Aanbevolen procedures voor het beveiligen van PaaS-databases in Azure

In dit artikel bespreken we een verzameling best practices voor beveiliging van Azure SQL Database en Azure Synapse Analytics voor het beveiligen van uw PaaS-webtoepassingen (Platform-as-a-Service). Deze best practices zijn afgeleid van onze ervaring met Azure en de ervaringen van klanten zoals uzelf.

Azure SQL Database en Azure Synapse Analytics bieden een relationele databaseservice voor uw internettoepassingen. Laten we eens kijken naar services die u helpen uw toepassingen en gegevens te beveiligen bij het gebruik van Azure SQL Database en Azure Synapse Analytics in een PaaS-implementatie:

  • Azure Active Directory-verificatie (in plaats van SQL Server-verificatie)
  • Azure SQL-firewall
  • Transparent Data Encryption (TDE)

Een gecentraliseerde identiteitsopslagplaats gebruiken

Azure SQL Database kan worden geconfigureerd voor het gebruik van een van de twee typen verificatie:

  • SQL-verificatie maakt gebruik van een gebruikersnaam en wachtwoord. Toen u de server voor uw database hebt gemaakt, hebt u een 'serverbeheerder' opgegeven met een gebruikersnaam en wachtwoord. Met deze referenties kunt u zich verifiëren bij elke database op die server als de eigenaar van de database.

  • Azure Active Directory-verificatie maakt gebruik van identiteiten die worden beheerd door Azure Active Directory en wordt ondersteund voor beheerde en geïntegreerde domeinen. Als u Azure Active Directory-verificatie wilt gebruiken, moet u een andere serverbeheerder maken met de naam Azure AD-beheerder, die Azure AD-gebruikers en -groepen mag beheren. Deze beheerder kan ook alle bewerkingen uitvoeren die reguliere serverbeheerders kunnen uitvoeren.

Azure Active Directory-verificatie is een mechanisme voor het maken van verbinding met Azure SQL Database en Azure Synapse Analytics met behulp van identiteiten in Azure Active Directory (AD). Azure AD biedt een alternatief voor SQL Server-verificatie, zodat u de verspreiding van gebruikersidentiteiten op databaseservers kunt stoppen. Met Azure AD-verificatie kunt u de identiteiten van databasegebruikers en andere Microsoft-services centraal beheren op één centrale locatie. Centraal identiteitsbeheer biedt één plek voor het beheren van databasegebruikers en vereenvoudigt het machtigingenbeheer.

Voordelen van het gebruik van Azure AD in plaats van SQL-verificatie

  • Maakt rotatie van wachtwoorden op één plek mogelijk.
  • Hiermee beheert u databasemachtigingen met behulp van externe Azure AD-groepen.
  • Elimineert het opslaan van wachtwoorden door geïntegreerde Windows-verificatie en andere vormen van verificatie in te schakelen die worden ondersteund door Azure AD.
  • Maakt gebruik van ingesloten databasegebruikers om identiteiten op databaseniveau te verifiëren.
  • Ondersteunt verificatie op basis van tokens voor toepassingen die verbinding maken met SQL Database.
  • Ondersteunt domeinfederatie met Active Directory Federation Services (ADFS) of systeemeigen gebruikers-/wachtwoordverificatie voor een lokale Azure AD zonder domeinsynchronisatie.
  • Ondersteunt verbindingen van SQL Server Management Studio die gebruikmaken van Active Directory Universal Authentication, waaronder Multi-Factor Authentication (MFA). MFA omvat robuuste verificatie met een scala aan gebruikersvriendelijke verificatieopties, waaronder telefoonoproepen, sms-berichten, smartcards met pincode of melding in mobiele app. Zie Universele verificatie met SQL Database en Azure Synapse Analytics voor meer informatie.

Zie voor meer informatie over Azure AD-verificatie:

Notitie

Zie Azure AD-functies en -beperkingen om ervoor te zorgen dat Azure Active Directory geschikt is voor uw omgeving.

Toegang beperken op basis van IP-adres

U kunt firewallregels maken waarmee bereiken met acceptabele IP-adressen worden opgegeven. Deze regels kunnen zowel op server- als databaseniveau worden gericht. We raden u aan waar mogelijk firewallregels op databaseniveau te gebruiken om de beveiliging te verbeteren en uw database draagbaarder te maken. Firewallregels op serverniveau worden het beste gebruikt voor beheerders en wanneer u veel databases hebt die dezelfde toegangsvereisten hebben, maar u geen tijd wilt besteden aan het afzonderlijk configureren van elke database.

Standaard-IP-adresbeperkingen voor SQL Database bieden toegang vanaf elk Azure-adres, met inbegrip van andere abonnementen en tenants. U kunt dit beperken zodat alleen uw IP-adressen toegang hebben tot het exemplaar. Zelfs met uw SQL-firewall- en IP-adresbeperkingen is sterke verificatie nog steeds nodig. Zie de aanbevelingen die eerder in dit artikel zijn gedaan.

Zie voor meer informatie over Azure SQL Firewall- en IP-beperkingen:

Data-at-rest versleutelen

Transparent Data Encryption (TDE) is standaard ingeschakeld. Met TDE worden SQL Server-, Azure SQL Database- en Azure Synapse Analytics-gegevens en logboekbestanden transparant versleuteld. TDE beschermt tegen een inbreuk op directe toegang tot de bestanden of hun back-up. Hierdoor kunt u data-at-rest versleutelen zonder bestaande toepassingen te wijzigen. TDE moet altijd ingeschakeld blijven; Hierdoor wordt een aanvaller echter niet gestopt met het normale toegangspad. TDE biedt de mogelijkheid om te voldoen aan veel wetten, voorschriften en richtlijnen die in verschillende branches zijn vastgesteld.

Azure SQL beheert belangrijke problemen met betrekking tot TDE. Net als bij TDE moet er speciale aandacht worden besteed aan on-premises herstelmogelijkheden en bij het verplaatsen van databases. In geavanceerdere scenario's kunnen de sleutels expliciet worden beheerd in Azure Key Vault via uitbreidbaar sleutelbeheer. Zie TDE inschakelen op SQL Server met behulp van EKM. Hierdoor kunt u bring Your Own Key (BYOK) ook gebruiken via de BYOK-mogelijkheid van Azure Key Vaults.

Azure SQL biedt versleuteling voor kolommen via Always Encrypted. Hierdoor hebben alleen geautoriseerde toepassingen toegang tot gevoelige kolommen. Met dit type versleuteling worden SQL-query's voor versleutelde kolommen beperkt tot waarden op basis van gelijkheid.

Versleuteling op toepassingsniveau moet ook worden gebruikt voor selectieve gegevens. Problemen met gegevenssoevereine gegevens kunnen soms worden verholpen door gegevens te versleutelen met een sleutel die in het juiste land/de juiste regio wordt bewaard. Hierdoor voorkomt u dat zelfs onbedoelde gegevensoverdracht een probleem veroorzaakt, omdat het onmogelijk is om de gegevens zonder de sleutel te ontsleutelen, ervan uitgaande dat er een sterk algoritme wordt gebruikt (zoals AES 256).

U kunt aanvullende voorzorgsmaatregelen gebruiken om de database te beveiligen, zoals het ontwerpen van een beveiligd systeem, het versleutelen van vertrouwelijke assets en het bouwen van een firewall rond de databaseservers.

Volgende stappen

In dit artikel hebt u kennisgemaakt met een verzameling aanbevolen procedures voor SQL Database en Azure Synapse Analytics voor het beveiligen van uw PaaS-web- en mobiele toepassingen. Zie voor meer informatie over het beveiligen van uw PaaS-implementaties: