Säkerhetsöverväganden för SQL Server på Azure Virtual Machines

  • Artikel
  • 5 minuter för att läsa

GÄLLER FÖR: SQL Server på virtuella Azure-datorer

Det här avsnittet innehåller allmänna säkerhetsriktlinjer som hjälper dig att upprätta säker åtkomst till SQL Server instanser på en virtuell Azure-dator (VM).

Azure uppfyller flera branschbestämmelser och standarder som gör att du kan skapa en kompatibel lösning med SQL Server körs på en virtuell dator. Information om regelefterlevnad med Azure finns i Azure Säkerhetscenter.

Förutom de metoder som beskrivs i det här avsnittet rekommenderar vi att du granskar och implementerar rekommenderade säkerhetsmetoder från både traditionella lokala säkerhetsmetoder och metodtips för säkerhet för virtuella datorer.

Microsoft Defender för SQL

Microsoft Defender for SQL aktiverar säkerhetsfunktioner i Microsoft Defender för molnet, till exempel sårbarhetsbedömningar och säkerhetsaviseringar. Mer information finns i aktivera Microsoft Defender SQL för mer information.

Portalhantering

När du har registrerat din virtuella SQL Server-dator med SQL IaaS-tilläggetkan du konfigurera ett antal säkerhetsinställningar med hjälp av resursen för virtuella SQL-datorer i Azure Portal, till exempel aktivera Azure Key Vault-integrering eller SQL-autentisering.

När du har aktiverat Microsoft Defender för SQL kan du dessutom visa Defender for Cloud-funktioner direkt i resursen för virtuella SQL-datorer i Azure Portal, till exempel sårbarhetsbedömningar och säkerhetsaviseringar.

Mer information finns SQL Server hantera virtuella datorer i portalen.

Azure Key Vault-integrering

Det finns flera SQL Server för kryptering, till exempel transparent datakryptering (TDE), kryptering på kolumnnivå (CLE) och säkerhetskopieringskryptering. Dessa typer av kryptering kräver att du hanterar och lagrar de kryptografiska nycklar som du använder för kryptering. Tjänsten Azure Key Vault är utformad för att förbättra säkerheten och hanteringen av dessa nycklar på en säker plats med hög tillgång. Med SQL Server Connector kan SQL Server använda dessa nycklar från Azure Key Vault. Mer information finns i de andra artiklarna i den här serien: Checklista, VM-storlek, Storage, HADR-konfiguration,Samla in baslinje.

Mer Azure Key Vault finns i Azure Key Vault integrering.

Åtkomstkontroll

När du skapar SQL Server virtuell dator bör du tänka igenom hur du noggrant kontrollerar vem som har åtkomst till datorn och SQL Server. I allmänhet bör du göra följande:

  • Begränsa åtkomsten till SQL Server till de program och klienter som behöver den.
  • Följ metodtipsen för att hantera användarkonton och lösenord.

Följande avsnitt innehåller förslag på hur du kan tänka igenom dessa punkter.

Säkra anslutningar

När du skapar en SQL Server virtuell dator med en galleriavbildning ger alternativet SQL Server-anslutning dig möjlighet att välja Lokal (inuti VM), Privat (inom Virtual Network) eller Offentligt (Internet).

SQL Server anslutning

För bästa säkerhet väljer du det mest restriktiva alternativet för ditt scenario. Om du till exempel kör ett program som har åtkomst SQL Server på samma virtuella dator är Lokalt det säkraste valet. Om du kör ett Azure-program som kräver åtkomst till SQL Server skyddar Private kommunikationen till SQL Server inom det angivna virtuella Azure-nätverket. Om du behöver offentlig (Internet)-åtkomst till den virtuella SQL Server-datorn följer du andra metodtips i det här avsnittet för att minska attackytan.

De valda alternativen i portalen använder inkommande säkerhetsregler på den virtuella datorns nätverkssäkerhetsgrupp (NSG) för att tillåta eller neka nätverkstrafik till den virtuella datorn. Du kan ändra eller skapa nya inkommande NSG-regler för att tillåta trafik SQL Server port (standard: 1433). Du kan också ange specifika IP-adresser som tillåts kommunicera via den här porten.

Regler för nätverkssäkerhetsgrupp

Förutom NSG-regler för att begränsa nätverkstrafik kan du även använda Windows-brandväggen på den virtuella datorn.

Om du använder slutpunkter med den klassiska distributionsmodellen tar du bort alla slutpunkter på den virtuella datorn om du inte använder dem. Anvisningar om hur du använder ACL:er med slutpunkter finns i Hantera ACL:en på en slutpunkt. Detta är inte nödvändigt för virtuella datorer som använder Azure Resource Manager.

Överväg slutligen att aktivera krypterade anslutningar för instansen av SQL Server Database Engine på din virtuella Azure-dator. Konfigurera SQL serverinstansen med ett signerat certifikat. Mer information finns i Enable Encrypted Connections to the Database Engine (Aktivera krypterade anslutningar till databasmotorn) och Connection String Syntax (Syntax för anslutningssträng).

Kryptering

Hanterade diskar erbjuder Server-Side kryptering och Azure Disk Encryption. Kryptering på serversidan ger kryptering i vila och skyddar dina data så att de uppfyller organisationens säkerhets- och efterlevnadsåtaganden. Azure Disk Encryption antingen BitLocker eller DM-Crypt och integreras med Azure Key Vault för att kryptera både operativsystemet och datadiskarna.

Port som inte är standard

Som standard lyssnar SQL Server på en känd port, 1433. För ökad säkerhet konfigurerar du SQL Server att lyssna på en port som inte är standard, till exempel 1401. Om du etablerar en SQL Server-galleriavbildning i Azure Portal kan du ange den här porten SQL Server bladet med inställningar.

Om du vill konfigurera detta efter etableringen har du två alternativ:

  • För Resource Manager virtuella datorer kan du välja Säkerhet från den SQL virtuella datorresursen. Detta ger ett alternativ för att ändra porten.

    TCP-portändring i portalen

  • För klassiska virtuella datorer eller SQL Server virtuella datorer som inte har etablerats med portalen kan du konfigurera porten manuellt genom att fjärransluta till den virtuella datorn. Konfigurationsstegen finns i Konfigurera en server för att lyssna på en specifik TCP-port. Om du använder den här manuella tekniken måste du också lägga till en Windows Firewall-regel som tillåter inkommande trafik på TCP-porten.

Viktigt

Att ange en port som inte är standard är en bra idé om SQL Server port är öppen för offentliga Internetanslutningar.

När SQL Server lyssnar på en port som inte är standard måste du ange porten när du ansluter. Tänk dig till exempel ett scenario där serverns IP-adress är 13.55.255.255 och SQL Server lyssnar på port 1401. Om du vill SQL Server anger du i 13.55.255.255,1401 anslutningssträngen.

Hantera konton

Du vill inte att angripare enkelt ska gissa kontonamn eller lösenord. Använd följande tips som hjälp:

  • Skapa ett unikt lokalt administratörskonto som inte har namnet Administratör.

  • Använd komplexa starka lösenord för alla dina konton. Mer information om hur du skapar ett starkt lösenord finns i artikeln Skapa ett starkt lösenord.

  • Som standard väljer Azure Windows autentisering under SQL Server installation av virtuella datorer. Sa-inloggningen är därför inaktiverad och ett lösenord tilldelas av konfigurationen. Vi rekommenderar att SA-inloggningen inte ska användas eller aktiveras. Om du måste ha en SQL inloggning använder du någon av följande strategier:

    • Skapa ett SQL-konto med ett unikt namn som har sysadmin-medlemskap. Du kan göra detta från portalen genom att aktivera SQL autentisering under etableringen.

      Tips

      Om du inte aktiverar SQL-autentisering under etableringen måste du manuellt ändra autentiseringsläget till SQL Server och Windows autentiseringsläge. Mer information finns i Ändra serverautentiseringsläge.

    • Om du måste använda SA-inloggningen aktiverar du inloggningen efter etableringen och tilldelar ett nytt starkt lösenord.

Nästa steg

Om du även är intresserad av metodtips för prestanda kan du gå till Metodtips för prestanda för SQL Server på Azure Virtual Machines.

Andra avsnitt som rör körning av SQL Server virtuella Azure-datorer finns i SQL Server översikt över Azure Virtual Machines Azure. Om du har frågor om virtuella SQL Server-datorer kan du läsa Vanliga frågor.

Mer information finns i de andra artiklarna i den här serien: