Metodtips för att skydda PaaS-databaser i Azure

I den här artikeln går vi igenom en samling säkerhetsmetoder för Azure SQL Database och Azure Synapse Analytics för att skydda paaS-webb- och mobilprogram (plattform som en tjänst). De här bästa metoderna härleds från vår erfarenhet av Azure och erfarenheter från kunder som dig själv.

Azure SQL Database och Azure Synapse Analytics tillhandahåller en relationsdatabastjänst för dina Internetbaserade program. Nu ska vi titta på tjänster som hjälper dig att skydda dina program och data när du använder Azure SQL Database och Azure Synapse Analytics i en PaaS-distribution:

  • Azure Active Directory-autentisering (i stället för SQL Server-autentisering)
  • Azure SQL-brandvägg
  • Transparent datakryptering (TDE)

Använda en central identitetslagringsplats

Azure SQL Database kan konfigureras för att använda en av två typer av autentisering:

  • SQL-autentisering använder användarnamn och lösenord. När du skapade servern för databasen angav du inloggningen "serveradministratör" med ett användarnamn och lösenord. Med dessa autentiseringsuppgifter kan du autentisera till valfri databas på den servern som databasägare.

  • Azure Active Directory-autentisering använder identiteter som hanteras av Azure Active Directory och stöds för hanterade och integrerade domäner. Om du vill använda Azure Active Directory-autentisering måste du skapa en annan serveradministratör som kallas "Azure AD-administratör", som tillåts administrera Azure AD-användare och -grupper. Den här administratören kan också utföra alla åtgärder som en vanlig serveradministratören kan.

Azure Active Directory-autentisering är en mekanism för att ansluta till Azure SQL Database och Azure Synapse Analytics med hjälp av identiteter i Azure Active Directory (AD). Azure AD är ett alternativ till SQL Server-autentisering så att du kan stoppa spridningen av användaridentiteter mellan databasservrar. Med Azure AD-autentisering kan du centralt hantera databasanvändares och andra Microsoft-tjänsters identiteter på en central plats. Central ID-hantering ger en enda plats för hantering av databasanvändare och förenklar behörighetshanteringen.

Fördelar med att använda Azure AD i stället för SQL-autentisering

  • Tillåter lösenordsrotation på en enda plats.
  • Hanterar databasbehörigheter med hjälp av externa Azure AD-grupper.
  • Eliminerar lagring av lösenord genom att aktivera integrerad Windows-autentisering och andra former av autentisering som stöds av Azure AD.
  • Använder oberoende databasanvändare för att autentisera identiteter på databasnivå.
  • Stöder tokenbaserad autentisering för program som ansluter till SQL Database.
  • Stöder domänfederation med Active Directory Federation Services (ADFS) eller intern användar-/lösenordsautentisering för en lokal Azure AD utan domänsynkronisering.
  • Stöder anslutningar från SQL Server Management Studio som använder Active Directory Universal Authentication, som inkluderar Multi-Factor Authentication (MFA). I MFA används stark autentisering via en rad enkla verifieringsalternativ – telefonsamtal, SMS, smarta kort med PIN-kod eller avisering i mobilappen. Mer information finns i Universell autentisering med SQL Database och Azure Synapse Analytics.

Mer information om Azure AD-autentisering finns i:

Anteckning

Information om hur du ser till att Azure Active Directory passar din miljö finns i Azure AD-funktioner och begränsningar.

Begränsa åtkomst baserat på IP-adress

Du kan skapa brandväggsregler som anger intervall med godkända IP-adresser. Dessa regler kan riktas mot både server- och databasnivåer. Vi rekommenderar att du använder brandväggsregler på databasnivå när det är möjligt för att förbättra säkerheten och göra databasen mer portabel. Brandväggsregler på servernivå används bäst för administratörer och när du har många databaser som har samma åtkomstkrav, men du inte vill ägna tid åt att konfigurera varje databas individuellt.

SQL Database-standardbegränsningar för ip-adress för källa tillåter åtkomst från valfri Azure-adress, inklusive andra prenumerationer och klientorganisationer. Du kan begränsa detta till att endast tillåta att dina IP-adresser får åtkomst till instansen. Även med begränsningarna för SQL-brandväggen och IP-adressen behövs fortfarande stark autentisering. Se rekommendationerna som gjordes tidigare i den här artikeln.

Mer information om Azure SQL Firewall och IP-begränsningar finns i:

Kryptera data i vila

Transparent datakryptering (TDE) är aktiverat som standard. TDE krypterar transparent SQL Server, Azure SQL Database och Azure Synapse Analytics-data och loggfiler. TDE skyddar mot en komprometterande direkt åtkomst till filerna eller deras säkerhetskopia. På så sätt kan du kryptera vilande data utan att ändra befintliga program. TDE bör alltid vara aktiverat. Detta stoppar dock inte en angripare med hjälp av den normala åtkomstsökvägen. TDE ger möjlighet att följa många lagar, förordningar och riktlinjer som fastställts i olika branscher.

Azure SQL hanterar viktiga problem för TDE. Precis som med TDE måste lokal särskild försiktighet iakttas för att säkerställa återställning och vid flytt av databaser. I mer avancerade scenarier kan nycklarna hanteras explicit i Azure Key Vault via utökningsbar nyckelhantering. Se Aktivera TDE på SQL Server med EKM. På så sätt kan du också använda BYOK (Bring Your Own Key) via BYOK-funktionen för Azure Key Vaults.

Azure SQL tillhandahåller kryptering för kolumner via Always Encrypted. Detta tillåter endast auktoriserade program åtkomst till känsliga kolumner. Med den här typen av kryptering begränsas SQL-frågor för krypterade kolumner till likhetsbaserade värden.

Kryptering på programnivå bör också användas för selektiva data. Problem med datasuveränitet kan ibland minimeras genom att kryptera data med en nyckel som lagras i rätt land/region. Detta förhindrar även oavsiktlig dataöverföring från att orsaka ett problem eftersom det är omöjligt att dekryptera data utan nyckeln, förutsatt att en stark algoritm används (till exempel AES 256).

Du kan använda ytterligare försiktighetsåtgärder för att skydda databasen, till exempel att utforma ett säkert system, kryptera konfidentiella tillgångar och skapa en brandvägg runt databasservrarna.

Nästa steg

Den här artikeln introducerade dig för en samling säkerhetstips för SQL Database och Azure Synapse Analytics för att skydda dina PaaS-webb- och mobilprogram. Mer information om hur du skyddar dina PaaS-distributioner finns i: