Metodtips för att skydda PaaS-databaser i Azure
I den här artikeln diskuterar vi en samling metodtips för säkerhet i Azure SQL Database och Azure Synapse Analytics för att skydda paaS-webb- och mobilprogram (plattform som en tjänst). Dessa metodtips härleds från vår erfarenhet av Azure och upplevelserna hos kunder som dig själv.
Azure SQL Database och Azure Synapse Analytics tillhandahåller en relationsdatabastjänst för dina Internetbaserade program. Nu ska vi titta på tjänster som hjälper dig att skydda dina program och data när du använder Azure SQL Database och Azure Synapse Analytics i en PaaS-distribution:
- Microsoft Entra-autentisering (i stället för SQL Server-autentisering)
- Azure SQL-brandvägg
- Transparent datakryptering (TDE)
Använda en central identitetslagringsplats
Azure SQL Database kan konfigureras för att använda en av två typer av autentisering:
SQL-autentisering använder ett användarnamn och lösenord. När du skapade servern för databasen angav du inloggningen "serveradministratör" med ett användarnamn och lösenord. Med dessa autentiseringsuppgifter kan du autentisera till valfri databas på servern som databasägare.
Microsoft Entra-autentisering använder identiteter som hanteras av Microsoft Entra-ID och stöds för hanterade och integrerade domäner. Om du vill använda Microsoft Entra-autentisering måste du skapa en annan serveradministratör som kallas "Microsoft Entra-administratör", som tillåts administrera Microsoft Entra-användare och -grupper. Den här administratören kan också utföra alla åtgärder som en vanlig serveradministratören kan.
Microsoft Entra-autentisering är en mekanism för att ansluta till Azure SQL Database och Azure Synapse Analytics med hjälp av identiteter i Microsoft Entra-ID. Microsoft Entra-ID är ett alternativ till SQL Server-autentisering så att du kan stoppa spridningen av användaridentiteter mellan databasservrar. Med Microsoft Entra-autentisering kan du centralt hantera identiteter för databasanvändare och andra Microsoft-tjänster på en central plats. Central ID-hantering ger en enda plats för hantering av databasanvändare och förenklar behörighetshanteringen.
Fördelar med att använda Microsoft Entra-ID i stället för SQL-autentisering
- Tillåter lösenordsrotation på en enda plats.
- Hanterar databasbehörigheter med hjälp av externa Microsoft Entra-grupper.
- Eliminerar lagring av lösenord genom att aktivera integrerad Windows-autentisering och andra former av autentisering som stöds av Microsoft Entra-ID.
- Använder inneslutna databasanvändare för att autentisera identiteter på databasnivå.
- Stöder tokenbaserad autentisering för program som ansluter till SQL Database.
- Stöder domänfederation med Active Directory Federation Services (AD FS) (ADFS) eller intern användar-/lösenordsautentisering för ett lokalt Microsoft Entra-ID utan domänsynkronisering.
- Stöder anslutningar från SQL Server Management Studio som använder Active Directory Universal Authentication, vilket inkluderar Multi-Factor Authentication (MFA). MFA innehåller stark autentisering med en rad enkla verifieringsalternativ. Verifieringsalternativen är telefonsamtal, sms, smartkort med pin-kod eller mobilappsavisering. Mer information finns i Universell autentisering med SQL Database och Azure Synapse Analytics.
Mer information om Microsoft Entra-autentisering finns i:
- Använda Microsoft Entra-autentisering för autentisering med SQL Database, Managed Instance eller Azure Synapse Analytics
- Autentisering till Azure Synapse Analytics
- Stöd för tokenbaserad autentisering för Azure SQL Database med Microsoft Entra-autentisering
Kommentar
Information om hur du ser till att Microsoft Entra-ID passar din miljö finns i Microsoft Entra-funktioner och begränsningar.
Begränsa åtkomst baserat på IP-adress
Du kan skapa brandväggsregler som anger intervall med godkända IP-adresser. Dessa regler kan riktas på både server- och databasnivå. Vi rekommenderar att du använder brandväggsregler på databasnivå när det är möjligt för att förbättra säkerheten och göra databasen mer portabel. Brandväggsregler på servernivå används bäst för administratörer och när du har många databaser som har samma åtkomstkrav men du inte vill ägna tid åt att konfigurera varje databas individuellt.
SQL Database-standardbegränsningar för ip-adress för källa tillåter åtkomst från valfri Azure-adress, inklusive andra prenumerationer och klientorganisationer. Du kan begränsa detta till att endast tillåta att dina IP-adresser får åtkomst till instansen. Även med sql-brandväggen och IP-adressbegränsningar krävs stark autentisering. Se rekommendationerna som gjordes tidigare i den här artikeln.
Mer information om Azure SQL Firewall och IP-begränsningar finns i:
- Åtkomstkontroll för Azure SQL Database och Azure Synapse Analytics
- Brandväggsregler för Azure SQL Database och Azure Synapse Analytics
Kryptera data i vila
transparent datakryptering (TDE) är aktiverat som standard. TDE krypterar transparent SQL Server, Azure SQL Database och Azure Synapse Analytics-data och loggfiler. TDE skyddar mot en kompromiss av direkt åtkomst till filerna eller deras säkerhetskopia. På så sätt kan du kryptera vilande data utan att ändra befintliga program. TDE bör alltid vara aktiverat. Detta hindrar dock inte en angripare från att använda den normala åtkomstsökvägen. TDE ger möjlighet att följa många lagar, förordningar och riktlinjer som fastställts i olika branscher.
Azure SQL hanterar viktiga problem för TDE. Precis som med TDE måste lokal särskild försiktighet iakttas för att säkerställa återställning och vid flytt av databaser. I mer avancerade scenarier kan nycklarna hanteras explicit i Azure Key Vault via utökningsbar nyckelhantering. Se Aktivera TDE på SQL Server med HJÄLP av EKM. På så sätt kan du även använda BYOK (Bring Your Own Key) via FUNKTIONEN BYOK för Azure Key Vaults.
Azure SQL tillhandahåller kryptering för kolumner via Always Encrypted. Detta tillåter endast auktoriserade program åtkomst till känsliga kolumner. Med den här typen av kryptering begränsas SQL-frågor för krypterade kolumner till likhetsbaserade värden.
Kryptering på programnivå bör också användas för selektiva data. Problem med datasuveränitet kan ibland minimeras genom att kryptera data med en nyckel som lagras i rätt land/region. Detta förhindrar även oavsiktlig dataöverföring från att orsaka ett problem eftersom det är omöjligt att dekryptera data utan nyckeln, förutsatt att en stark algoritm används (till exempel AES 256).
Du kan använda ytterligare försiktighetsåtgärder för att skydda databasen, till exempel att utforma ett säkert system, kryptera konfidentiella tillgångar och skapa en brandvägg runt databasservrarna.
Nästa steg
Den här artikeln introducerade dig för en samling metodtips för SQL Database- och Azure Synapse Analytics-säkerhet för att skydda dina PaaS-webb- och mobilprogram. Mer information om hur du skyddar dina PaaS-distributioner finns i: