now connect to any database in the server with the specified IP address or IP address range.

Configurare le regole del firewall per il databaseSetup database firewall rules

Le regole del firewall a livello di database di applicano solo ai singoli database.Database-level firewall rules only apply to individual databases. Il database conserverà queste regole durante un failover del server.The database will retain these rules during a server failover. Le regole del firewall a livello di database possono essere configurate solo tramite istruzioni Transact-SQL (T-SQL) e solo dopo aver configurato una regola del firewall a livello di server.Database-level firewall rules can only be configured using Transact-SQL (T-SQL) statements, and only after you've configured a server-level firewall rule.

Per configurare una regola del firewall a livello di database:To setup a database-level firewall rule:

  1. Connettersi al database, ad esempio usando SQL Server Management Studio.Connect to the database, for example using SQL Server Management Studio.

  2. In Esplora oggetti fare clic con il pulsante destro del mouse sul database e scegliere Nuova query.In Object Explorer, right-click the database and select New Query.

  3. Nella finestra della query aggiungere questa istruzione e sostituire l'indirizzo IP con l'indirizzo IP pubblico:In the query window, add this statement and modify the IP address to your public IP address:

    EXECUTE sp_set_database_firewall_rule N'Example DB Rule','0.0.0.4','0.0.0.4';
    
  4. Sulla barra degli strumenti selezionare Esegui per creare la regola del firewall.On the toolbar, select Execute to create the firewall rule.

Nota

È anche possibile creare una regola del firewall a livello di server in SSMS usando il comando sp_set_firewall_rule, ma è necessario essere connessi al database master.You can also create a server-level firewall rule in SSMS by using the sp_set_firewall_rule command, though you must be connected to the master database.

Creare un amministratore di Azure ADCreate an Azure AD admin

Assicurarsi di usare il dominio gestito di Azure Active Directory (AD) appropriato.Make sure you're using the appropriate Azure Active Directory (AD) managed domain. Selezionare il dominio di AD nell'angolo in alto a destra del portale di Azure.To select the AD domain, use the upper-right corner of the Azure portal. Con questa procedura è possibile accertarsi che venga usata la stessa sottoscrizione sia per Azure AD sia per l'istanza di SQL Server che ospita il database SQL di Azure o il data warehouse.This process confirms the same subscription is used for both Azure AD and the SQL Server hosting your Azure SQL database or data warehouse.

choose-ad

Per impostare l'amministratore di Azure AD:To set the Azure AD administrator:

  1. Nella pagina SQL Server del portale di Azure selezionare Amministratore di Active Directory. Quindi selezionare Imposta amministratore.In Azure portal, on the SQL server page, select Active Directory admin. Next select Set admin.

    Active Directory: selezione

    Importante

    Per eseguire questa attività, è necessario essere un amministratore della società o un amministratore globale.You need to be either a "Company Administrator" or "Global Administrator" to perform this task.

  2. Nella pagina Aggiungi amministratore individuare e selezionare l'utente o il gruppo di AD, quindi scegliere Seleziona.On the Add admin page, search and select the AD user or group and choose Select. L'elenco include tutti i membri e i gruppi di Active Directory e quelli disattivati non sono supportati come amministratori di Azure AD.All members and groups of your Active Directory are listed, and entries grayed out are not supported as Azure AD administrators. Vedere Funzionalità e limitazioni di Azure AD.See Azure AD features and limitations.

    Selezionare l'amministratore

    Importante

    Il controllo degli accessi in base al ruolo si applica solo al portale e non viene propagato a SQL Server.Role-based access control (RBAC) only applies to the portal and isn't propagated to SQL Server.

  3. Nella parte superiore della pagina Amministratore di Active Directory selezionare Salva.At the top of the Active Directory admin page, select Save.

    Il processo di modifica dell'amministratore può richiedere diversi minuti.The process of changing an administrator may take several minutes. Il nuovo amministratore verrà visualizzato nella casella Amministratore di Active Directory.The new administrator will appear in the Active Directory admin box.

