Azure SQL Veritabanı ve Azure Yönetilen Örneği ile SQL gereksinimlerini ele SQL Playbook

Uygulama hedefi: Azure SQL Veritabanı Azure SQL yönetilen örneği

Bu makalede, yaygın güvenlik gereksinimlerini çözmeye yönelik en iyi yöntemler velanmıştır. Tüm gereksinimler tüm ortamlar için geçerli değildir ve hangi özelliklerin uygulandığını veritabanınıza ve güvenlik takımınıza danışmanız gerekir.

Yaygın güvenlik gereksinimlerini çözme

Bu belge, Azure SQL Veritabanı ve Azure Yönetilen Örneği kullanarak yeni veya mevcut uygulamalar için genel güvenlik SQL rehberlik sağlar. Üst düzey güvenlik alanlarına göre düzenlenmiştir. Belirli tehditleri ele alan genel güvenlik tehditleri ve olası risk azaltmaları bölümüne bakın. Sunulan önerilerden bazıları uygulamaları şirket içi azure'a geçirme sırasında geçerli olsa da, geçiş senaryoları bu belgenin odak noktası değildir.

Azure SQL Veritabanı kılavuzda ele alan dağıtım teklifleri

• Azure SQL Veritabanı: sunucularda tek veritabanları ve elastik havuzlar
• Azure SQL Yönetilen Örnek

Bu kılavuzda yer alan dağıtım teklifleri

• Azure Synapse Analytics
• Azure SQL VM'leri (IaaS)
• SQL Server

Hedef kitle

Bu kılavuzun hedef kitleleri, müşterilerin güvenli bir şekilde nasıl güvenli hale Azure SQL Veritabanı. Bu en iyi yöntem makalesi ile ilgilenen roller şunlardır, ancak bunlarla sınırlı değildir:

• Güvenlik Mimarları
• Güvenlik Yöneticileri
• Uyumluluk Görevlileri
• Gizlilik Görevlileri
• Güvenlik Mühendisleri

Bu kılavuzu kullanma

Bu belge, mevcut güvenlik belgelerimizin bir Azure SQL Veritabanı amaçlanmıştır.

Aksi belirtilmedikçe, ilgili hedefe veya gereksinime ulaşmak için her bölümde listelenen tüm en iyi yöntemleri izlemenizi öneririz. Belirli güvenlik uyumluluk standartlarını veya en iyi yöntemleri karşılamak için önemli mevzuat uyumluluğu denetimleri, gereksinimler veya hedefler bölümünde (varsa) listelenir. Bunlar, bu yazıda başvurulan güvenlik standartları ve yönetmeliklerdir:

• FedRAMP: AC-04, AC-06
• SOC:CM-3, SDL-3
• ISO/IEC 27001:Access Control, Şifreleme
• Microsoft Operasyonel Güvenlik Güvencesi (OSA) uygulamaları:Uygulama #1-6 ve #9
• NIST Özel Yayını 800-53 Güvenlik Denetimleri:AC-5, AC-6
• PCI DSS:6.3.2, 6.4.2

Burada listelenen önerileri ve en iyi yöntemleri güncelleştirmeyi planlıyoruz. Bu makalenin alt kısmında yer alan Geri Bildirim bağlantısını kullanarak bu belge için giriş veya düzeltmeler sekleyebilirsiniz.

Kimlik Doğrulaması

Kimlik doğrulaması, kullanıcının iddia ettiği kişi olduğunu kanıtlama işlemidir. Azure SQL Veritabanı ve SQL Yönetilen Örnek iki tür kimlik doğrulamasını destekler:

• SQL kimlik doğrulaması
• Azure Active Directory kimlik doğrulaması

Kimlikler için merkezi yönetim

Merkezi kimlik yönetimi aşağıdaki avantajları sunar:

• Sunucularda, veritabanlarında ve yönetilen örneklerde oturum açma bilgilerini yinelemeden grup hesaplarını yönetin ve kullanıcı izinlerini denetleyin.
• Basitleştirilmiş ve esnek izin yönetimi.
• Uygulamaların büyük ölçekte yönetimi.

Uygulama:

• Merkezi Azure Active Directory yönetimi için Azure Active Directory (Azure AD) kimlik doğrulamasını kullanın.

En iyi yöntemler:

• Bir Azure AD kiracısı oluşturun ve insan kullanıcıları temsil eden kullanıcılar oluşturun ve uygulamaları, hizmetleri ve otomasyon araçlarını temsil eden hizmet sorumluları oluşturun. Hizmet sorumluları, Windows Linux'ta hizmet hesaplarına eşdeğerdir.

• Grup ataması yoluyla Azure AD sorumlularına kaynaklara erişim hakları atama: Azure AD grupları oluşturma, gruplara erişim izni ver ve gruplara tek tek üyeler ekleme. Veritabanınız içinde, Azure AD gruplarınızı eşleyen tek veritabanı kullanıcıları oluşturun. Veritabanı içinde izin atamak için, Azure AD gruplarınız ile ilişkili kullanıcıları uygun izinlerle veritabanı rollerine girin.

  • SQL ile kimlik doğrulaması yapılandırma ve Azure Active Directory yönetme ve SQL ile kimlik doğrulaması için Azure AD'yi kullanma makalelerini SQL.

  Not

  Yönetilen SQL'de, ana veritabanında Azure AD sorumluları ile eşlene oturum açma bilgileri de oluşturabilirsiniz. Bkz. CREATE LOGIN (Transact-SQL).

• Azure AD gruplarının kullanımı izin yönetimini ve hem grup sahibini hem de kaynak sahibi gruba üye ekleyebilir/gruptan üye kaldırabilir.

• Her sunucu veya yönetilen örnek için Azure AD yöneticileri için ayrı bir grup oluşturun.

  • Sunucunuz için bir Azure Active Directory yöneticisi sağlama makalesine bakın.

• Azure AD denetim etkinliği raporlarını kullanarak Azure AD grup üyeliği değişikliklerini izleme.

• Yönetilen örnek için, Azure AD yöneticisi oluşturmak için ayrı bir adım gerekir.

  • Yönetilen örneğinz için bir Azure Active Directory yöneticisi sağlama makalesine bakın.

Azure AD Multi-Factor Authentication

Belirtilenler: OSA Uygulaması 2, ISO Access Control (AC)

Azure AD Multi-Factor Authentication, birden fazla kimlik doğrulaması biçimi gerektirerek ek güvenlik sağlar.

Uygulama:

• Koşullu Erişim kullanarak Azure AD'de Multi-Factor Authentication'ı etkinleştirin ve etkileşimli kimlik doğrulaması kullanın.

• Alternatif olarak, Azure AD veya AD etki alanının tamamı için Multi-Factor Authentication'ın etkinleştirebilirsiniz.

En iyi yöntemler:

• Azure AD'de Koşullu Erişimi etkinleştirin (Premium gerekir).

  • Azure AD'de Koşullu Erişim makalesine bakın.

• Azure AD Koşullu Erişim'i kullanarak Azure AD grupları oluşturun ve seçili gruplar için Multi-Factor Authentication ilkesi etkinleştirin.

  • Koşullu Erişim Dağıtımını Planlama makalesine bakın.

• Multi-Factor Authentication, Azure AD'nin tamamı veya Azure AD ile tüm Active Directory federasyonları için etkinleştirilebilir.

• Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği için Azure AD Etkileşimli kimlik doğrulama modunu kullanın. Burada etkileşimli olarak parola istenir ve ardından Multi-Factor Authentication kullanılır:

  • SSMS'de Evrensel Kimlik Doğrulaması kullanın. Azure SQL Veritabanı, SQL Yönetilen Örneği, Azure Synapse (Multi-Factor Authentication için SSMS desteği) ile Multi-Factor Azure ADkimlik doğrulamasını kullanma makalesine bakın.
  • SQL Server Veri Araçları (SSDT) ile desteklenen Etkileşimli Kimlik Doğrulamasını kullanın. SQL Server Veri Araçları (SSDT) için Azure Active Directory makalesine bakın.
  • Multi-Factor Authentication SQL destekleyen diğer güvenlik araçları kullanın.
    • Veritabanını dışarı aktarma/ayıklama/dağıtma için SSMS Sihirbazı desteği
    • sqlpackage.exe: '/ua' seçeneği
    • sqlcmd Yardımcı Programı:seçenek -G (etkileşimli)
    • bcp Yardımcı Programı:seçenek -G (etkileşimli)

• Multi-Factor Authentication desteğiyle etkileşimli Azure SQL Veritabanı kullanarak SQL azure SQL yönetilen örneğine bağlanmak için uygulamalarınızı uygulama.

  • Azure AD Multi-Factor Authentication Bağlan Azure SQL Veritabanı için aşağıdaki makaleye bakın.

  Not

  Bu kimlik doğrulama modu, kullanıcı tabanlı kimlikler gerektirir. Tek tek Azure AD kullanıcı kimlik doğrulamasını atlayan bir güvenilen kimlik modeli (örneğin, Azure kaynakları için yönetilen kimlik kullanma) kullanılıyorsa, Multi-Factor Authentication geçerli değildir.

Kullanıcılar için parola tabanlı kimlik doğrulaması kullanımını en aza indirme

Bahsedilen: OSA uygulaması #4, ISO Access Control (AC)

Parola tabanlı kimlik doğrulama yöntemleri, daha zayıf bir kimlik doğrulama biçimidir. Kimlik bilgileri tehlikeye girebilir veya yanlışlıkla verilebilir.

Nasıl uygulanır:

• Parolaların kullanımını ortadan kaldıran bir Azure AD Tümleşik kimlik doğrulaması kullanın.

En iyi uygulamalar:

• Windows kimlik bilgilerini kullanarak çoklu oturum açma kimlik doğrulaması kullanın. şirket içi AD etki alanını azure ad ile federasyonun ve tümleşik Windows kimlik doğrulaması kullanın (azure ad ile etki alanına katılmış makineler için).
  • Azure AD Tümleşik kimlik doğrulaması Için SSMS desteğimakalesine bakın.

Uygulamalar için parola tabanlı kimlik doğrulama kullanımını en aza indirme

Bahsedilen: OSA uygulaması #4, ISO Access Control (AC)

Nasıl uygulanır:

• Azure yönetilen kimliğini etkinleştirin. Tümleşik veya sertifika tabanlı kimlik doğrulaması da kullanabilirsiniz.

En iyi uygulamalar:

• Azure kaynakları için Yönetilen kimliklerkullanın.

  • Sistem tarafından atanan yönetilen kimlik
  • Kullanıcı tarafından atanan yönetilen kimlik
  • yönetilen kimliğe sahip Azure App Service Azure SQL Veritabanı kullan (kod değişikliği olmadan)

• Bir uygulama için sertifika tabanlı kimlik doğrulaması kullanın.

  • Bu kod örneğinebakın.

• Tümleşik Federasyon etki alanı ve etki alanına katılmış makine için Azure AD kimlik doğrulamasını kullanın (yukarıdaki bölüme bakın).

  • Tümleşik kimlik doğrulaması için örnek uygulamayabakın.

Parolaları ve gizli dizileri koruma

Parolaların kaçınılmaz olduğu durumlarda, bunların güvenli olduklarından emin olun.

Nasıl uygulanır:

• Parolaları ve gizli dizileri depolamak için Azure Key Vault kullanın. uygun olduğunda, Azure AD kullanıcıları ile Azure SQL Veritabanı için Multi-Factor Authentication kullanın.

En iyi uygulamalar:

• Parola veya gizli dizileri önleme mümkün değilse, Kullanıcı parolalarını ve uygulama gizli dizilerini Azure Key Vault depolayın ve Key Vault erişim ilkeleri aracılığıyla erişimi yönetin.

• Çeşitli uygulama geliştirme çerçeveleri, uygulamadaki gizli dizileri korumak için çerçeveye özgü mekanizmalar de sunabilir. örneğin: çekirdek uygulama ASP.NET.

eski uygulamalar için SQL kimlik doğrulaması kullan

SQL kimlik doğrulaması, kullanıcı adı ve parola kullanarak Azure SQL Veritabanı veya SQL yönetilen örneğe bağlanırken bir kullanıcının kimlik doğrulamasını ifade eder. Her bir sunucuda veya yönetilen örnekte ve her bir veritabanında oluşturulan bir kullanıcı için bir oturum açma gerekir.

Nasıl uygulanır:

• SQL kimlik doğrulaması kullanın.

En iyi uygulamalar:

• Sunucu veya örnek Yöneticisi olarak, oturum açma bilgileri ve kullanıcılar oluşturun. İçerilen veritabanı kullanıcıları parolalarla birlikte kullanmadıkça, tüm parolalar ana veritabanında depolanır.
  • yönetilen örnek ve Azure Synapse Analytics SQL SQL Veritabanı için veritabanı erişimini denetleme ve vermemakalesine bakın.

Erişim yönetimi

erişim yönetimi (yetkilendirme olarak da bilinir), yetkili kullanıcıların Azure SQL Veritabanı veya yönetilen örneği SQL erişim ve ayrıcalıklarını denetleme ve yönetme işlemidir.

En az ayrıcalık ilkesini uygula

Bahsedilen: Fedrampa denetimleri AC-06, NıST: AC-6, OSA uygulama #3

En az ayrıcalık ilkesi, kullanıcıların görevlerini tamamlaması için gerekenden daha fazla ayrıcalığa sahip olmaması gerektiğini belirtir. Daha fazla bilgi için, yalnızca yeterli yönetimmakalesine bakın.

Nasıl uygulanır:

Gerekli görevleri gerçekleştirmek için yalnızca gerekli izinleri atayın:

• SQL veritabanlarında:

  • Ayrıntılı izinleri ve Kullanıcı tanımlı veritabanı rollerini (veya yönetilen örnekteki sunucu rollerini) kullanın:
    1. Gerekli rolleri oluşturma
       • ROL OLUŞTUR
       • SUNUCU ROLÜ OLUŞTUR
    2. Gerekli kullanıcıları oluşturun
       • KULLANıCı OLUŞTUR
    3. Rollere üye olarak Kullanıcı ekleme
       • ROLÜ DEĞIŞTIR
       • SUNUCU ROLÜNÜ DEĞIŞTIR
    4. Ardından rollere izinler atayın.
       • GRANT
  • Kullanıcıları gereksiz rollere atamadığınızdan emin olun.

• Azure Resource Manager:

  • Kullanılabilir veya Azure özel rolleri yerleşik roller kullanın ve gerekli izinleri atayın.
    • Azure yerleşik rolleri
    • Özel Azure rolleri

En iyi uygulamalar:

Aşağıdaki en iyi yöntemler isteğe bağlıdır, ancak güvenlik stratejinizin daha iyi yönetilebilirlik ve desteklenebilirliği ile sonuçlanır:

• Mümkünse, mümkün olan en az sayıda izin ile başlayın ve gerçek bir zorunludur (ve gerekçe) varsa izinleri bir tane ekleyerek bir tane, zıt yaklaşımdan farklı olarak bir adım adım.

• Bireysel kullanıcılara izin atamayı engellemez. Bunun yerine rolleri (veritabanı veya sunucu rolleri) sürekli olarak kullanın. Roller, raporlama ve sorun giderme izinlerinin büyük ölçüde sağlanmasına yardımcı olur. (Azure RBAC yalnızca roller aracılığıyla izin atamasını destekler.)

• Gerekli izinlere sahip özel roller oluşturup kullanın. Uygulamada kullanılan tipik roller:

  • Güvenlik dağıtımı
  • Yönetici
  • Geliştirici
  • Destek personeli
  • Denetleyici
  • Otomatikleştirilmiş süreçler
  • Son kullanıcı

• Yalnızca rollerin izinleri Kullanıcı için gerekli izinlere tam olarak eşleşiyorsa yerleşik rolleri kullanın. Kullanıcıları birden çok role atayabilirsiniz.

• Veritabanı Altyapısındaki izinlerin aşağıdaki kapsamlar içinde uygulanabileceğini unutmayın (kapsam daha küçük olduğunda, verilen izinlerin ne kadar küçük olduğunu):

  • Azure 'da sunucu (ana veritabanındaki özel roller)
  • Veritabanı
  • Şema
    • Bir veritabanı içinde izinler vermek için şemaları kullanmak en iyi uygulamadır. (ayrıca bkz. şema-tasarım: güvenlik göz önünde bulundurularak şema tasarımı için Öneriler)
  • Nesne (tablo, görünüm, yordam, vb.)

  Not

  Bu düzey, genel uygulamaya gereksiz karmaşıklık eklediğinden nesne düzeyinde izinlerin uygulanması önerilmez. Nesne düzeyi izinleri kullanmaya karar verirseniz, bunlar açıkça açıklanmalıdır. Aynı nedenlerden dolayı daha az recommendable olan sütun düzeyi izinler için de geçerlidir. Ayrıca, varsayılan olarak bir tablo düzeyinde reddetme , sütun DÜZEYINDE bir izni geçersiz kılmaz. Bu, ortak ölçütler uyumluluk sunucusu yapılandırmasının etkinleştirilmesini gerektirir.

• Çok fazla izin için test etmek üzere güvenlik açığı değerlendirmesi (VA) kullanarak düzenli denetimler gerçekleştirin.

Görevlerin ayrılmasını uygulama

Bahsedilen: Fedrampa: AC-04, NıST: AC-5, ISO: A. 6.1.2, PCI 6.4.2, SOC: CM-3, SDL-3

Görev ayrımı olarak da adlandırılan görevlerin ayrılması, hassas görevleri farklı kullanıcılara atanmış birden çok göreve bölme gereksinimini açıklar. Görev ayrımı veri ihlallerini önlemeye yardımcı olur.

Uygulama:

• Gerekli Görev Ayrımı düzeyini belirleme. Örnekler:

  • Geliştirme/Test ve Üretim ortamları arasında
  • Güvenlik açısından hassas görevler ve Veritabanı Yöneticisi (DBA) yönetim düzeyi görevleri ile geliştirici görevleri karşılaştırması.
    • Örnekler: Denetçi, Rol Düzeyi Güvenlik (RLS) için güvenlik ilkesi oluşturma, DDL izinlerine sahip SQL Veritabanı nesneleri uygulama.

• Sisteme erişen kullanıcıların (ve otomatik işlemlerin) kapsamlı hiyerarşisini belirleme.

• Gerekli kullanıcı gruplarına göre roller oluşturun ve rollere izinler attayın.

  • PowerShell otomasyonu ile Azure portal yönetim düzeyinde görevler için Azure rollerini kullanın. Gereksinimle eşleşen yerleşik bir rol bulun veya kullanılabilir izinleri kullanarak bir Azure özel rolü oluşturun
  • Yönetilen örnekte sunucu genelindeki görevler (yeni oturum açma bilgileri, veritabanları oluşturma) için Sunucu rolleri oluşturun.
  • Veritabanı düzeyinde görevler için Veritabanı Rolleri oluşturun.

• Belirli hassas görevler için, görevleri kullanıcılar adına yürütmek için bir sertifika tarafından imzalanmış özel saklı yordamlar oluşturmayı göz önünde bulundurabilirsiniz. Dijital olarak imzalanan saklı yordamların önemli bir avantajı, yordam değiştirilirse yordamın önceki sürümüne verilen izinlerin hemen kaldırılmasıdır.

  • Örnek: Öğretici: Saklı Yordamları Sertifikayla İmzalama

• Veri Saydam Veri Şifrelemesi güvenlik sahibi arasında görev ayrımlarını etkinleştirmek için Azure Key Vault tarafından yönetilen anahtarlarla bir hizmet (TDE) gerçekleştirin.

  • azure Azure portal'dan Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma makalesine bakın.

• Bir DBA'nın son derece hassas olarak kabul edilen ve yine de DBA görevleri gerçekleştirebilir verileri görene Always Encrypted emin olmak için, rol ayrımı ile Always Encrypted kullanabilirsiniz.

  • Always Encrypted için Anahtar Yönetimine Genel Bakış , RolAyrımı ile Anahtar Sağlama ve Rol Ayrımı ile Sütun Ana Anahtarı Döndürme makalelerini gözdenebilirsiniz.

• Always Encrypted kullanımının mümkün olmayan veya en azından sistemi kullanılamaz hale getiren büyük maliyetler ve çabalar olmadan mümkün olmayan durumlarda, aşağıdakiler gibi telafi denetimlerinin kullanımıyla güvenlik açıkları uygulanabilir ve azaltılabilir:

  • Süreçlerde insan müdahalesi.
  • Denetim izleri – Denetim hakkında daha fazla bilgi için bkz. Kritik güvenlik olaylarını denetleme.

En iyi yöntemler:

• Geliştirme/Test ve Üretim ortamları için farklı hesapların kullanılır olduğundan emin olun. Farklı hesaplar, Test ve Üretim sistemlerinin ayrımına uymaya yardımcı olur.

• Tek tek kullanıcılara izin atamaktan kaçınma. Bunun yerine rolleri (veritabanı veya sunucu rolleri) tutarlı bir şekilde kullanın. Rollerin olması, raporlama ve sorun giderme izinlerinde büyük ölçüde yardımcı olur.

• İzinler tam olarak gerekli izinlere uygun olduğunda yerleşik rolleri kullanın. Birden çok yerleşik roldeki tüm izinlerin birlesi %100 eşleşmeye neden oluyorsa, aynı anda birden çok rol de atabilirsiniz.

• Yerleşik roller çok fazla izin veya yetersiz izinler verse kullanıcı tanımlı roller oluşturun ve kullanın.

• Rol atamaları, T-SQL'daki aracı işi adımlarında veya Azure rolleri için Azure PIM kullanılarak SQL Görev Ayrımı (DSD) olarak da bilinen geçici olarak da yapılabilir.

• DBA'ların şifreleme anahtarlarına veya anahtar depolarına erişimi olduğundan ve anahtarlara erişimi olan Güvenlik Yöneticilerinin de veritabanına erişimleri olduğundan emin olun. Genişletilebilir Anahtar Yönetimi'nin (EKM) kullanımı bu ayrımı daha kolay hale getirir. Azure Key Vault EKM uygulamak için kullanılabilir.

• Güvenlikle ilgili eylemler için her zaman bir Denetim izi olduğundan emin olun.

• Kullanılan izinleri görmek için Azure yerleşik rollerinin tanımını alabilir ve PowerShell aracılığıyla bu rollerin alıntılarını ve cumulations'larını temel alan özel bir rol oluşturabilirsiniz.

• Db_owner veritabanı rolünün herhangi bir üyesi Saydam Veri Şifrelemesi (TDE) gibi güvenlik ayarlarını değiştirene veya SLO'nun değişmesine neden olduğundan, bu üyelik özenli bir şekilde ver Saydam Veri Şifrelemesi gerekir. Ancak, belirli ayrıcalıklar gerektiren db_owner vardır. Veritabanı seçeneklerini değiştirme gibi herhangi bir veritabanı ayarını değiştirme gibi görev. Denetim, herhangi bir çözümde önemli bir rol oynar.

• Bir yönetici hesabının izinlerini kısıtlamak db_owner bu nedenle bir yönetici hesabının kullanıcı verilerini görüntülemesini engellemek mümkün değildir. Veritabanında son derece hassas veriler varsa, Always Encrypted veya başka bir DBA'db_owners güvenli bir şekilde görüntülemesini önlemek için kullanılabilir.

SoD hakkında daha fazla bilgi almak isteyen okuyucular için aşağıdaki kaynakları öneririz:

• Yönetilen Azure SQL Veritabanı ve SQL için:

  • Denetleme ve veritabanına erişim izni verme
  • Uygulama Geliştiricisi için Altyapı Görevleri Ayrımı
  • Görev ayrımı
  • Saklı Yordamları İmzalama

• Azure Kaynak Yönetimi için:

  • Azure yerleşik rolleri
  • Özel Azure rolleri
  • Yükseltilmiş erişim için Azure AD Privileged Identity Management'ı kullanma

Normal kod incelemeleri gerçekleştirme

Belirtilenler: PCI: 6.3.2, SOC: SDL-3

Görev ayrımı, veritabanındaki veriyle sınırlı değildir ancak uygulama kodunu içerir. Kötü amaçlı kod, güvenlik denetimlerini potansiyel olarak yok ediyor olabilir. Özel kodu üretime dağıtmadan önce, dağıtılanları gözden geçirmek önemlidir.

Uygulama:

• Kaynak denetimi destekleyen Azure Data Studio veritabanı aracını kullanın.

• Ayrı bir kod dağıtım işlemi uygulama.

• Ana dala işlemeden önce, bir kişinin (kodun yazarı dışında), sahtekarlık ve sahte erişime karşı koruma için olası ayrıcalık yükseltme risklerinin yanı sıra kötü amaçlı veri değişiklikleri için kodu incelemesi gerekir. Bu, kaynak denetim mekanizmaları kullanılarak yapılabilir.

En iyi yöntemler:

• Standartlaştırma: Tüm kod güncelleştirmeleri için takip edilecek standart bir yordam uygulamaya yardımcı olur.

• Güvenlik Açığı Değerlendirmesi aşırı izinleri, eski şifreleme algoritmalarının kullanımını ve bir veritabanı şeması içindeki diğer güvenlik sorunlarını kontrol etmek için kurallar içerir.

• Ek denetimler, bir KALITE Denetimi veya Test ortamında Gelişmiş Tehdit Koruması kullanılarak yapılabilir ve bu, güvenlik açığı olan kodu SQL tarar.

• Dikkat nelere dikkat etmek için örnekler:

  • Otomatikleştirilmiş kod güncelleştirme dağıtımından kullanıcı oluşturma veya SQL ayarlarını değiştirme.
  • Sağlanan parametrelere bağlı olarak bir hücrenin parasal değerini uyumlu olmayan bir şekilde güncelleştirmeye devam edecek bir saklı yordam.

• İncelemeyi yürüten kişinin, kaynak kod yazarı dışında bir kişi olduğundan ve kod incelemeleri ve güvenli kodlama konusunda bilgi sahibi olduğundan emin olun.

• Kod değişikliklerinin tüm kaynaklarını bilirsiniz. Kod, T-SQL betikleri içinde olabilir. Yürütülecek veya Görünümler, İşlevler, Tetikleyiciler ve Saklı Yordamlar biçimlerde dağıtılacak geçici komutlar olabilir. Aracı İş tanımlarının (SQL parçası olabilir. Ayrıca SSIS paketleri, Azure Data Factory ve diğer hizmetlerden de yürütülebilirsiniz.

Veri koruma

Veri koruma, şifreleme veya karartma ile önemli bilgileri tehlikeye atarak korumaya yönelik bir dizi özelliktir.

Geçişte verileri şifreleme

Şu kaynaklarda bahsediliyor: OSA Uygulaması #6, ISO Denetim Ailesi: Şifreleme

Verileriniz istemciniz ve sunucunuz arasında taşınırken verilerinizi korur. Ağ Güvenliği'ne bakın.

Bekleyen verileri şifreleme

Şu kaynaklarda bahsediliyor: OSA Uygulaması #6, ISO Denetim Ailesi: Şifreleme

Beklemede şifreleme, veritabanı, günlük ve yedekleme dosyalarında kalıcı olduğunda verilerin şifreleme korumasıdır.

Uygulama:

• Hizmet tarafından yönetilen anahtarlarla Saydam Veritabanı Şifrelemesi (TDE), Azure SQL Veritabanı ve SQL Yönetilen Örnekte 2017'den sonra oluşturulan tüm veritabanları için varsayılan olarak etkinleştirilir.
• Yönetilen örnekte, veritabanı şirket içi bir sunucu kullanılarak geri yükleme işlemiyle oluşturulursa, özgün veritabanının TDE ayarı yerine gelecektir. Özgün veritabanında TDE etkin yoksa, yönetilen örnek için TDE'nin el ile etkinleştirilmesi önerilir.

En iyi yöntemler:

• Beklemede şifreleme gerektiren verileri ana veritabanında depolamayın. Ana veritabanı TDE ile şifrelenmez.

• TDE koruması üzerinde daha fazla Azure Key Vault ve ayrıntılı denetime ihtiyacınız varsa bu hizmette müşteri tarafından yönetilen anahtarları kullanın. Azure Key Vault veritabanının erişilemez duruma ulaşılmamesi için izinleri iptal etme olanağı sağlar. TDE koruyucularını diğer anahtarlarla birlikte merkezi olarak yönetebilir veya TDE koruyucularını kendi zamanlamanıza göre döndürebilir ve Azure Key Vault.

• Azure Key Vault'da müşteri tarafından yönetilen anahtarlar kullanıyorsanız, Azure Key Vault ile TDE yapılandırma yönergeleri ve Coğrafi DR'yiAzure Key Vault.

Kullanımda olan hassas verileri yüksek ayrıcalıklı, yetkisiz kullanıcılardan koruma

Kullanım sırasındaki veriler, veritabanı sisteminin bellekte depolandığı verilerdir ve bu veriler SQL kullanılır. Veritabanınız hassas verileri depolarsa, yüksek ayrıcalıklı kullanıcıların veritabanınıza hassas verileri görüntülemesini önlemek için kuruluşa ihtiyaç olabilir. Microsoft operatörleri veya kuruluşta DBA'lar gibi yüksek ayrıcalıklı kullanıcılar veritabanını yönetebelir, ancak hassas verileri SQL işleminin belleğinden veya veritabanını sorgularken görüntülemesi ve sfiltrasyonu önlenebilir.

Hangi verilerin hassas olduğunu ve hassas verilerin bellekte şifrelenmeli ve yöneticilerin erişimine açık olup olmadığını belirleyen ilkeler, bağlı kalmanız gereken kuruluş ve uyumluluk düzenlemelerine özgüdür. Lütfen ilgili gereksinime bakın: Hassas verileri tanımlama ve etiketleme.

Uygulama:

• Hassas Always Encrypted bellekte/kullanımda bile Azure SQL Veritabanı veya SQL Yönetilen Örnekte düz metin olarak açığa çıkarılamaması için SQL kullanın. Always Encrypted Veritabanı Yöneticileri (DBA' lar) ve bulut yöneticileri (veya yüksek ayrıcalıklı ancak yetkisiz kullanıcıların kimliğine bürünen kötü aktörler) verileri korur ve verilerinize erişen kullanıcılar üzerinde daha fazla denetim sağlar.

En iyi yöntemler:

• Always Encrypted( TDE) veya taşımadaki (SSL/TLS) verileri şifrelemek için bir yedek değildir. Always Encrypted ve işlevsellik etkisini en aza indirmek için hassas olmayan veriler için kullanılmaması gerekir. TDE Always Encrypted Aktarım Katmanı Güvenliği (TLS) ile birlikte kullanılan verilerin, hareket halindeki ve kullanımdaki verilerin kapsamlı bir şekilde korunması için kullanılması önerilir.

• Üretim veritabanına dağıtım öncesinde tanımlanan hassas veri sütunlarını şifrelemenin Always Encrypted etkisini değerlendirin. Genel olarak, Always Encrypted sütunlarda sorguların işlevselliğini azaltır ve Always Encrypted - Özellik Ayrıntıları altında listelenen başka sınırlamaları vardır. Bu nedenle, işlevselliği yeniden uygulamak için uygulamanızı yeniden oluşturmanız, istemci tarafında bir sorgu desteklemez veya/veya saklı yordamların, işlevlerin, görünümlerin ve tetikleyicilerin tanımları da dahil olmak üzere veritabanı şemanızı yeniden düzenlemeniz gerekir. Mevcut uygulamalar, uygulama kısıtlamalarına ve sınırlamalarına uymazsa şifrelenmiş sütunlarla Always Encrypted. Microsoft araçlarının, ürün ve hizmetlerin ekosistemi Always Encrypted, ancak bir dizisi şifrelenmiş sütunlarla çalışmıyor. Bir sütunu şifrelemek, iş yükebilirsiniz özelliklerine bağlı olarak sorgu performansını da etkileyebilir.

• Kötü Always Encrypted DBA'lardan verileri korumak için Always Encrypted rol ayrımı ile bu anahtarları yönetin. Rol ayrımı ile, güvenlik yöneticisi fiziksel anahtarları oluşturur. DBA, veritabanındaki fiziksel anahtarları açıklayan sütun ana anahtarını ve sütun şifreleme anahtarı meta veri nesnelerini oluşturur. Bu işlem sırasında güvenlik yöneticisinin veritabanına erişmesi ve DBA'nın düz metin biçimindeki fiziksel anahtarlara erişmesi gerekmektedir.

  • Ayrıntılar için Rol Ayrımı ile Anahtarları Yönetme makalesine bakın.

• Yönetim kolaylığı için sütun ana Azure Key Vault depolar. Anahtar yönetimini Windows bir Sertifika Deposu (ve genel olarak dağıtılmış anahtar deposu çözümleri yerine merkezi anahtar yönetimi çözümleri) kullanmaktan kaçının.

• Birden çok anahtar (sütun ana anahtarı veya sütun şifreleme anahtarları) kullanmanın zor olduğu noktalarda dikkatli bir şekilde düşünebilirsiniz. Anahtar yönetimi maliyetini azaltmak için anahtar sayısını küçük bırakın. Veritabanı başına bir sütun ana anahtarı ve bir sütun şifreleme anahtarı genellikle kararlı durum ortamlarında yeterlidir (anahtar döndürmenin ortasında değildir). Her biri farklı anahtarlar kullanan ve farklı verilere erişen farklı kullanıcı gruplarınız varsa ek anahtarlara ihtiyacınız olabilir.

• Sütun ana anahtarlarını uyumluluk gereksinimlerinize göre döndürün. Sütun şifreleme anahtarlarını döndürmeye de ihtiyacınız varsa uygulama kapalı kalma süresini en aza indirmek için çevrimiçi şifreleme kullanmayı göz önünde bulundurabilirsiniz.

  • Performans ve Kullanılabilirlik konuları makalesine bakın.

• Verilerde hesaplamaların (eşitlik) destek gerektirerek belirlenmsel şifrelemeyi kullanın. Aksi takdirde rastgele şifreleme kullanın. Düşük entropi veri kümeleri veya genel olarak bilinen dağıtıma sahip veri kümeleri için belirlenimci şifrelemeyi kullanmaktan kaçının.

• Üçüncü tarafların izniniz olmadan verilerinize yasal olarak erişmesini merak ediyorsanız, anahtarlara ve verilere erişimi olan tüm uygulama ve araçların Microsoft Azure Cloud'un dışında çalıştırılana kadar. Anahtarlara erişim olmadan, şifrelemeyi atlamadıkça üçüncü taraf verilerin şifresini çözmenin hiçbir yolu olmaz.

• Always Encrypted anahtarlara (ve korunan verilere) geçici erişim verilmesini kolayca desteklemez. Örneğin, DBA'nın hassas ve şifrelenmiş veriler üzerinde temizleme işlemleri yapmalarına izin vermek için anahtarları bir DBA ile paylaşmaya ihtiyacınız varsa. Güvenilirliğin DBA'dan verilere erişimi iptal etme tek yolu, hem sütun şifreleme anahtarlarını hem de verileri koruyan sütun ana anahtarlarını döndürmektir. Bu pahalı bir işlemdir.

• Şifrelenmiş sütunlarda düz metin değerlerine erişmek için, kullanıcının CMK'yi tutan anahtar depolamada yapılandırılan sütunları koruyan Sütun Ana Anahtarına (CMK) erişimi olmalıdır. Ayrıca kullanıcının HERHANGI BIR SÜTUN ANA ANAHTAR TANıMıNı GÖRÜNTÜLE ve TÜM SÜTUN ŞIFRELEME ANAHTAR TANıMıNı GÖRÜNTÜLE veritabanı izinlerine de sahip olması gerekir.

Şifreleme aracılığıyla uygulama kullanıcılarının hassas verilere erişimini denetleme

Şifreleme, yalnızca şifreleme anahtarlarına erişimi olan belirli uygulama kullanıcılarının verileri görüntülemesini veya güncelleştirmesini sağlamak için bir yol olarak kullanılabilir.

Uygulama:

• Hücre Düzeyinde Şifreleme (CLE) kullanın. Ayrıntılar için Veri Sütununu Şifreleme makalesine bakın.
• Bu Always Encrypted kullanın, ancak sınırlamaya dikkatin. Sınırlamalar aşağıda listelenmiştir.

En iyi uygulamalar

CLE kullanırken:

• İzinler ve roller aracılığıyla SQL denetleme.

• Veri şifrelemesi için AES (AES 256 önerilir) kullanın. RC4, DES ve TripleDES gibi algoritmalar kullanım dışıdır ve bilinen güvenlik açıkları nedeniyle kullanılmaması gerekir.

• 3DES kullanmayı önlemek için simetrik anahtarları asimetrik anahtarlarla/sertifikalarla (parolalarla değil) koruyun.

• Dışarı/içeri aktarma (bacpac dosyaları) Cell-Level şifreleme kullanarak veritabanını geçirerek dikkatli olun.

  • Verileri Öneriler anahtarların kaybedilmelerini önleme ve diğer en iyi yöntem Azure SQL Veritabanı hücre düzeyinde şifreleme kullanma hakkında bilgi için makaleye bakın.

Always Encrypted öncelikli olarak Azure SQL Veritabanı'nin (bulut operatörleri, DBA'lar) yüksek ayrıcalıklı kullanıcılarından kullanımda olan hassas verileri korumak için tasarlan olduğunu unutmayın. Bkz. Kullanımda olan hassas verileri yüksek ayrıcalıklı, yetkisiz kullanıcılardan koruma. Uygulama kullanıcılarından verileri korumak için Always Encrypted kullanırken aşağıdaki zorluklara dikkat etmek:

• Varsayılan olarak, sütun şifreleme anahtarlarının genel Always Encrypted (uygulama başına bir tane) önbelleğini korumayı destekleyen tüm Microsoft istemci sürücüleri. İstemci sürücüsü, sütun ana anahtarını içeren bir anahtar deposuyla iletişim kurarak düz metin sütun şifreleme anahtarı edinse, düz metin sütun şifreleme anahtarı önbelleğe alınmış olur. Bu, çok kullanıcılı bir uygulamanın kullanıcılarından verileri yalıtmayı zor yapar. Bir anahtar deposuyla etkileşim kurduğunda (Azure Key Vault gibi) uygulamanız son kullanıcıların kimliğine bürünse, kullanıcının sorgusu önbelleği bir sütun şifreleme anahtarıyla doldurmaktan sonra, aynı anahtarı gerektiren ancak başka bir kullanıcı tarafından tetiklenen sonraki sorgu önbelleğe alınmış anahtarı kullanır. Sürücü anahtar depolarını çağırmaz ve ikinci kullanıcının sütun şifreleme anahtarına erişim izni olup olmadığını denetlemez. Sonuç olarak, kullanıcı anahtarlara erişimi yoksa bile şifrelenmiş verileri görebilir. Çok kullanıcılı bir uygulama içindeki kullanıcıların yalıt alınmasını sağlamak için sütun şifreleme anahtarını önbelleğe almayı devre dışı abilirsiniz. Sürücünün her veri şifrelemesi veya şifre çözme işlemi için anahtar deposuyla iletişim kurması gerektireci nedeniyle, önbelleğe alma devre dışı bırakılması ek performans yüklerini oluşturur.

Veri biçimini korurken verileri uygulama kullanıcıları tarafından yetkisiz görüntülemeye karşı koruma

Yetkisiz kullanıcıların verileri görüntülemesini önlemeye yönelik bir diğer teknik de, kullanıcı uygulamalarının verileri işlemeye ve görüntülemeye devam etmek için veri türlerini ve biçimlerini koruyarak verileri karartması veya maskelemesidir.

Uygulama:

• Tablo sütunlarını karartma için Dinamik Veri Maskeleme kullanın.

En iyi yöntemler:

• Uygulama kullanıcılarının geçici sorgular çalıştırmalarına izin verme (Dinamik Veri Maskeleme ile ilgili bir soruna geçici bir şekilde yanıt verebiliyor olabilir).

  • Ayrıntılar için çıkarım veya deneme yanılma tekniklerini kullanarak maskelemeyi atlama makalesine bakın.

• Maskelenmiş sütunlarda güncelleştirme yapmak üzere kullanıcı izinlerini sınırlamak için uygun bir erişim denetimi ilkesi (SQL, roller, RLS aracılığıyla) kullanın. Sütunda maske oluşturmak, bu sütunda yapılan güncelleştirmeleri engellemez. Maskelenmiş sütunu sorgularken maskelenmiş veriler alan kullanıcılar, yazma izinleri varsa verileri güncelleştirebilirsiniz.

• Dinamik Veri Maskeleme, maskelenmiş değerlerin istatistiksel özelliklerini korumaz. Bu durum sorgu sonuçlarını (örneğin, maskelenmiş verilerde filtreleme durumlarını veya birleşimleri içeren sorgular) etkiler.

Ağ güvenliği

Ağ güvenliği, geçişteki verilerinizin güvenliğini sağlamak için erişim denetimlerini ve en iyi Azure SQL Veritabanı.

İstemcimi SQL Veritabanı/SQL Yönetilen Örneğine güvenli bir şekilde bağlanarak yapılandırma

İyi bilinen güvenlik açıklarına sahip istemci makinelerinin ve uygulamaların (örneğin, eski TLS protokollerini ve şifre paketlerini kullanarak) yönetilen Azure SQL Veritabanı ve yönetilen SQL önlemeye yönelik en iyi yöntemler.

Uygulama:

• Yönetilen Örnek'e bağlanan istemci Azure SQL Veritabanı SQL en son Aktarım Katmanı Güvenliği (TLS) sürümünü kullanıyor olduğundan emin olun.

En iyi yöntemler:

• En düşük TLS sürüm ayarını kullanarak SQL Veritabanı veya SQL Yönetilen Örnek düzeyinde en düşük TLS sürümünü zorunlu kılın. Uygulamalarınızı desteklediğini onaylamak için test sonrasında en düşük TLS sürümünü 1.2 olarak ayarlamanızı öneririz. TLS 1.2, önceki sürümlerde bulunan güvenlik açıklarına yönelik düzeltmeler içerir.

• Şifrelemenin etkin olduğu uygulamalara ve araçlarınıza SQL Veritabanı yapılandırma

  • Encrypt = On, TrustServerCertificate = Off (veya Microsoft olmayan sürücülerle eşdeğer).

• Uygulamanız TLS'yi desteklemeen veya tlS'nin eski bir sürümünü destekleyen bir sürücü kullanıyorsa, mümkünse sürücüyü değiştirin. Mümkün yoksa, güvenlik risklerini dikkatle değerlendirin.

  • Ssl 2.0, SSL 3.0, TLS 1.0 ve TLS 1.1'de güvenlik açıkları aracılığıyla saldırı vektörlerini, Aktarım Katmanı Güvenliği (TLS)kayıt defteri ayarlarına göre Azure SQL Veritabanı'a bağlanan istemci makinelerde devre dışı bırakarak azaltabilirsiniz.
  • İstemcide kullanılabilen şifre paketlerini denetleme: TLS/SSL'de Şifre Paketleri (Schannel SSP). Özel olarak, TLS Şifre Paketi Sırası Yapılandırarak 3DES'yi devre dışı bırak.

Saldırı yüzeyini en aza indirme

Kötü amaçlı bir kullanıcı tarafından saldırıya uğrayan özellik sayısını en aza indirme. Ağ erişimi denetimlerini Azure SQL Veritabanı.

Belirtilen: OSA Uygulaması #5

Uygulama:

Şu SQL Veritabanı:

• Sunucu düzeyinde Azure hizmetleri için Erişime İzin Ver'i OFF olarak ayarlayın
• Sanal Ağ Hizmet uç noktalarını ve Sanal Ağ Güvenlik Duvarı Kurallarını kullanın.
• Özel Bağlantı'ya tıklayın.

Yönetilen SQL'da:

• Ağ gereksinimleri'nin yönergelerini izleyin.

En iyi yöntemler:

• Bir özel uç Azure SQL Veritabanı bağlanarak SQL yönetilen örnek için erişimi kısıtlama (örneğin, özel veri yolu kullanarak):

  • Yönetilen örnek, dış erişimi önlemek için bir sanal ağ içinde yalıtılmış olabilir. Aynı bölgedeki aynı veya eşli sanal ağ üzerinde yer alan uygulamalar ve araçlar doğrudan erişime sahip olabilir. Farklı bölgede yer alan uygulamalar ve araçlar, bağlantı kurmak için sanal ağdan sanal ağa bağlantı veya ExpressRoute bağlantı hattı eşlemesi kullanabilir. Müşteri, 1433 bağlantı noktası üzerinden erişimi yalnızca yönetilen bir örnek için erişim gerektiren kaynaklarla kısıtlamak için Ağ Güvenlik Gruplarını (NSG) kullan olmalıdır.
  • Bir SQL Veritabanı sanal ağ içindeki sunucu için ayrılmış bir özel IP sağlayan Özel Bağlantı özelliğini kullanın. Sunucularınıza erişimi kısıtlamak için Sanal ağ hizmet uç noktalarını sanal ağ güvenlik duvarı kurallarıyla da kullanabilirsiniz.
  • Mobil kullanıcıların veri yolu üzerinden bağlanmak için noktadan siteye VPN bağlantıları kullanmaları gerekir.
  • Şirket içi ağına bağlı kullanıcıların veri yolu üzerinden bağlanmak için siteden siteye VPN bağlantısı veya ExpressRoute kullanmaları gerekir.

• Genel uç Azure SQL Veritabanı (SQL genel veri yolu kullanarak) bağlanarak Yönetilen Örnek'e ve Yönetilen Örnek'e erişebilirsiniz. Aşağıdaki en iyi yöntemler dikkate alınmalıdır:

  • Güvenlik duvarında bir SQL Veritabanı, erişimi yalnızca yetkili IP adresleriyle kısıtlamak için IP güvenlik duvarı kurallarını kullanın.
  • Yönetilen SQL için, 3342 bağlantı noktası üzerinden erişimi yalnızca gerekli kaynaklarla kısıtlamak için Ağ Güvenlik Grupları'nın (NSG) kullanın. Daha fazla bilgi için bkz. Yönetilen örneği genel uç noktalarla güvenli bir şekilde kullanma.

• Azure Ağ ayarlayın:
  • Ağ güvenliği için Azure'ın en iyi uygulamalarını izleyin.
  • Azure Sanal Ağ ile ilgili sık sorulan sorular (SSS) ve planda özetlenen en iyi yöntemlere göre Sanal Ağ yapılandırmasını planla.
  • Bir sanal ağı birden çok alt ağa bölümleme ve aynı alt ağa benzer bir rol için kaynak atama (örneğin, ön uç ve arka uç kaynakları).
  • Azure sanal ağ sınırı içindeki alt ağlar arasındaki trafiği kontrol etmek için Ağ Güvenlik Gruplarını (NSG) kullanın.
  • Gelen ve giden ağ trafiğini izlemek için aboneliğiniz için Azure Ağ İzleyicisi'ne olanak sağlar.

Yönetilen Power BI/yönetilen örnekle güvenli bağlantılar SQL Veritabanı SQL yapılandırma

En iyi yöntemler:

• Daha Power BI Desktop mümkün olduğunda özel veri yolunu kullanın.

• İstemci Power BI Desktop Aktarım Katmanı Güvenliği (TLS) kayıt defteri ayarlarına göre ayarlayarak tls1.2 kullanarak bağlanıyorsanız emin olun.

• belirli kullanıcılar için veri erişimini satır düzeyi güvenlik (RLS) aracılığıyla Power BI.

• Power BI Hizmeti için, Sınırlamalar ve Dikkat EdilmesiGerekenler'i göz önünde bulundurarak şirket içi veri ağ geçidini kullanın.

Yönetilen App Service/SQL Veritabanı güvenli bağlantılar için SQL yapılandırma

En iyi yöntemler:

• Basit bir Web Uygulaması için genel uç nokta üzerinden bağlanmak için Azure Hizmetleri'nin AÇıK olarak bağlanması gerekir.

• Yönetilen bir örnekle özel veri yolu bağlantısı için, uygulamalarınızı bir Azure Sanal Ağı ile tümleştirin. İsteğe bağlı olarak, App Service Environments (ASE)ile bir Web Uygulaması da dağıtabilirsiniz.

• SQL VERITABANı'daki bir veritabanına bağlanan ASE veya sanal ağ tümleşik Web Uygulamasına sahip Web Uygulaması için, belirli bir sanal ağ ve alt ağdan erişimi sınırlamak için sanal ağ hizmet uç noktalarını ve sanal ağ güvenlik duvarı kurallarını kullanabilirsiniz. Ardından Azure Hizmetleri'ne İzin Ver'i OFF olarak ayarlayın. AsE'ye, özel bir veri yolu üzerinden SQL Yönetilen Örnek'te yönetilen bir örneğine de bağlanabilirsiniz.

• Web Uygulamanıza hizmet olarak platform (PaaS) webuygulamalarının ve mobil uygulamaların güvenliğini sağlamak için en iyi yöntemler makalesine göre yapılandırıldığından emin Azure App Service.

• Web uygulamalarınızı yaygın açıklardan yararlanmaya ve güvenlik açıklarına karşı korumak için Web Uygulaması Güvenlik Duvarı'nı (WAF) yükleyin.

SQL Veritabanı/SQL Yönetilen Örneğine güvenli bağlantılar için Azure sanal makine barındırmayı yapılandırma

En iyi yöntemler:

• VM'den erişilebilen bölgeleri kontrol etmek için Azure sanal makinelerinin NSG'lerinde İzin Ver ve Reddet kurallarının bir birleşimini kullanın.

• Vm'nizin Azure'daki IaaS iş yükleri için en iyi güvenlik uygulamaları makalesine göre yapılandırıldığından emin olur.

• Tüm VM'lerin belirli bir sanal ağ ve alt ağ ile ilişkili olduğundan emin olun.

• Zorlamalı tünelle ilgili kılavuza göre varsayılan yol 0.0.0.0/Internet'e ihtiyacınız varsa değerlendirin.

  • Evet ise (örneğin, ön uç alt ağı) varsayılan yolu kullanın.
  • Hayır ise (örneğin, orta katman veya arka uç alt ağı), şirket içi (diğer bir şirket içi) ulaşmak için İnternet üzerinden giden trafik yoksa zorlamalı tüneli etkinleştirin.

• Eşleme veya şirket içi bağlantı kullanıyorsanız isteğe bağlı varsayılan yolları uygulama.

• Paket incelemesi için sanal ağ içinde tüm trafiği bir Ağ Sanal Aletine göndermeniz gerekirse Kullanıcı Tanımlı Yollar uygulama.

• Azure omurga ağı üzerinden Azure gibi PaaS hizmetlerine güvenli erişim Depolama sanal ağ hizmet uç noktalarını kullanın.

Dağıtılmış Hizmet Engelleme (DDoS) saldırılarına karşı koruma

Dağıtılmış Hizmet Engelleme (DDoS) saldırıları, kötü amaçlı bir kullanıcının Azure altyapısını yoğun baskı altında hale Azure SQL Veritabanı geçerli oturum açma bilgilerini ve iş yükünü reddetmeye neden olmak amacıyla Azure SQL Veritabanı'a ağ trafiği gönderme girişimleridir.

Şunda bahsediliyor: OSA Uygulaması #9

Uygulama:

DDoS koruması, Azure Platformu'nun bir parçası olarak otomatik olarak etkinleştirilir. Her zaman açık trafik izleme ve genel uç noktalara yönelik ağ düzeyinde saldırıların gerçek zamanlı olarak azaltılmasını içerir.

• Sanal Azure DDoS Koruması dağıtılan kaynaklarla ilişkilendirilmiş genel IP adreslerini izlemek için genel IP adreslerini kullanın.

• Veritabanlarına yönelik Hizmet Reddi (DoS) Azure SQL Veritabanı algılamak üzere gelişmiş tehdit koruması kullanın.

En iyi yöntemler:

• DDoS saldırı tehditlerini en aza indirmeye yardımcı olan Saldırı Yüzeyini En Aza Indir makalesinde açıklanan uygulamaları izleyin.

• Gelişmiş Tehdit Koruması Deneme Yanılma SQL kimlik bilgileri uyarısı, deneme yanılma saldırılarını algılamaya yardımcı olur. Bazı durumlarda, uyarı sızma testi iş yüklerini bile ayırt ediyor olabilir.

• Azure VM barındırma uygulamaları için şu SQL Veritabanı:

  • Bulut için Microsoft Defender'da İnternet'e yönelik uç noktalar üzerinden erişimi kısıtlama önerisini izleyin.
  • Azure VM'leri üzerinde uygulamanın birden çok örneğini çalıştırmak için sanal makine ölçek kümelerini kullanın.
  • Deneme yanılma saldırısını önlemek için İnternet'te RDP ve SSH'yi devre dışı bırakma.

İzleme, Günlüğe Kaydetme ve Denetim

Bu bölüm, veritabanlarına erişmeye veya veritabanlarından yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamanıza yardımcı olacak özellikleri ifade eder. Ayrıca veritabanı olaylarını izlemek ve yakalamak için veritabanı denetimini yapılandırmak için en iyi yöntemleri de açıklar.

Veritabanlarını saldırılara karşı koruma

Gelişmiş tehdit koruması, anormal etkinliklerle ilgili güvenlik uyarıları sağlayarak olası tehditleri ortaya çıkarken algılama ve yanıtlamaya olanak sağlar.

Uygulama:

• Aşağıdakiler dahil olmak üzere SQL ve potansiyel olarak zararlı veritabanlarına erişme veya bu girişimlerden yararlanma girişimlerini algılamak üzere gelişmiş tehdit koruması kullanın:
  • SQL ekleme saldırısı.
  • Kimlik bilgileri hırsızlığı/sızıntısı.
  • Ayrıcalık kötüye kullanımı.
  • Veri sızma.

En iyi yöntemler:

• Belirli bir sunucu SQLyönetilen örnek için Microsoft   Defender'ı yapılandırma. Bulut için Microsoft Defender'ı etkinleştirerek SQL sunucular ve yönetilen örnekler için Microsoft Defender'ı da yapılandırabilirsiniz.

• Tam bir araştırma deneyimi için, Denetim için SQL Veritabanı önerilir. Denetim ile veritabanı olaylarını izleyebilir ve bunları Azure Depolama hesabı veya Azure Log Analytics çalışma alanında denetim günlüğüne yazabilirsiniz.

Kritik güvenlik olaylarını denetleme

Veritabanı olaylarını izlemek, veritabanı etkinliğini anlamanıza yardımcı olur. İşle ilgili endişeleri veya şüpheli güvenlik ihlallerini belirten tutarsızlıklar ve anomaliler hakkında içgörüler edinirsiniz. Ayrıca uyumluluk standartlarını sağlar ve kolaylaştırır.

Nasıl uygulanır:

• veritabanı olaylarını izlemek ve Azure Depolama hesabınızdaki bir denetim günlüğüne, Log Analytics çalışma alanına (önizleme) veya Event Hubs (önizleme) yazmak için SQL Veritabanı denetimi veya yönetilen örnek denetimi etkinleştirin.

• denetim günlükleri bir azure Depolama hesabına, azure izleyici günlükleri tarafından tüketimine yönelik bir Log Analytics çalışma alanına veya olay hub 'ı kullanılarak tüketim için olay hub 'ına yazılabilir. Bu seçeneklerin herhangi bir birleşimini yapılandırabilirsiniz ve denetim günlükleri her birine yazılır.

En iyi uygulamalar:

• sunucunuzda veya denetim olaylarını denetlemek için yönetilen örnek denetiminde SQL Veritabanı denetimi yapılandırarak, bu sunucudaki tüm mevcut ve yeni oluşturulan veritabanları denetlenir.
• Varsayılan olarak denetim ilkesi, veritabanlarına karşı tüm eylemleri (sorgular, saklı yordamlar ve başarılı ve başarısız oturumlar) içerir ve bu da yüksek düzeyde denetim günlüklerine neden olabilir. Müşterilerin PowerShell kullanarak farklı türlerde eylemler ve eylem grupları için denetimi yapılandırmasıönerilir. Bunu yapılandırmak, denetlenen eylemlerin sayısını denetlemeye yardımcı olur ve olay kaybı riskini en aza indirir. Özel denetim yapılandırması, müşterilerin yalnızca gerekli denetim verilerini yakalamasına olanak tanır.
• Denetim günlükleri doğrudan Azure Portalveya yapılandırılan depolama konumundan tüketilebilir.

Daha fazla kaynak:

• SQL Veritabanı Denetimi
• SQL Server denetimi

Güvenli denetim günlükleri

Depolama hesabına erişimi, görevlerin ayrılmasını ve DBA 'nın denetçilerin ayrı ayrı sayısını destekleyecek şekilde kısıtlayın.

Nasıl uygulanır:

• denetim günlüklerini Azure Depolama kaydederken, Depolama hesabına erişimin en düşük güvenlik ilkelerine kısıtlanmış olduğundan emin olun. Depolama hesabına kimlerin erişimi olduğunu denetleyin.
• daha fazla bilgi için bkz. Azure Depolama erişimi yetkilendirme.

En iyi uygulamalar:

• Denetim hedefine erişimi denetlemek, DBA 'daki denetçilerin ayrıldıkları bir temel kavramdır.

• Gizli verilere erişimi denetlerken, denetçi ile ilgili bilgi sızıntısını önlemek için veri şifreleme ile verilerin güvenliğini sağlamayı göz önünde bulundurun. Daha fazla bilgi için, yüksek ayrıcalıklı, yetkisiz kullanıcılardan kullanılan hassas verileri korumabölümüne bakın.

Güvenlik yönetimi

Bu bölümde, veritabanlarının güvenlik duruşunuzu yönetmek için farklı yönleri ve en iyi uygulamalar açıklanmaktadır. Veritabanlarınızı, veritabanlarınızdaki potansiyel olarak duyarlı verilere yönelik verileri bulmak ve sınıflandırmak için güvenlik standartlarını karşılayacak şekilde yapılandırmak için en iyi yöntemleri içerir.

Veritabanlarının en iyi güvenlik uygulamalarını karşılayacak şekilde yapılandırıldığından emin olun

Olası veritabanı güvenlik açıklarını bulup çözerek veritabanı güvenlerinizi önceden geliştirebilirsiniz.

Nasıl uygulanır:

• SQL güvenlik açığı değerlendirmesi (VA), veritabanınızı güvenlik sorunları için taramasını ve veritabanlarınızdaki düzenli aralıklarla otomatik olarak çalışmasını sağlar.

En iyi uygulamalar:

• Başlangıçta, veritabanlarınızda VA çalıştırıp, en iyi güvenlik uygulamalarını opkaldıran başarısız denetimleri düzeltme yoluyla yineleyebilirsiniz. Tarama temiz olana veya tüm denetimler geçtiğinden, kabul edilebilir yapılandırmalara yönelik taban çizgileri ayarlayın.

• Düzenli aralıklarla yinelenen taramaların haftada bir kez çalışacak şekilde yapılandırın ve ilgili kişiyi Özet e-postaları alacak şekilde yapılandırın.

• Her haftalık taramanın ardından VA özetini gözden geçirin. Bulunan herhangi bir güvenlik açığı için, önceki tarama sonucundan DRFT 'yi değerlendirin ve denetim 'in çözülmesi gerekip gerekmediğini saptayın. Yapılandırmada değişiklik için meşru bir neden olup olmadığını gözden geçirin.

• İlgili yerlerde denetimleri ve güncelleştirme temellerini çözümleyin. Eylemleri çözümlemek için bilet öğeleri oluşturun ve bunları çözümlenene kadar izleyin.

Daha fazla kaynak:

• SQL güvenlik açığı değerlendirmesi
• SQL güvenlik açığı değerlendirme hizmeti, veritabanı güvenlik açıklarını belirlemenize yardımcı olur

Hassas verileri tanımla ve etiketleme

Büyük olasılıkla hassas veriler içeren sütunları bulur. Hassas veriler büyük ölçüde müşteriye, uyumluluk yönetmeine ve bu verilerin ücretlendirilmesi gereken kullanıcılar tarafından değerlendirilmelidir. Sütunları, gelişmiş duyarlılık tabanlı denetim ve koruma senaryolarını kullanacak şekilde sınıflandırın.

Nasıl uygulanır:

• veritabanlarınızdaki hassas verileri bulmak, sınıflandırmak, etiketlemek ve korumak için SQL veri bulma ve sınıflandırma kullanın.
  • SQL veri bulma ve sınıflandırma panosundaki otomatik bulma tarafından oluşturulan sınıflandırma önerilerini görüntüleyin. Hassas verilerinizin kalıcı olarak sınıflandırma etiketleriyle etiketlenmesi gibi ilgili sınıflandırmaları kabul edin.
  • Otomatik mekanizmaya bulunmayan ek gizli veri alanları için sınıflandırmaları el ile ekleyin.
• daha fazla bilgi için bkz. veri bulma ve sınıflandırmasını SQL.

En iyi uygulamalar:

• Veritabanının sınıflandırma durumunun doğru değerlendirmesi için sınıflandırma panosunu düzenli olarak izleyin. Veritabanı sınıflandırması durumundaki bir rapor, uyumluluk ve denetim amaçlarıyla paylaşmak üzere aktarılabilir veya yazdırılabilir.

• SQL güvenlik açığı değerlendirmesinde önerilen hassas verilerin durumunu sürekli olarak izleyin. Hassas veri bulma kuralını izleyin ve sınıflandırma için önerilen sütunlarda tüm DRFT 'yi belirler.

• Sınıflandırmayı, kuruluşunuzun belirli ihtiyaçlarına göre uyarlanmış bir şekilde kullanın. bulut için Microsoft Defender 'daki SQL Information Protection ilkesindeki Information Protection ilkenizi (duyarlılık etiketleri, bilgi türleri, bulma mantığı) özelleştirin.

Gizli verilere erişimi izleme

Gizli verilere erişen ve denetim günlüklerindeki gizli verilerdeki sorguları yakalayan izleyici.

Nasıl uygulanır:

• SQL Denetimi ile Veri Sınırlandırması'nı birlikte kullanın.
  • SQL Veritabanı denetim günlüğünde, erişimi gizli verilere özel olarak izleyebilirsiniz. Ayrıca, erişilen veriler ve duyarlık etiketi gibi bilgileri de görüntüleyebilirsiniz. Daha fazla bilgi için bkz. veri bulma ve sınıflandırma ve hassas verilere erişimi denetleme.

En iyi uygulamalar:

• Bkz. denetim ve veri sınıflandırması bölümleri için en iyi uygulamalar:
  • Kritik güvenlik olaylarını denetleme
  • Hassas verileri tanımla ve etiketleme

Güvenlik ve uyumluluk durumunu görselleştirin

veri merkezlerinizin güvenlik duruşunu güçlendirir (SQL Veritabanı veritabanları dahil) birleşik bir altyapı güvenliği yönetim sistemi kullanın. Veritabanlarının güvenliğine ve uyumluluk durumuna ilişkin önerilerin bir listesini görüntüleyin.

Nasıl uygulanır:

• bulut için Microsoft Defender'daki SQL ilgili güvenlik önerilerini ve etkin tehditleri izleyin.

Yaygın güvenlik tehditleri ve olası azaltmaları

Bu bölüm bazı saldırı vektörlerine karşı korumaya yönelik güvenlik önlemleri bulmanıza yardımcı olur. Yukarıdaki güvenlik yönergelerinden biri veya daha fazlası izlenerek en çok azaltmaları elde edilebilir.

Güvenlik tehdidi: veri taşalımı

Veri tanımı, bir bilgisayardan veya sunucudan veri kopyalama, aktarma veya alma yetkisi yok. Vivon 'da veri akışı için bir tanım görüntüleyin.

Genel bir uç nokta üzerinden sunucuya bağlanmak, müşterilerin güvenlik duvarlarını ortak IP 'lere açmasını gerektirdiğinden veri sızdırma riskini gösterir.

senaryo 1: Azure VM 'deki bir uygulama Azure SQL Veritabanı bir veritabanına bağlanır. Standart dışı bir aktör VM 'ye erişim sağlar ve uygulamayı bu şekilde alır. bu senaryoda, veri alma işlemi, standart dışı VM kullanan bir dış varlığın veritabanına bağlanmasını, kişisel verileri kopyalamasından ve farklı bir abonelikte farklı bir SQL Veritabanı depolayabileceği anlamına gelir.

Senaryo 2: bir kaba DBA. Bu senaryo, genellikle güvenliği önemli müşteriler tarafından düzenlenen sektörlerden oluşur. bu senaryoda, yüksek ayrıcalıklı kullanıcı Azure SQL Veritabanı verileri veri sahibi tarafından denetlenen başka bir aboneliğe kopyalayabilir.

Olası azaltmaları:

günümüzde Azure SQL Veritabanı ve SQL yönetilen örnek, veri azaltma tehditleri azaltmak için aşağıdaki teknikleri sunmaktadır:

• VM 'den hangi bölgelere erişilebileceğini denetlemek için Azure VM 'lerinin NSG 'lerinde Izin verme ve reddetme kurallarının bir birleşimini kullanın.
• SQL Veritabanı bir sunucu kullanıyorsanız, aşağıdaki seçenekleri ayarlayın:
  • Azure hizmetlerinin kapalı çalışmasına izin verin.
  • Yalnızca VNet güvenlik duvarı kuralı ayarlayarak, Azure VM 'nizi içeren alt ağdan gelen trafiğe izin verin.
  • Özel bağlantı kullan
• SQL yönetilen örnek için, özel ıp erişiminin kullanılması standart dışı bir VM 'nin ilk veri savunma sorunu ele alınmıştır. Yönetilen Örnek alt ağın en kısıtlayıcı ilkesini otomatik olarak ayarlamak için bir alt ağda alt SQL özelliğini açma.
• Daha geniş bir yüzey alanına sahip olan ve ağ SQL müşterilere görünür olduğu için, Rogue DBA sorunu daha fazla yönetilen Yönetilen Örnek ile ortaya çıkar. Bunun için en iyi risk azaltma, bu güvenlik kılavuzunda yer alan tüm uygulamaları, Rogue DBA senaryosunu en başta önlemektir (yalnızca veri sızma için değil). Always Encrypted, hassas verileri şifrelemek ve anahtarı DBA için erişilemez durumda tutmak için bir yöntemdir.

İş sürekliliği ve kullanılabilirliğin güvenlik yönleri

Çoğu güvenlik standartları, tek hata noktalarından kaçınmak için yedeklilik ve yük devretme özellikleri uygulanarak elde edilen operasyonel süreklilik açısından veri kullanılabilirliğini ele alıyor. Olağanüstü durum senaryolarında, Veri ve Günlük dosyalarının yedeklerini tutmak yaygın bir uygulamadır.Aşağıdaki bölümde, Azure'da yerleşik olarak yer alan özelliklere üst düzey bir genel bakış vemektedir. Ayrıca belirli ihtiyaçları karşılamak için yapılandırılan ek seçenekler de sağlar:

• Azure yerleşik yüksek kullanılabilirlik sunar: SQL Veritabanı ve SQL Yönetilen Örneği ile yüksek kullanılabilirlik

• Bu İş Açısından Kritik yük devretme grupları, tam ve değişiklik günlüğü yedeklemeleri ve varsayılan olarak etkin noktaya geri yükleme yedeklemelerini içerir:

  • Otomatik yedeklemeler
  • Otomatik veritabanı yedeklemelerini kullanarak veritabanını kurtarma - Belirli bir noktaya geri yükleme

• Farklı Azure coğrafi konumlarında alan yedekli yapılandırma ve otomatik yük devretme grupları gibi ek iş sürekliliği özellikleri yalıtabilirsiniz:

  • Yüksek kullanılabilirlik - Hizmet katmanları için Premium & İş Açısından Kritik yedekli yapılandırma
  • Yüksek kullanılabilirlik - Hizmet katmanı için Genel Amaçlı yedekli yapılandırma
  • İş sürekliliği genel bakış

Sonraki adımlar

• Bkz. Azure SQL Veritabanı özelliklerine genel bakış