Yönetilen Örnek Azure SQL Veritabanı özelliklerine SQL genel bakış
AŞAĞıDAKILER IÇIN GEÇERLIDIR: 
Azure SQL Veritabanı Azure SQL Yönetilen Örneği
Azure Synapse Analytics
Bu makalede, Azure SQL Veritabanı,Azure SQL Yönetilen Örneği ve Azure Synapse Analytics kullanarak bir uygulamanın veri katmanınıngüvenliğini sağlamanın temelleri özet Azure Synapse Analytics. Açıklanan güvenlik stratejisi, aşağıdaki resimde gösterildiği gibi katmanlı derinlemesine savunma yaklaşımını izler ve içinde dışarıdan hareket eder:
Ağ güvenliği
Microsoft Azure SQL Veritabanı, SQL Yönetilen Örnek ve Azure Synapse Analytics bulut ve kurumsal uygulamalar için ilişkisel veritabanı hizmeti sağlar. Güvenlik duvarları, müşteri verilerini korumaya yardımcı olmak için IP adresine veya Azure Sanal ağ trafiği kaynağına göre açıkça erişim verilene kadar sunucuya ağ erişimini önler.
IP güvenlik duvarı kuralları
IP güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre veritabanlarına erişim izni sağlar. Daha fazla bilgi için bkz. Güvenlik duvarı Azure SQL Veritabanı ve Azure Synapse Analytics genel bakış.
Sanal ağ güvenlik duvarı kuralları
Sanal ağ hizmet uç noktaları, Azure omurgası üzerinden sanal ağ bağlantınızı genişleter ve trafiğin kaynaklandığı sanal Azure SQL Veritabanı alt ağın belirlenmesini sağlar. Trafiğin erişime izin Azure SQL Veritabanı ağ güvenlik SQL giden trafiğe izin vermek için hizmet etiketlerini kullanın.
Sanal ağ kuralları, Azure SQL Veritabanı yalnızca bir sanal ağ içindeki seçili alt ağlardan gönderilen iletişimleri kabul etmelerini sağlar.
Not
Güvenlik duvarı kurallarıyla erişimi denetlemek, yönetilen SQL için geçerli değildir. Gereken ağ yapılandırması hakkında daha fazla bilgi için bkz. Yönetilen bir örneğine bağlanma
Erişim yönetimi
Önemli
Azure'da veritabanlarını ve sunucuları yönetmek, portal kullanıcı hesabının rol atamaları tarafından denetlenr. Bu makale hakkında daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi Azure portal.
Kimlik Doğrulaması
Kimlik doğrulaması, kullanıcının iddia ettiği kişi olduğunu kanıtlama işlemidir. Azure SQL Veritabanı ve SQL Yönetilen Örnek iki tür kimlik doğrulamasını destekler:
SQL doğrulaması:
SQL kimlik doğrulaması, kullanıcı adı ve parola kullanarak Azure SQL Veritabanı veya Azure SQL Yönetilen Örneği'ne bağlanırken kullanıcının kimlik doğrulamasını ifade eder. Sunucu oluşturulurken kullanıcı adı ve parola ile sunucu yöneticisi oturum açma bilgileri belirtilmelidir. Sunucu yöneticisi, bu kimlik bilgilerini kullanarak bu sunucu veya örnekteki herhangi bir veritabanında veritabanı sahibi olarak kimlik doğrulamasına sahip olabilir. Bundan sonra, SQL kullanıcı adı ve parola kullanarak bağlanmalarını sağlayan sunucu yöneticisi tarafından ek oturum açma bilgileri ve kullanıcılar oluşturulabilir.
Azure Active Directory doğrulaması:
Azure Active Directory doğrulaması, Azure SQL Veritabanı , Azure SQL Yönetilen Örneği'ne ve Azure Synapse Analytics 'de (Azure AD) kimlikleri kullanarak Azure Active Directory mekanizmasıdır. Azure AD kimlik doğrulaması, yöneticilerin veritabanı kullanıcılarının kimliklerini ve izinlerini tek bir merkezi konumda diğer Azure hizmetleriyle birlikte merkezi olarak yönetmelerini sağlar. Bu, parola depolama alanını en aza indirmek ve merkezi parola döndürme ilkelerine olanak sağlar.
Active Directory yöneticisi adlı bir sunucu yöneticisinin, Azure AD kimlik doğrulamasını SQL Veritabanı. Daha fazla bilgi için bkz. SQL Veritabanı Kimlik Doğrulaması kullanarak Azure Active Directory bağlanma. Azure AD kimlik doğrulaması hem yönetilen hem de federasyon hesaplarını destekler. Federasyon hesapları, Azure AD Windows bir müşteri etki alanı için kullanıcı ve grupları desteklemeyi destekler.
Multi-Factor Authentication ve Koşullu Erişim dahil olmak üzere SQL Server Management Studio için Active Directory Evrensel Kimlik Doğrulaması kullanılabilir ek Azure AD kimlik doğrulama seçenekleridir.
Önemli
Azure'da veritabanlarını ve sunucuları yönetmek, portal kullanıcı hesabının rol atamaları tarafından denetlenr. Bu makale hakkında daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi Azure portal. Güvenlik duvarı kurallarıyla erişimi denetlemek, yönetilen SQL için geçerli değildir. Gereken ağ yapılandırması hakkında daha fazla bilgi için yönetilen bir örneğine bağlanmayla ilgili aşağıdaki makaleye bakın.
Yetkilendirme
Yetkilendirme, bir veritabanı içindeki kaynaklara ve komutlara erişimi denetlemeyi ifade eder. Bu, Azure SQL Veritabanı veya Azure SQL Yönetilen Örneği'Azure SQL Veritabanı veritabanındaki bir kullanıcıya izinler atanarak yapılır. İzinler ideal olarak veritabanı rollerine kullanıcı hesapları eklip bu rollere veritabanı düzeyinde izinler atanarak yönetilir. Alternatif olarak, tek bir kullanıcıya nesne düzeyinde bazı izinler de verebilirsiniz. Daha fazla bilgi için bkz. Oturum açma bilgileri ve kullanıcılar
En iyi uygulama olarak, gerektiğinde özel roller oluşturun. Rollerine iş işlevini yapmak için gereken en az ayrıcalıklara sahip kullanıcıları ekleyin. İzinleri doğrudan kullanıcılara atamayın. Sunucu yöneticisi hesabı, kapsamlı izinlere sahip olan ve yalnızca yönetici görevleri olan birkaç kullanıcıya verilmesi gereken yerleşik db_owner rolüne üyedir. Kullanıcının neler yapalarının kapsamını daha fazla sınırlamak için EXECUTE AS, çağrılı modülün yürütme bağlamını belirtmek için kullanılabilir. Bu en iyi yöntemlerin takip etmek, görev ayrımı için de temel bir adımdır.
Satır düzeyinde güvenlik
Row-Level Security, müşterilerin bir sorguyu yürüten kullanıcının özelliklerine (grup üyeliği veya yürütme bağlamı gibi) bağlı olarak bir veritabanı tablosunda satırlara erişimi denetlemesini sağlar. Row-Level Security, özel Etiket tabanlı güvenlik kavramlarını uygulamak için de kullanılabilir. Daha fazla bilgi için bkz. Satır Düzeyi güvenlik.
Tehdit koruması
SQL Veritabanı ve SQL denetim ve tehdit algılama özellikleri sağlayarak müşteri verilerini güvenli hale toplama ve koruma.
SQL günlüklerde ve Azure İzleyici denetim Event Hubs
SQL Veritabanı ve SQL Yönetilen Örnek denetimi veritabanı etkinliklerini izler ve veritabanı olaylarını müşteriye ait Azure depolama hesabında bir denetim günlüğüne kaydederek güvenlik standartlarıyla uyumluluğun korunmasına yardımcı olur. Denetim, kullanıcıların devam eden veritabanı etkinliklerini izlemelerinin yanı sıra olası tehditleri veya kötüye kullanım ve güvenlik ihlallerinden şüphelenilenleri belirlemek için geçmiş etkinlikleri analiz edip araştırmalarına olanak sağlar. Daha fazla bilgi için bkz. Kullanmaya başlayın ile SQL Veritabanı denetleme.
Gelişmiş Tehdit Koruması
Gelişmiş Tehdit Koruması, veritabanlarına erişme veya veritabanlarından yararlanmaya yönelik olağan dışı davranışları ve zararlı olabilecek girişimleri algılamak için günlüklerinizi analiz eder. Ayrıcalık yükseltmelerini ve ihlal edilen kimlik bilgilerinin kullanımını yakalamak için SQL ekleme, olası veri sızma ve deneme yanılma saldırıları ya da erişim düzenleri anomalileri gibi şüpheli etkinlikler için uyarılar oluşturulur. Uyarılar, şüpheli etkinliklerin ayrıntılarının ve verilen ek araştırma önerilerinin yanı sıra tehdidi azaltmak için eylemler verilen Bulut için Microsoft Defender'dangörüntülenir. Gelişmiş Tehdit Koruması ek bir ücret karşılığında sunucu başına etkinleştirilebilir. Daha fazla bilgi için bkz. Kullanmaya başlayın Gelişmiş SQL Veritabanı ile birlikte.
Bilgi koruması ve şifreleme
Aktarım Katmanı Güvenliği (Aktarım sırasında şifreleme)
SQL Veritabanı, SQL Örneği'ne ve Azure Synapse Analytics Aktarım Katmanı Güvenliği (TLS)ile hareket halindeki verileri şifrelerken müşteri verilerini güvenli hale sürükleyin.
SQL Veritabanı, SQL Örneği'Azure Synapse Analytics tüm bağlantılar için şifrelemeyi (SSL/TLS) her zaman zorlar. Bu, bağlantı dizesinde Encrypt veya TrustServerCertificate ayarına bakılmaksızın istemci ve sunucu arasındaki tüm verilerin "geçişte" şifrelenir.
En iyi uygulama olarak, uygulama tarafından kullanılan bağlantı dizesinde, sunucu sertifikasına güvenmeden şifrelenmiş bir bağlantı belirtmenizi öneririz. Bu, uygulamanızı sunucu sertifikasını doğrulamaya zorunlu bırakır ve böylece ortadaki tür saldırılarında uygulamanın adamlara karşı savunmasız hale gelir.
Örneğin, bu ADO.NET Encrypt=True ve TrustServerCertificate=False aracılığıyla gerçekleşir. Bağlantı dizenizi uygulamanın Azure portal doğru ayarlara sahip olur.
Önemli
Microsoft olmayan bazı sürücülerin varsayılan olarak TLS kullanmayyabiliyor veya çalışması için TLS'nin eski bir sürümünü (<1.2) kullanamayabiliyor. Bu durumda sunucu yine de veritabanınıza bağlanmanıza izin verir. Ancak, özellikle hassas verileri depolarsanız, bu tür sürücülerin ve uygulamanın SQL Veritabanı izin verme güvenlik risklerini değerlendirmenizi öneririz.
TLS ve bağlantı hakkında daha fazla bilgi için bkz. TLS ile ilgili dikkat edilmesi gerekenler
Saydam Veri Şifrelemesi (Beklemede şifreleme)
SQL Veritabanı, SQL Yönetilen Örnek ve Azure Synapse Analytics için saydam veri şifrelemesi (TDE), beklemede kalan verilerin ham dosyalara veya yedeklere yetkisiz veya çevrimdışı erişimden korunmasına yardımcı olmak için bir güvenlik katmanı ekler. Yaygın senaryolar arasında veri merkezi hırsızlığı veya disk sürücüleri ve yedekleme bantları gibi donanım veya medyaların güvenliksiz atılması yer almaktadır.TDE, uygulama geliştiricilerinin mevcut uygulamalarda değişiklik yapmalarını gerektirmeyen bir AES şifreleme algoritması kullanarak veritabanının tamamını şifreler.
Azure'da yeni oluşturulan tüm veritabanları varsayılan olarak şifrelenir ve veritabanı şifreleme anahtarı yerleşik bir sunucu sertifikası tarafından korunur. Sertifika bakımı ve döndürmesi hizmet tarafından yönetilir ve kullanıcıdan giriş gerektirmez. Şifreleme anahtarlarının denetimine sahip olmayı tercih eden müşteriler, Azure Key Vault.
Azure Key Vault ile anahtar yönetimi
Kendi Anahtarını Getir (TDE) için Saydam Veri Şifrelemesi (BYOK) desteği, müşterilerin Azure'ın bulut tabanlı dış anahtar yönetim sistemi Azure Key Vaultkullanarak anahtar yönetimi ve rotasyon sahipliğini almalarına olanak sağlar. Veritabanının anahtar kasasına erişimi iptal edilirse, bir veritabanının şifresi çözül kullanılamaz ve belleğe okunamaz. Azure Key Vault merkezi bir anahtar yönetim platformu sağlar, sıkı bir şekilde izlenen donanım güvenlik modüllerinden (HSM) faydalanır ve güvenlik uyumluluğu gereksinimlerini karşılamaya yardımcı olmak için anahtarların ve verilerin yönetimi arasında görev ayrımı sağlar.
Always Encrypted (Kullanılan şifreleme)
Always Encrypted, belirli veritabanı sütunlarında depolanan hassas verileri erişimden (örneğin, kredi kartı numaraları, ulusal kimlik numaraları veya bilmek gereken veriler) korumak için tasarlanmış bir özelliktir. Bu, veritabanı yöneticilerini veya yönetim görevlerini gerçekleştirmek için veritabanına erişme yetkisi olan ancak şifrelenmiş sütunlarda belirli verilere erişmesi gerek olmayan diğer ayrıcalıklı kullanıcıları içerir. Veriler her zaman şifrelenir ve bu da şifrelenmiş verilerin şifresi yalnızca şifreleme anahtarına erişimi olan istemci uygulamalar tarafından işlenmeleri için çözülmüş olur. Şifreleme anahtarı hiçbir zaman SQL Veritabanı veya SQL Yönetilen Örneği'ne maruz kalmaz ve Windows Sertifika Deposu'Azure Key Vault.
Dinamik veri maskeleme
Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler. Dinamik veri maskeleme, Yönetilen Örnekte Azure SQL Veritabanı ve SQL hassas olabilecek verileri otomatik olarak keşfeder ve uygulama katmanı üzerinde en az etkiyle bu alanları maskelemeniz için eyleme değiştirilebilir öneriler sağlar. Bu özellik, hassas verileri belirlenen veritabanı alanlarına yapılan sorgunun sonuç kümesinde karartır ancak veritabanındaki veriler değişmez. Daha fazla bilgi için bkz. Kullanmaya başlayın yönetilen SQL Veritabanı SQL dinamik veri maskeleme.
Güvenlik yönetimi
Güvenlik açığı değerlendirmesi
Güvenlik açığı değerlendirmesi, genel veritabanı güvenliğini proaktif olarak geliştirme hedefiyle olası veritabanı güvenlik açıklarını keşfeden, takip edebilir ve düzeltmeye yardımcı olan, yapılandırılması kolay bir hizmettir. Güvenlik açığı değerlendirmesi (VA), gelişmiş güvenlik özelliklerine SQL birleşik bir paket olan Microsoft Defender for SQL kapsamındadır. Güvenlik açığı değerlendirmesine merkezi Microsoft Defender for SQL portal üzerinden erişilebilir ve yönetilebilir.
Veri bulma ve sınıflandırma
Veri bulma ve sınıflandırma (şu anda önizlemede), veritabanlarınız içinde hassas verileri bulmak, sınıflandırmak ve etiketlemek için Azure SQL Veritabanı ve SQL Yönetilen Örneği'ne yerleşik olarak temel özellikler sağlar. Hassas verilerinizi (iş/finansal, sağlık, kişisel veriler vb.) keşfetmek ve sınıflendirmek, kurumsal Bilgi korumanız için önemli bir rol oynayabilir. Şunlara altyapı sağlayabilir:
- İzleme (denetim) ve hassas verilere anormal erişimle ilgili uyarılar gibi çeşitli güvenlik senaryoları.
- Son derece hassas veriler içeren veritabanlarına erişimi denetleme ve güvenliğini sağlamlaştırma.
- Veri gizliliği standartlarına uymaya ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.
Daha fazla bilgi için bkz. Kullanmaya başlayın bulma ve sınıflandırma ile ilgili bilgiler.
Uyumluluk
Uygulamanıza çeşitli güvenlik gereksinimlerini karşılamaya yardımcı olan yukarıdaki özelliklere ve işlevlere ek olarak, Azure SQL Veritabanı düzenli denetimlere de katılabilir ve çeşitli uyumluluk standartlarına göre sertifikalandırılmıştır. Daha fazla bilgi için Microsoft Azure uyumluluk sertifikalarının en güncel listesinin bulunduğu SQL Veritabanı Merkezi'ne bakın.
Sonraki adımlar
- Yönetilen Örnekte oturum açma bilgileri, kullanıcı hesapları, veritabanı rolleri ve izinler hakkında SQL Veritabanı SQL için bkz. Oturum açma bilgilerini ve kullanıcı hesaplarını yönetme.
- Veritabanı denetimi hakkında daha fazla bilgi için bkz. denetim.
- Tehdit algılama hakkında daha fazla açıklama için bkz. tehdit algılama.