Veiligheidsoverwegingen voor SQL Server in virtuele Azure-machines

  • Artikel
  • 6 minuten om te lezen

VAN TOEPASSING OP: SQL Server op virtuele Azure-machine

Dit onderwerp bevat algemene beveiligingsrichtlijnen die u helpen beveiligde toegang tot SQL Server in een virtuele Machine (VM) van Azure tot stand te brengen.

Azure voldoet aan verschillende branchevoorschriften en -standaarden waarmee u een compatibele oplossing kunt bouwen met SQL Server wordt uitgevoerd op een virtuele machine. Zie voor meer informatie over naleving van regelgeving met Azure Vertrouwenscentrum van Azure.

Naast de procedures die in dit onderwerp worden beschreven, raden we u aan de aanbevolen beveiligingsprocedures van zowel traditionele on-premises beveiligingsprocedures als aanbevolen procedures voor beveiliging van virtuele machines te bekijken en te implementeren.

Microsoft Defender voor SQL

Microsoft Defender voor SQL beveiligingsfuncties van Microsoft Defender for Cloud in, zoals evaluaties van beveiligingsleed en beveiligingswaarschuwingen. Zie Microsoft Defender inschakelen SQL meer informatie.

Portalbeheer

Nadat u uw SQL Server-VMhebt geregistreerd met de SQL IaaS-extensie , kunt u een aantal beveiligingsinstellingen configureren met behulp van de SQL-VM-resource in de Azure Portal, zoals het inschakelen van Azure Key Vault-integratie of SQL-verificatie.

Nadat u Microsoft Defender voor SQL hebt ingeschakeld, kunt u bovendien functies van Defender for Cloud rechtstreeks in de resource van de virtuele SQL-machines in de Azure Portal weergeven, zoals evaluaties van beveiligingsleed en beveiligingswaarschuwingen.

Zie VM SQL Server beheren in de portal voor meer informatie.

Integratie van Azure Sleutelkluis

Er zijn meerdere SQL Server versleutelingsfuncties, zoals TDE (Transparent Data Encryption), versleuteling op kolomniveau (CLE) en back-upversleuteling. Voor deze vormen van versleuteling moet u de cryptografische sleutels die u voor versleuteling gebruikt, beheren en opslaan. De Azure Key Vault service is ontworpen om de beveiliging en het beheer van deze sleutels te verbeteren op een veilige en zeer beschikbare locatie. Met de SQL Server-connector SQL Server u deze sleutels uit Azure Key Vault. Zie de andere artikelen in deze reeks voor uitgebreide informatie: Checklist, VM-grootte, Storage, HADR-configuratie, Basislijn verzamelen.

Zie Azure Key Vault integratie voor meer informatie.

Toegangsbeheer

Wanneer u uw virtuele SQL Server machine maakt, moet u overwegen hoe u zorgvuldig kunt bepalen wie toegang heeft tot de machine en hoe u SQL Server. Over het algemeen moet u het volgende doen:

  • Beperk de SQL Server tot alleen de toepassingen en clients die deze nodig hebben.
  • Volg de best practices voor het beheren van gebruikersaccounts en wachtwoorden.

De volgende secties bieden suggesties voor het nadenken over deze punten.

Beveiligde verbindingen

Wanneer u een virtuele SQL Server-machine met een galerie-afbeelding maakt, kunt u met de optie SQL Server-connectiviteit kiezen uit Lokaal (binnen VM), Privé (binnen Virtual Network) of Openbaar (internet).

SQL Server connectiviteit

Kies voor de beste beveiliging de meest beperkende optie voor uw scenario. Als u bijvoorbeeld een toepassing gebruikt die toegang heeft tot SQL Server VM, is Lokaal de veiligste keuze. Als u een Azure-toepassing gebruikt die toegang tot de SQL Server vereist, beveiligt Privé de communicatie met SQL Server alleen binnen het opgegeven virtuele Azure-netwerk. Als u openbare (internet)toegang tot de SQL Server-VM nodig hebt, moet u andere best practices in dit onderwerp volgen om uw aanvalsmethoden te surface area.

De geselecteerde opties in de portal gebruiken inkomende beveiligingsregels op de netwerkbeveiligingsgroep (NSG) van de virtuele machine om netwerkverkeer naar uw virtuele machine toe te staan of te weigeren. U kunt nieuwe inkomende NSG-regels wijzigen of maken om verkeer naar de SQL Server-poort toe te staan (standaard 1433). U kunt ook specifieke IP-adressen opgeven die via deze poort mogen communiceren.

Regels voor netwerkbeveiligingsgroepen

Naast NSG-regels om netwerkverkeer te beperken, kunt u ook de Windows Firewall op de virtuele machine gebruiken.

