Безопасность ядра СУБД SQL Server и Базы данных Azure SQL

Область применения:yesSQL Server (все поддерживаемые версии) YesБаза данных SQL Azure YesУправляемый экземпляр SQL Azure yesAzure Synapse Analytics yesAnalytics Platform System (PDW)

На этой странице представлены ссылки, помогающие найти сведения, касающиеся безопасности и защиты в компоненте Компонент SQL Server Database Engine и База данных SQL Azure.

Условные обозначения

Screenshot of the legend that explains the feature availability icons.

Проверка подлинности: кто вы?

Функция Ссылка
Кто выполняет проверку подлинности?

Проверка подлинности Windows

Проверка подлинности SQL Server

Azure Active Directory
Кто выполняет проверку подлинности? (Windows или SQL Server)

Выбор режима проверки подлинности

Подключение к базе данных SQL с использованием аутентификации Azure Active Directory
Где выполняется проверка подлинности?

В базе данных master: имена для входа и пользователи базы данных

В пользовательской базе данных: включенные пользователи базы данных
Аутентификация в базе данных master (имена для входа и пользователи базы данных)

создать имя входа SQL Server

Управление базами данных и учетными записями в Базе данных SQL Azure

Создание пользователя базы данных



Проверка подлинности в пользовательской базе данных

Пользователи автономной базы данных: создание переносимой базы данных
Использование других идентификаторов

Учетные данные

Выполнение в контексте другого имени входа

Выполнение от имени другого пользователя базы данных
Учетные данные (компонент Database Engine)

Выполнение в контексте другого имени входа

Выполнение от имени другого пользователя базы данных

Авторизация: что вам можно делать?

Функция Ссылка
Предоставление, отмена и запрет разрешений

Защищаемые классы

Детализированные разрешения SQL Server

Детализированные разрешения базы данных
Иерархия разрешений (компонент Database Engine)

Разрешения

Защищаемые объекты

Приступая к работе с разрешениями Database Engine
Роли безопасности

Роли уровня сервера

Роли уровня базы данных
Роли уровня сервера

Роли уровня базы данных
Ограничение доступа к данным для выбранных элементов

Ограничение доступа к данным с помощью представлений и процедур

Безопасность на уровне строк

Динамическое маскирование данных

Подписанные объекты
Ограничение доступа к данным с помощью представлений и процедур

Безопасность на уровне строк (SQL Server)

Безопасность на уровне строк (база данных SQL Azure)

Динамическое маскирование данных (SQL Server)

Динамическое маскирование данных (база данных Azure SQL)

Подписанные объекты

Шифрование: хранение секретных данных

Функция Ссылка
Шифрование файлов

Шифрование BitLocker (уровень диска)

Шифрование NTFS (уровень папки)

Прозрачное шифрование данных (уровень файла)

Шифрование резервной копии (уровень файла)
BitLocker (уровень диска)

Шифрование NTFS (уровень папки)

Прозрачное шифрование данных (уровень файла)

Шифрование резервной копии (уровень файла)
Шифрование источников

Расширяемый модуль управления ключами

Ключи, хранящиеся в Azure Key Vault

Always Encrypted
Расширяемый модуль управление ключами

Ключи, хранящиеся в хранилище ключей Azure

Always Encrypted
Столбец, данные, & шифрование ключей

Шифрование по сертификату

Шифрование симметричным ключом

Шифрование асимметричным ключом

Шифрование с парольной фразой
Шифрование по сертификату

Шифрование асимметричным ключом

Шифрование симметричным ключом

Шифрование с парольной фразой

Шифрование столбца данных

Безопасность подключения: ограничения и обеспечение безопасности

Функция Ссылка
Защита с помощью брандмауэра

Параметры брандмауэра Windows

Параметры брандмауэра службы Azure

Параметры брандмауэра базы данных
Настройка брандмауэра Windows для доступа к компоненту Database Engine

Параметры брандмауэра базы данных Azure SQL

Параметры брандмауэра службы Azure
Шифрование данных при передаче

Принудительные подключения SSL

Необязательные подключения SSL
Включение зашифрованных соединений для ядра СУБД

Включение зашифрованных соединений для ядра СУБД, Сетевая безопасность

Поддержка TLS 1.2 для Microsoft SQL Server

Аудит: регистрация доступа

Функция Ссылка
Автоматизированный аудит

Аудит SQL Server (уровень сервера и базы данных)

Аудит База данных SQL (уровень базы данных)

Обнаружение угроз


Подсистема аудита SQL Server (Database Engine)

Аудит базы данных SQL

Приступая к работе с Расширенной защитой от угроз для базы данных SQL

Оценка уязвимостей базы данных SQL
Пользовательский аудит

Триггеры
Реализация пользовательского аудита: Создание DDL Triggers и DML Triggers
Соответствие

Соответствие требованиям
SQL Server: стандарт
Common Criteria

База данных SQL:
Центр управления безопасностью Microsoft Azure: соответствие функций нормативным требованиям

внедрение кода SQL;

Внедрение кода SQL — это атака, при которой производится вставка вредоносного кода в строки, передающиеся затем в Компонент Database Engine для анализа и выполнения. Любая процедура, создающая инструкции SQL, должна рассматриваться на предмет уязвимости к вставке небезопасного кода, поскольку SQL Server выполняет все получаемые синтаксически правильные запросы. Все системы базы данных подвержены риску атак путем внедрения кода SQL, и многие уязвимости представлены в приложении, которое запрашивает Компонент Database Engine. Можно предотвратить атаки путем внедрения кода SQL, используя хранимые процедуры и параметризованные команды, избегая использования динамического кода SQL и ограничив разрешения для всех пользователей. Дополнительные сведения см. в разделе SQL Injection.

Дополнительные ссылки для программистов приложений.

См. также:

Приступая к работе с разрешениями Database Engine
Обеспечение безопасности SQL Server
Субъекты (компонент Database Engine)
Сертификаты SQL Server и асимметричные ключи
Шифрование SQL Server
Настройка контактной зоны
Надежные пароли
Свойство базы данных TRUSTWORTHY
Функции и задачи компонента Database Engine
Защита интеллектуальной собственности SQL Server

Info iconТехническая поддержка