Nota

Quando si imposta un amministratore di Azure AD, il nome del nuovo amministratore (utente o gruppo) non può essere già presente nel database master come utente per l'autenticazione di SQL Server.When setting an Azure AD admin, the new admin name (user or group) cannot exist as a SQL Server authentication user in the master database. Se presente, la configurazione non riesce e verrà eseguito il rollback delle modifiche, a indicare che tale nome di amministratore esiste già.If present, the setup will fail and roll back changes, indicating that such an admin name already exists. Poiché l'utente per l'autenticazione di SQL Server non fa parte di Azure AD, non è possibile connetterlo al server tramite autenticazione di Azure AD.Since the SQL Server authentication user is not part of Azure AD, any effort to connect the user using Azure AD authentication fails.

Per informazioni sulla configurazione di Azure AD, vedere:For information about configuring Azure AD, see:

Gestire l'accesso al databaseManage database access

Per gestire l'accesso al database, aggiungervi gli utenti oppure consentire loro l'accesso tramite stringhe di connessione sicure.Manage database access by adding users to the database, or allowing user access with secure connection strings. Le stringhe di connessione sono utili per le applicazioni esterne.Connection strings are useful for external applications. Per altre informazioni, vedere gli articoli relativi al controllo di accesso per il database SQL di Azure e all'autenticazione di AD.To learn more, see Azure SQL access control and AD authentication.

Per aggiungere utenti, scegliere il tipo di autenticazione del database:To add users, choose the database authentication type:

  • Autenticazione di SQL: usa nome utente e password per gli accessi, che sono validi solo nel contesto di uno specifico database all'interno del serverSQL authentication, use a username and password for logins and are only valid in the context of a specific database within the server

  • Autenticazione di Azure AD: usa le identità gestite da Azure ADAzure AD authentication, use identities managed by Azure AD

Autenticazione in SQLSQL authentication

Per aggiungere un utente con l'autenticazione di SQL:To add a user with SQL authentication:

  1. Connettersi al database, ad esempio usando SQL Server Management Studio.Connect to the database, for example using SQL Server Management Studio.

  2. In Esplora oggetti fare clic con il pulsante destro del mouse sul database e scegliere Nuova query.In Object Explorer, right-click the database and choose New Query.

  3. Nella finestra della query immettere il comando seguente:In the query window, enter the following command:

    CREATE USER ApplicationUser WITH PASSWORD = 'YourStrongPassword1';
    
  4. Sulla barra degli strumenti selezionare Esegui per creare l'utente.On the toolbar, select Execute to create the user.

  5. Per impostazione predefinita, l'utente può connettersi al database, ma non dispone delle autorizzazioni per leggere o scrivere dati.By default, the user can connect to the database, but has no permissions to read or write data. Per concedere le autorizzazioni, eseguire i due comandi seguenti in una nuova finestra della query:To grant these permissions, execute the following commands in a new query window:

    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
    ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;
    

Nota

Creare gli account per gli utenti non amministratori a livello di database, a meno che non abbiano l'esigenza di eseguire attività di amministrazione come la creazione di nuovi utenti.Create non-administrator accounts at the database level, unless they need to execute administrator tasks like creating new users.

Autenticazione di Azure ADAzure AD authentication

Per l'autenticazione di Azure Active Directory, è necessario che gli utenti del database vengano creati come utenti di database indipendente.Azure Active Directory authentication requires that database users are created as contained. L'utente di un database indipendente viene mappato a un'identità nella directory di Azure AD associata al database e non ha un account di accesso nel database master.A contained database user maps to an identity in the Azure AD directory associated with the database and has no login in the master database. L'identità di Azure AD può essere relativa un singolo utente o a un gruppo.The Azure AD identity can either be for an individual user or a group. Per altre informazioni, vedere Utenti di database indipendente: rendere portabile un database e consultare l'esercitazione di Azure AD sull'autenticazione tramite Azure AD.For more information, see Contained database users, make your database portable and review the Azure AD tutorial on how to authenticate using Azure AD.

Nota

Gli utenti del database, ad eccezione degli amministratori, non possono essere creati tramite il portale di Azure.Database users (excluding administrators) cannot be created using the Azure portal. I ruoli Controllo degli accessi in base al ruolo non vengono propagati in SQL Server, database o data warehouse.Azure RBAC roles do not propagate to SQL servers, databases, or data warehouses. Vengono usati solo per la gestione delle risorse di Azure e non si applicano alle autorizzazioni per il database.They are only used to manage Azure resources and do not apply to database permissions.

Ad esempio, il ruolo Collaboratore SQL Server non concede l'accesso per connettersi a un database o a un data warehouse.For example, the SQL Server Contributor role does not grant access to connect to a database or data warehouse. Questa autorizzazione deve essere concessa all'interno del database tramite istruzioni T-SQL.This permission must be granted within the database using T-SQL statements.

Importante

I caratteri speciali, come i due punti : o la e commerciale &, non sono supportati nei nomi utente e nelle istruzioni T-SQL CREATE LOGIN e CREATE USER.Special characters like colon : or ampersand & are not supported in user names in the T-SQL CREATE LOGIN and CREATE USER statements.

Per aggiungere un utente con l'autenticazione di Azure AD:To add a user with Azure AD authentication:

  1. Connettersi al server SQL di Azure usando un account di Azure AD che abbia almeno l'autorizzazione ALTER ANY USER.Connect to your Azure SQL server using an Azure AD account with at least the ALTER ANY USER permission.

  2. In Esplora oggetti fare clic con il pulsante destro del mouse sul database e scegliere Nuova query.In Object Explorer, right-click the database and select New Query.

  3. Nella finestra della query immettere il comando seguente e sostituire <Azure_AD_principal_name> con il nome dell'entità utente di Azure AD o con il nome visualizzato di un gruppo di Azure AD:In the query window, enter the following command and modify <Azure_AD_principal_name> to the principal name of the Azure AD user or the display name of the Azure AD group:

    CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;
    

Nota

Gli utenti di Azure AD sono contrassegnati nei metadati del database con il tipo E (EXTERNAL_USER) e con il tipo X (EXTERNAL_GROUPS) per i gruppi.Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and type X (EXTERNAL_GROUPS) for groups. Per altre informazioni, vedere sys.database_principals.For more information, see sys.database_principals.

Stringhe di connessione sicureSecure connection strings

Per garantire una connessione crittografata e protetta tra l'applicazione client e il database SQL, la stringa di connessione deve essere configurata per:To ensure a secure, encrypted connection between the client application and SQL database, a connection string must be configured to:

  • Richiedere una connessione crittografataRequest an encrypted connection
  • Non considerare attendibile il certificato del serverNot trust the server certificate

La connessione viene stabilita tramite Transport Layer Security (TLS), riducendo il rischio di attacchi man-in-the-middle.The connection is established using Transport Layer Security (TLS) and reduces the risk of a man-in-the-middle attack. Le stringhe di connessione sono disponibili per ogni database e sono preconfigurate per supportare driver client come ADO.NET, JDBC, ODBC e PHP.Connection strings are available per database and are pre-configured to support client drivers such as ADO.NET, JDBC, ODBC, and PHP. Per informazioni su TLS e la connettività, vedere Considerazioni su TLS.For information about TLS and connectivity, see TLS considerations.

Per copiare una stringa di connessione sicura:To copy a secure connection string:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Nella pagina Panoramica selezionare Mostra stringhe di connessione del database.On the Overview page, select Show database connection strings.

  3. Selezionare la scheda di un driver e copiare la stringa di connessione completa.Select a driver tab and copy the complete connection string.

    Stringa di connessione ADO.NET

Abilitare le funzionalità di sicurezzaEnable security features

Il database SQL di Azure include funzionalità di sicurezza accessibili dal portale di Azure.Azure SQL Database provides security features that are accessed using the Azure portal. Queste funzionalità sono disponibili sia per il database che per il server, ad eccezione della maschera dei dati, che è disponibile solo nel database.These features are available for both the database and server, except for data masking, which is only available on the database. Per altre informazioni, vedere Sicurezza dei dati avanzata, controllo, Maschera dati dinamica e Transparent Data Encryption.To learn more, see Advanced data security, Auditing, Dynamic data masking, and Transparent data encryption.

Sicurezza dei dati avanzataAdvanced data security

La funzionalità di sicurezza dati avanzata rileva le potenziali minacce nel momento in cui si verificano, oltre a inviare avvisi di sicurezza per le attività anomale.The advanced data security feature detects potential threats as they occur and provides security alerts on anomalous activities. Gli utenti possono esaminare gli eventi sospetti con la funzionalità di controllo per determinare se si tratta di un tentativo di accesso, violazione o exploit dei dati del database.Users can explore these suspicious events using the auditing feature, and determine if the event was to access, breach, or exploit data in the database. Possono inoltre accedere a una panoramica sulla sicurezza, che include una valutazione della vulnerabilità oltre allo strumento di individuazione e classificazione dei dati.Users are also provided a security overview that includes a vulnerability assessment and the data discovery and classification tool.

Nota

Un esempio di minaccia è SQL injection, un processo in cui gli utenti malintenzionati inseriscono codice SQL dannoso negli input dell'applicazione.An example threat is SQL injection, a process where attackers inject malicious SQL into application inputs. L'applicazione può quindi eseguire inconsapevolmente tale codice, consentendo agli utenti malintenzionati di violare o modificare i dati del database.An application can then unknowingly execute the malicious SQL and allow attackers access to breach or modify data in the database.

Per abilitare la sicurezza dei dati avanzata:To enable advanced data security:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Nella pagina Panoramica selezionare il collegamento Nome server.On the Overview page, select the Server name link. Verrà visualizzata la pagina del server di database.The database server page will open.

  3. Nella pagina SQL Server cercare la sezione Sicurezza e selezionare Sicurezza dei dati avanzata.On the SQL server page, find the Security section and select Advanced Data Security.

    1. Selezionare in Sicurezza dei dati avanzata per abilitare la funzionalità.Select ON under Advanced Data Security to enable the feature. Scegliere un account di archiviazione per il salvataggio dei risultati della valutazione della vulnerabilità.Choose a storage account for saving vulnerability assessment results. Selezionare quindi Salva.Then select Save.

      Riquadro di spostamento

      È anche possibile configurare gli indirizzi di posta elettronica a cui ricevere avvisi di sicurezza, dettagli sulle risorse di archiviazione e tipi di rilevamento delle minacce.You can also configure emails to receive security alerts, storage details, and threat detection types.

  4. Tornare nella pagina Database SQL del database e selezionare Sicurezza dei dati avanzata nella sezione Sicurezza.Return to the SQL databases page of your database and select Advanced Data Security under the Security section. In questa sezione sono disponibili vari indicatori della sicurezza per il database.Here you'll find various security indicators available for the database.

    Stato minacce

Se vengono rilevate attività anomale, si riceverà un messaggio di posta elettronica con informazioni sull'evento,If anomalous activities are detected, you receive an email with information on the event. tra cui la natura dell'attività, il database, il server, l'ora dell'evento, le possibili cause e le azioni consigliate per analizzare e contrastare la potenziale minaccia.This includes the nature of the activity, database, server, event time, possible causes, and recommended actions to investigate and mitigate the potential threat. Se si riceve un messaggio di questo tipo, selezionare il collegamento che punta al log di controllo del database SQL di Azure per avviare il portale di Azure e visualizzare i record di controllo pertinenti per l'ora dell'evento.If such an email is received, select the Azure SQL Auditing Log link to launch the Azure portal and show relevant auditing records for the time of the event.

Messaggio di posta elettronica sul rilevamento delle minacce

ControlloAuditing

La funzionalità di controllo tiene traccia degli eventi del database e li scrive in un log di controllo nell'archiviazione di Azure, nei log di Monitoraggio di Azure o in un hub eventi.The auditing feature tracks database events and writes events to an audit log in either Azure storage, Azure Monitor logs, or to an event hub. Il controllo consente di rispettare la conformità alle normative, identificare le attività del database e acquisire informazioni su discrepanze e anomalie che potrebbero indicare potenziali violazioni della sicurezza.Auditing helps maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate potential security violations.

Per abilitare il controllo:To enable auditing:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Nella sezione Sicurezza selezionare Controllo.In the Security section, select Auditing.

  3. Nelle impostazioni di Controllo specificare i valori seguenti:Under Auditing settings, set the following values:

    1. Impostare Controllo su .Set Auditing to ON.

    2. Selezionare una delle opzioni seguenti per Destinazione del log di controllo:Select Audit log destination as any of the following:

      • Archiviazione, un account di archiviazione di Azure in cui vengono salvati i log degli eventi, che possono essere scaricati come file con estensione xelStorage, an Azure storage account where event logs are saved and can be downloaded as .xel files

        Suggerimento

        Per sfruttare al meglio i modelli di report di controllo, usare lo stesso account di archiviazione per tutti i database controllati.Use the same storage account for all audited databases to get the most from auditing report templates.

      • Log Analytics, un servizio che archivia automaticamente gli eventi per le query o per ulteriori analisiLog Analytics, which automatically stores events for query or further analysis

        Nota

        Per supportare funzionalità avanzate come l'analisi, le regole personalizzate degli avvisi e le esportazioni in Excel o Power BI, è necessaria un'area di lavoro di Log Analytics.A Log Analytics workspace is required to support advanced features such as analytics, custom alert rules, and Excel or Power BI exports. Senza quest'area di lavoro, è disponibile solo l'editor di query.Without a workspace, only the query editor is available.

      • Hub eventi, che consente di instradare gli eventi per l'uso in altre applicazioniEvent Hub, which allows events to be routed for use in other applications

    3. Selezionare Salva.Select Save.

      Impostazione di Controllo

  4. A questo punto è possibile selezionare Visualizza log di controllo per visualizzare i dati sugli eventi del database.Now you can select View audit logs to view database events data.

    Record di controllo

Importante

Per informazioni su come personalizzare ulteriormente gli eventi di controllo tramite PowerShell o l'API REST, vedere Introduzione al controllo del database SQL.See SQL database auditing on how to further customize audit events using PowerShell or REST API.

Maschera dati dinamicaDynamic data masking

La funzionalità di maschera dei dati nasconde automaticamente i dati sensibili nel database.The data masking feature will automatically hide sensitive data in your database.

Per abilitare la maschera dei dati:To enable data masking:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Nella sezione Sicurezza selezionare Dynamic Data Masking.In the Security section, select Dynamic Data Masking.

  3. Nelle impostazioni di Dynamic Data Masking selezionare Aggiungi maschera per aggiungere una regola di mascheramento.Under Dynamic data masking settings, select Add mask to add a masking rule. Azure popola automaticamente gli schemi, le tabelle e le colonne del database disponibili tra cui scegliere.Azure will automatically populate available database schemas, tables, and columns to choose from.

    Impostazioni della maschera

  4. Selezionare Salva.Select Save. Le informazioni selezionate saranno ora mascherate per la privacy.The selected information is now masked for privacy.

    Esempio di maschera

Transparent Data EncryptionTransparent data encryption

Questa funzionalità crittografa automaticamente i dati inattivi e non richiede modifiche alle applicazioni che accedono al database crittografato.The encryption feature automatically encrypts your data at rest, and requires no changes to applications accessing the encrypted database. Per i nuovi database, la crittografia è attivata per impostazione predefinita.For new databases, encryption is on by default. È anche possibile crittografare i dati usando SSMS e la funzionalità Always Encrypted.You can also encrypt data using SSMS and the Always encrypted feature.

Per abilitare o verificare la crittografia:To enable or verify encryption:

  1. Nel portale di Azure scegliere Database SQL dal menu a sinistra, quindi selezionare il database nella pagina Database SQL.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Nella sezione Sicurezza selezionare Transparent Data Encryption.In the Security section, select Transparent data encryption.

  3. Se necessario, impostare Crittografia dati su .If necessary, set Data encryption to ON. Selezionare Salva.Select Save.

    Transparent Data Encryption

Nota

Per visualizzare lo stato di crittografia, connettersi al database tramite SSMS ed eseguire una query sulla colonna encryption_state della visualizzazione sys.dm_database_encryption_keys.To view encryption status, connect to the database using SSMS and query the encryption_state column of the sys.dm_database_encryption_keys view. Lo stato 3 indica che il database è crittografato.A state of 3 indicates the database is encrypted.

Passaggi successiviNext steps

In questa esercitazione è stato illustrato come migliorare la sicurezza del database con pochi, semplici passaggi.In this tutorial, you've learned to improve the security of your database with just a few simple steps. Si è appreso come:You learned how to:

  • Creare regole del firewall a livello di server e di databaseCreate server-level and database-level firewall rules
  • Configurare un amministratore di Azure Active Directory (AD)Configure an Azure Active Directory (AD) administrator
  • Gestire l'accesso degli utenti con l'autenticazione SQL, l'autenticazione di Azure AD e le stringhe di connessione sicureManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Abilitare funzionalità di sicurezza come la sicurezza dei dati avanzata, il controllo, la maschera dati e la crittografiaEnable security features, such as advanced data security, auditing, data masking, and encryption

Passare all'esercitazione successiva per informazioni su come implementare la distribuzione geografica.Advance to the next tutorial to learn how to implement geo-distribution.