Als u eindpunten gebruikt met het klassieke implementatiemodel, verwijdert u eventuele eindpunten op de virtuele machine als u deze niet gebruikt. Zie De ACL op een eindpunt beheren voor instructies over het gebruik van ACL's met eindpunten. Dit is niet nodig voor VM's die gebruikmaken van de Azure Resource Manager.

Overweeg ten slotte om versleutelde verbindingen in te stellen voor het exemplaar van de SQL Server database-engine in uw virtuele Azure-machine. Configureer SQL server-exemplaar met een ondertekend certificaat. Zie Versleutelde verbindingen inschakelen met de database-engine en de syntaxis van de verbindingsreeksvoor meer informatie.

Versleuteling

Beheerde schijven bieden Server-Side-versleuteling en Azure Disk Encryption. Versleuteling aan de serverzijde biedt versleuteling in rust en beveiligt uw gegevens om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Azure Disk Encryption maakt gebruik van BitLocker- of DM-Crypt-technologie en integreert met Azure Key Vault om zowel het besturingssysteem als de gegevensschijven te versleutelen.

Niet-standaardpoort

Standaard gebruikt SQL Server een bekende poort, namelijk 1433. Voor betere beveiliging configureert u SQL Server te luisteren op een niet-standaardpoort, zoals 1401. Als u een galerie-SQL Server inrichten in de Azure Portal, kunt u deze poort opgeven op de blade SQL Server instellingen.

Als u dit na het inrichten wilt configureren, hebt u twee opties:

  • Voor Resource Manager virtuele machines kunt u Beveiliging selecteren in de resource SQL virtuele machines. Dit biedt een optie om de poort te wijzigen.

    TCP-poortwijziging in portal

  • Voor klassieke VM's of voor virtuele SQL Server die niet zijn ingericht met de portal, kunt u de poort handmatig configureren door op afstand verbinding te maken met de VM. Zie Configure a Server to Listen on a Specific TCP Port (Een server configureren om te luisteren op een specifieke TCP-poort) voor de configuratiestappen. Als u deze handmatige techniek gebruikt, moet u ook een firewallregel Windows om binnenkomend verkeer op die TCP-poort toe te staan.

Belangrijk

Het opgeven van een niet-standaardpoort is een goed idee als uw SQL Server poort is geopend voor openbare internetverbinding.

Wanneer SQL Server op een niet-standaardpoort luistert, moet u de poort opgeven wanneer u verbinding maakt. Denk bijvoorbeeld aan een scenario waarin het IP-adres van de server 13.55.255.255 is en SQL Server luistert op poort 1401. Als u verbinding wilt SQL Server, geeft u 13.55.255.255,1401 op in de connection string.

Accounts beheren

U wilt niet dat aanvallers gemakkelijk accountnamen of wachtwoorden kunnen raden. Gebruik de volgende tips om te helpen:

  • Maak een uniek lokaal beheerdersaccount met de naam Administrator.

  • Gebruik complexe sterke wachtwoorden voor al uw accounts. Zie het artikel Een sterk wachtwoord maken voor meer informatie over het maken van een sterk wachtwoord.

  • Standaard selecteert Azure Windows verificatie tijdens het instellen SQL Server virtuele machine. Daarom is de SA-aanmelding uitgeschakeld en wordt er een wachtwoord toegewezen door setup. U wordt aangeraden de SA-aanmelding niet te gebruiken of in te stellen. Gebruik een van de volgende strategieën SQL u een van de volgende aanmeldingsgegevens hebt:

    • Maak een SQL account met een unieke naam die lid is van sysadmin. U kunt dit doen vanuit de portal door tijdens het inrichten SQL in te schakelen.

      Tip

      Als u verificatie niet SQL inschakelen tijdens het inrichten, moet u de verificatiemodus handmatig wijzigen in SQL Server en Windows verificatiemodus. Zie Serververificatiemodus wijzigen voor meer informatie.

    • Als u de SA-aanmelding moet gebruiken, moet u de aanmelding inschakelen na het inrichten en een nieuw sterk wachtwoord toewijzen.

Volgende stappen

Als u ook geïnteresseerd bent in best practices voor prestaties, zie Best practices voor prestaties voor SQL Server in Azure Virtual Machines.

Zie Overzicht van SQL Server azure-SQL Server voor andere onderwerpen met betrekking tot het uitvoeren van Virtual Machines in Azure-VM's. Als u vragen hebt over virtuele machines met SQL Server, raadpleegt u Veelgestelde vragen.

Zie de andere artikelen in deze reeks voor meer informatie: