Безопасность ядра СУБД SQL Server и Базы данных Azure SQL
Применимо к:
SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics AnalyticsPlatform System (PDW)
На этой странице приведены ссылки, которые помогут найти сведения, необходимые для обеспечения безопасности и защиты в ядро СУБД SQL Server и База данных SQL Azure.
Условные обозначения
Проверка подлинности: кто вы?
| Компонент | Установить связь |
|---|---|
Кто выполняет проверку подлинности? Проверка подлинности Windows Проверка подлинности SQL Server Идентификатор Microsoft Entra (прежнее название — Azure Active Directory) |
Кто выполняет проверку подлинности? (Windows или SQL Server) Выбор режима проверки подлинности Подключение в SQL Azure с проверкой подлинности Microsoft Entra |
| Где выполняется проверка подлинности? В базе данных master: имена входа и пользователи базы данных В пользовательской базе данных: содержащиеся пользователи базы данных |
Аутентификация в базе данных master (имена для входа и пользователи базы данных) создать имя входа SQL Server Управление базами данных и учетными записями в Базе данных SQL Azure Создание пользователя базы данных Проверка подлинности в пользовательской базе данных Пользователи автономной базы данных: создание переносимой базы данных |
| Использование других идентификаторов Учетные данные Выполнение в контексте другого имени входа Выполнение от имени другого пользователя базы данных |
Учетные данные (ядро СУБД) Выполнение в контексте другого имени входа Выполнение от имени другого пользователя базы данных |
Авторизация: что вам можно делать?
| Компонент | Установить связь |
|---|---|
| Предоставление, отмена и запрет разрешений Защищаемые классы Детализированные разрешения SQL Server Детализированные разрешения базы данных |
Иерархия разрешений (ядро СУБД) Разрешения Защищаемые объекты Приступая к работе с разрешениями Database Engine |
| Роли безопасности Роли уровня сервера Роли уровня базы данных |
Роли уровня сервера Роли уровня базы данных |
| Ограничение доступа к данным для выбранных элементов Ограничение доступа к данным с помощью представлений и процедур Безопасность на уровне строк Динамическое маскирование данных Подписанные объекты |
Ограничение доступа к данным с помощью представлений и процедур Безопасность на уровне строк (SQL Server) Безопасность на уровне строк (база данных SQL Azure) Динамическое маскирование данных (SQL Server) Динамическое маскирование данных (база данных Azure SQL) Подписанные объекты |
Шифрование: хранение секретных данных
| Компонент | Установить связь |
|---|---|
| Шифрование файлов Шифрование BitLocker (уровень диска) Шифрование NTFS (уровень папки) Прозрачное шифрование данных (уровень файла) Шифрование резервной копии (уровень файла) |
BitLocker (уровень диска) Шифрование NTFS (уровень папки) Прозрачное шифрование данных (уровень файла) Шифрование резервной копии (уровень файла) |
| Шифрование источников Расширяемый модуль управления ключами Ключи, хранящиеся в Azure Key Vault Always Encrypted |
Расширяемый модуль управление ключами Ключи, хранящиеся в хранилище ключей Azure Always Encrypted |
| Шифрование столбцов, данных и ключей Шифрование по сертификату Шифрование симметричным ключом Шифрование асимметричным ключом Шифрование с парольной фразой |
Шифрование по сертификату Шифрование асимметричным ключом Шифрование симметричным ключом Шифрование с парольной фразой Шифрование столбца данных |
Безопасность подключения: ограничения и обеспечение безопасности
| Компонент | Установить связь |
|---|---|
Защита с помощью брандмауэра Параметры брандмауэра Windows Параметры брандмауэра службы Azure Параметры брандмауэра базы данных |
Настройка брандмауэра Windows для доступа к компоненту Database Engine Параметры брандмауэра базы данных Azure SQL Параметры брандмауэра службы Azure |
| Шифрование данных при передаче Принудительные подключения SSL Необязательные подключения SSL |
Включение зашифрованных соединений для ядра СУБД Включение зашифрованных соединений для ядра СУБД, Сетевая безопасность Поддержка TLS 1.2 для Microsoft SQL Server |
Аудит: регистрация доступа
| Компонент | Установить связь |
|---|---|
| Автоматизированный аудит Аудит SQL Server (уровень сервера и базы данных)аудит База данных SQL (уровень базы данных) Обнаружение угроз |
Подсистема аудита SQL Server (Database Engine) Аудит базы данных SQL Приступая к работе с Расширенной защитой от угроз для базы данных SQL Оценка уязвимостей базы данных SQL |
| Пользовательский аудит Триггеры |
Реализация пользовательского аудита: создание DDL Triggers и DML Triggers |
| Соблюдение закона Соответствие требованиям |
SQL Server. Common Criteria База данных SQL. Центр управления безопасностью Microsoft Azure: соответствие функций требованиям регулирования |
Атака путем внедрения кода SQL
Внедрение SQL — это атака, в которой вредоносный код вставляется в строки, которые позже передаются в ядро СУБД для синтаксического анализа и выполнения. Любая процедура, создающая инструкции SQL, должна рассматриваться на предмет уязвимости к внедрению кода, так как SQL Server выполняет все получаемые синтаксически правильные запросы. Все системы баз данных имеют некоторый риск внедрения SQL, и многие уязвимости вводятся в приложении, которое запрашивает ядро СУБД. Можно предотвратить атаки путем внедрения кода SQL, используя хранимые процедуры и параметризованные команды, избегая использования динамического кода SQL и ограничив разрешения для всех пользователей. Дополнительные сведения см. в разделе SQL Injection.
Дополнительные ссылки для программистов приложений.
См. также
Приступая к работе с разрешениями Database Engine
Обеспечение безопасности SQL Server
Субъекты (ядро СУБД)
Сертификаты SQL Server и асимметричные ключи
Шифрование SQL Server
Настройка контактной зоны
Надежные пароли
Свойство базы данных TRUSTWORTHY
Функции и задачи компонента Database Engine
Защита интеллектуальной собственности SQL Server
Получение справки
- Идеи об SQL. Есть рекомендации по улучшению SQL Server?
- Вопросы и ответы по продуктам Майкрософт (SQL Server)
- DBA Stack Exchange (tag sql-server) — вопросы по SQL Server
- Stack Overflow (tag sql-server) — ответы на некоторые вопросы по разработке на SQL
- Reddit — общее обсуждение по SQL Server
- Условия лицензии и информация о Microsoft SQL Server
- Варианты поддержки для бизнес-пользователей
- Обратиться в Майкрософт
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по