Veiligheidsoverwegingen voor SQL Server in virtuele Azure-machines

VAN TOEPASSING OP: SQL Server op virtuele Azure-machine

Dit onderwerp bevat algemene beveiligingsrichtlijnen die u helpen beveiligde toegang tot SQL Server in een virtuele Machine (VM) van Azure tot stand te brengen.

Azure voldoet aan verschillende branchevoorschriften en -standaarden waarmee u een compatibele oplossing kunt bouwen met SQL Server wordt uitgevoerd op een virtuele machine. Zie voor meer informatie over naleving van regelgeving met Azure Vertrouwenscentrum van Azure.

Naast de procedures die in dit onderwerp worden beschreven, raden we u aan de aanbevolen beveiligingsprocedures van zowel traditionele on-premises beveiligingsprocedures als de aanbevolen procedures voor beveiliging van virtuele machines te controleren en te implementeren.

Azure Defender voor SQL

Azure Defender voor SQL maakt Azure Security Center beveiligingsfuncties mogelijk, zoals evaluaties van beveiligingsleed en beveiligingswaarschuwingen. Zie Enable Azure Defender for SQL (Inschakelen SQL voor meer informatie.

Portalbeheer

Nadat u uw SQL Server-VMhebt geregistreerd met de SQL IaaS-extensie , kunt u een aantal beveiligingsinstellingen configureren met behulp van de resource voor virtuele SQL-machines in de Azure Portal, zoals het inschakelen van Azure Key Vault-integratie of SQL-verificatie.

Nadat u Azure Defender hebt ingeschakeld voor SQL kunt u bovendien Security Center-functies rechtstreeks in de resource van de virtuele SQL-machines in de Azure Portal bekijken, zoals evaluaties van beveiligingsleed en beveiligingswaarschuwingen.

Zie VM SQL Server beheren in de portal voor meer informatie.

Integratie van Azure Sleutelkluis

Er zijn meerdere SQL Server versleutelingsfuncties, zoals TDE (Transparent Data Encryption), versleuteling op kolomniveau (CLE) en back-upversleuteling. Voor deze vormen van versleuteling moet u de cryptografische sleutels beheren en opslaan die u voor versleuteling gebruikt. De Azure Key Vault service is ontworpen om de beveiliging en het beheer van deze sleutels op een veilige en zeer beschikbare locatie te verbeteren. Met de SQL Server-connector SQL Server u deze sleutels van Azure Key Vault. Zie de andere artikelen in deze reeks voor uitgebreide informatie: Checklist, VM-grootte, Storage, HADR-configuratie, Basislijn verzamelen.

Zie Azure Key Vault integratie voor meer informatie.

Toegangsbeheer

Wanneer u uw virtuele SQL Server maakt, moet u overwegen hoe u zorgvuldig kunt bepalen wie toegang heeft tot de machine en hoe u SQL Server. Over het algemeen moet u het volgende doen:

  • Beperk de SQL Server tot alleen de toepassingen en clients die deze nodig hebben.
  • Volg de best practices voor het beheren van gebruikersaccounts en wachtwoorden.

De volgende secties bieden suggesties voor het nadenken over deze punten.

Beveiligde verbindingen

Wanneer u een virtuele SQL Server-machine met een galerie-afbeelding maakt, kunt u met de optie SQL Server-connectiviteit kiezen uit Lokaal (binnen VM), Privé (binnen Virtual Network) of Openbaar (internet).

SQL Server connectiviteit

Kies voor de beste beveiliging de meest beperkende optie voor uw scenario. Als u bijvoorbeeld een toepassing gebruikt die toegang heeft tot SQL Server VM, is Lokaal de veiligste keuze. Als u een Azure-toepassing gebruikt die toegang tot de SQL Server vereist, beveiligt Privé de communicatie naar SQL Server alleen binnen het opgegeven virtuele Azure-netwerk. Als u openbare (internet)toegang tot de SQL Server-VM nodig hebt, moet u ervoor zorgen dat u andere best practices in dit onderwerp volgt om de kans op aanvallen surface area.

De geselecteerde opties in de portal gebruiken inkomende beveiligingsregels op de netwerkbeveiligingsgroep (NSG) van de virtuele machine om netwerkverkeer naar uw virtuele machine toe te staan of te weigeren. U kunt nieuwe inkomende NSG-regels wijzigen of maken om verkeer naar de SQL Server poort toe te staan (standaard 1433). U kunt ook specifieke IP-adressen opgeven die via deze poort mogen communiceren.

Regels voor netwerkbeveiligingsgroepen

Naast NSG-regels om netwerkverkeer te beperken, kunt u ook de Windows firewall op de virtuele machine gebruiken.

Als u eindpunten gebruikt met het klassieke implementatiemodel, verwijdert u eventuele eindpunten op de virtuele machine als u ze niet gebruikt. Zie De ACL op een eindpunt beheren voor instructies over het gebruik van ACL's met eindpunten. Dit is niet nodig voor VM's die gebruikmaken van de Azure Resource Manager.

Overweeg ten slotte om versleutelde verbindingen in te stellen voor het exemplaar van de SQL Server database-engine in uw virtuele Azure-machine. Configureer SQL server-exemplaar met een ondertekend certificaat. Zie Enable Encrypted Connections to the Database Engine (Versleutelde verbindingen met de database-engine inschakelen) en Connection String Syntax (Syntaxis voor verbindingsreeksen) voor meer informatie.

Versleuteling

Beheerde schijven bieden Server-Side-versleuteling en Azure Disk Encryption. Versleuteling aan de serverzijde biedt versleuteling in rust en beveiligt uw gegevens om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Azure Disk Encryption maakt gebruik van BitLocker- of DM-Crypt-technologie en kan worden geïntegreerd met Azure Key Vault voor het versleutelen van zowel het besturingssysteem als de gegevensschijven.

Niet-standaardpoort

Standaard gebruikt SQL Server een bekende poort, namelijk 1433. Voor betere beveiliging configureert u SQL Server te luisteren op een niet-standaardpoort, zoals 1401. Als u een galerie SQL Server inrichten in de Azure Portal, kunt u deze poort opgeven op de blade SQL Server instellingen.

Als u dit na het inrichten wilt configureren, hebt u twee opties:

Belangrijk

Het opgeven van een niet-standaardpoort is een goed idee als uw SQL Server poort is geopend voor openbare internetverbinding.

Wanneer SQL Server luistert op een niet-standaardpoort, moet u de poort opgeven wanneer u verbinding maakt. Denk bijvoorbeeld aan een scenario waarin het IP-adres van de server 13.55.255.255 is en SQL Server luistert op poort 1401. Als u verbinding wilt SQL Server, geeft u 13.55.255.255,1401 op in de connection string.

Accounts beheren

U wilt niet dat aanvallers gemakkelijk accountnamen of wachtwoorden kunnen raden. Gebruik de volgende tips om te helpen:

  • Maak een uniek lokaal beheerdersaccount met de naam Administrator.

  • Gebruik complexe sterke wachtwoorden voor al uw accounts. Zie het artikel Een sterk wachtwoord maken voor meer informatie over het maken van een sterk wachtwoord.

  • Standaard selecteert Azure Windows verificatie tijdens de installatie SQL Server virtuele machine. De SA-aanmelding is daarom uitgeschakeld en er wordt een wachtwoord toegewezen door setup. U wordt aangeraden de SA-aanmelding niet te gebruiken of in te stellen. Als u een SQL hebt, gebruikt u een van de volgende strategieën:

    • Maak een SQL account met een unieke naam die sysadmin-lidmaatschap heeft. U kunt dit doen vanuit de portal door verificatie tijdens het inrichten SQL in te schakelen.

      Tip

      Als u de verificatie niet SQL inschakelen tijdens het inrichten, moet u de verificatiemodus handmatig wijzigen in SQL Server en Windows verificatiemodus. Zie Serververificatiemodus wijzigen voor meer informatie.

    • Als u de SA-aanmelding moet gebruiken, moet u de aanmelding inschakelen na het inrichten en een nieuw sterk wachtwoord toewijzen.

Volgende stappen

Als u ook geïnteresseerd bent in best practices voor prestaties, bekijkt u Best practices voor prestaties voor SQL Server op Azure Virtual Machines.

Zie overzicht van SQL Server azure-VM'SQL Server andere onderwerpen met betrekking tot het uitvoeren Virtual Machines azure-VM's. Als u vragen hebt over virtuele machines met SQL Server, raadpleegt u Veelgestelde vragen.

Zie de andere artikelen in deze reeks voor meer informatie: