Azure Sanal Makineler üzerinde SQL Server için güvenlikle ilgili dikkat edilmesi gerekenler

  • Makale
  • Okumak için 4 dakika

AŞAĞıDAKILER IÇIN GEÇERLIDIR: SQL Server VM'de sanal makine

Bu konu, bir Azure sanal makinesi (VM) içinde SQL Server güvenli erişim elde etmeye yardımcı olan genel güvenlik yönergelerini içerir.

Azure, sanal makinede çalışan güvenlik özellikleriyle uyumlu bir çözüm SQL Server çeşitli sektör düzenlemelerine ve standartlarına uygundur. Azure ile mevzuat uyumluluğu hakkında daha fazla bilgi için bkz. Azure Güven Merkezi.

Bu konuda açıklanan uygulamalara ek olarak, hem geleneksel şirket içi güvenlik uygulamalarından hem de sanal makine güvenliği en iyi uygulamalarından en iyi güvenlik uygulamalarını gözden geçirmenizi ve uygulamanız önerilir.

SQL için Microsoft Defender

SQL için Microsoft Defender, güvenlik açığı değerlendirmeleri ve güvenlik uyarıları gibi Bulut güvenliği için Microsoft Defender özelliklerini sağlar. Daha fazla bilgi edinmek için bkz. SQL için Microsoft Defender'ı etkinleştirme.

Portal yönetimi

SQL Server VM'nizi SQL IaaSuzantısına kaydettikten sonra, Azure portal tümleştirmesini etkinleştirme veya SQL Azure Key Vault kimlik doğrulamasını etkinleştirme gibi SQL sanal makineleri kaynağını kullanarak bir dizi güvenlik ayarı yapılandırabilirsiniz.

Buna ek olarak, SQL için Microsoft Defender'ı etkinleştirdikten sonra, güvenlik açığı değerlendirmeleri ve güvenlik uyarıları gibi SQL sanal makineler kaynağında doğrudan Azure portal'da Bulut için Defender özelliklerini görüntüebilirsiniz.

Daha fazla SQL Server için bkz. Portalda vm'yi yönetme.

Azure Anahtar Kasası tümleştirme

Saydam veri SQL Server (TDE), sütun düzeyinde şifreleme (CLE) ve yedekleme şifrelemesi gibi birden çok şifreleme özelliği vardır. Bu şifreleme biçimleri, şifreleme için kullanılan şifreleme anahtarlarını yönetmenizi ve depolamayı gerektirir. Azure Key Vault hizmeti, güvenli ve yüksek oranda kullanılabilir bir konumda bu anahtarların güvenliğini ve yönetimini geliştirmek için tasarlanmıştır. SQL Server Bağlayıcısı, SQL Server bu anahtarları Azure Key Vault. Kapsamlı ayrıntılar için bu seride yer alan diğer makalelere bakın: Denetimlistesi, VM boyutu, Depolama, HADR yapılandırması, Taban çizgisini topla.

Daha Azure Key Vault için bkz. tümleştirme.

Erişim denetimi

Sanal makinenizi SQL Server, makineye kimlerin erişimi olduğunu dikkatle denetlemeyi ve sanal makinenizi SQL Server. Genel olarak, şunları gerçekleştirin:

  • Yalnızca SQL Server ve istemcilere erişimi kısıtlar.
  • Kullanıcı hesaplarını ve parolaları yönetmek için en iyi yöntemleri izleyin.

Aşağıdaki bölümlerde bu noktalar üzerinden düşünme önerileri sağlanmıştır.

Bağlantıların güvenliğini sağlama

Galeri görüntüsüyle SQL Server sanal makine seniz, SQL Server Bağlantısı seçeneği Yerel (VM içinde), Özel (Sanal Ağ içinde) veya Genel (İnternet) seçeneğini sunar.

SQL Server bağlantısı

En iyi güvenlik için senaryo için en kısıtlayıcı seçeneği belirleyin. Örneğin, aynı VM'de SQL Server bir uygulama çalıştırıyorsanız, en güvenli seçenek Yerel'tir. SQL Server erişimi gerektiren bir Azure uygulaması çalıştırıyorsanız Özel, yalnızca belirtilen Azure sanal SQL Server ile iletişimin güvenliğini sağlar. Sanal makinenize Genel (İnternet) SQL Server, saldırı yüzeyi alanınızı azaltmak için bu konudaki diğer en iyi yöntemleri izleyin.

Portalda seçilen seçenekler, sanal makinenize yönelik ağ trafiğine izin vermek veya trafiği reddetmek için VM'nin ağ güvenlik grubunda (NSG) gelen güvenlik kurallarını kullanır. Ağ bağlantı noktasına (varsayılan 1433) gelen trafiğe izin vermek SQL Server NSG kurallarını değiştirebilir veya oluşturabilirsiniz. Bu bağlantı noktası üzerinden iletişim kurmasına izin verilen belirli IP adreslerini de belirtebilirsiniz.

Ağ güvenlik grubu kuralları

Ağ trafiğini kısıtlamak için NSG kurallarına ek olarak, sanal makinede Windows Güvenlik Duvarı'nı da kullanabilirsiniz.

Klasik dağıtım modeliyle uç noktaları kullanıyorsanız, bunları kullansanız sanal makinede tüm uç noktaları kaldırın. Uç noktalarla ACL kullanma yönergeleri için bkz. Bir uç noktada ACL'i yönetme. Bu, vm'leri kullanan VM'ler için Azure Resource Manager.

Son olarak, Azure sanal makinenizin SQL Server Veritabanı Altyapısı örneği için şifrelenmiş bağlantıları etkinleştirmeyi göz önünde bulundurabilirsiniz. İmzalı SQL sunucu örneğini yapılandırma. Daha fazla bilgi için, bkz. Enable Encrypted Connections to the Database Engine and Connection String Syntax.

Şifreleme

Yönetilen diskler Server-Side Şifreleme ve Azure Disk Şifrelemesi. Sunucu Tarafı Şifrelemesi, beklemede şifreleme sağlar ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizi korur. Azure Disk Şifrelemesi BitLocker veya DM-Crypt teknolojisini kullanır ve hem işletim Azure Key Vault veri disklerini şifrelemek için Azure Key Vault ile tümleştirilmiştir.

Varsayılan olmayan bağlantı noktası

Varsayılan olarak, SQL Server 1433 gibi iyi bilinen bir bağlantı noktasını dinler. Daha fazla güvenlik için SQL Server 1401 gibi varsayılan olmayan bir bağlantı noktası üzerinde dinleyecek şekilde yapılandırabilirsiniz. Azure portal'SQL Server bir galeri görüntüsü sağlarsanız, bu bağlantı noktasını SQL Server belirtebilirsiniz.

Sağlama sonrasında bunu yapılandırmak için iki seçeneğiniz vardır:

  • Sanal Resource Manager sanal makineler kaynağından Güvenlik'i SQL seçeneğini kullanabilirsiniz. Bu, bağlantı noktasını değiştirme seçeneği sağlar.

    Portalda TCP bağlantı noktası değişikliği

  • Klasik VM'ler SQL Server portal ile sağlanmazsa, vm'ye uzaktan bağlanarak bağlantı noktasını el ile yapılandırabilirsiniz. Yapılandırma adımları için, bkz. Configure a Server to Listen on a Specific TCP Port. Bu el ile tekniği kullanırsanız, bu TCP bağlantı noktası üzerinde gelen trafiğe izin Windows güvenlik duvarı kuralı da eklemeniz gerekir.

Önemli

Varsayılan olmayan bir bağlantı noktası belirtmek, bağlantı SQL Server genel İnternet bağlantılarında açıksa iyi bir fikirdir.

Varsayılan SQL Server olmayan bir bağlantı noktasını dinleyen bir bağlantı noktası olduğunda, bağlantı noktasını belirttiğinizde bunu belirtmeniz gerekir. Örneğin, sunucu IP adresinin 13.55.255.255 olduğu ve SQL Server 1401 bağlantı noktasını dinlediğini düşünün. Bir SQL Server için bağlantı 13.55.255.255,1401 dizesinde belirtebilirsiniz.

Hesapları yönetme

Saldırganların hesap adlarını veya parolaları kolayca tahmin etmelerini istemiyorsanız. Yardımcı olmak için aşağıdaki ipuçlarını kullanın:

  • Yönetici olarak adlandırılmış olmayan benzersiz bir yerel yönetici hesabı oluşturun.

  • Tüm hesaplarınız için karmaşık güçlü parolalar kullanın. Güçlü parola oluşturma hakkında daha fazla bilgi için Güçlü parola oluşturma makalesine bakın.

  • Varsayılan olarak Azure, sanal makine Windows kimlik doğrulaması SQL Server kimlik doğrulamasını seçer. Bu nedenle, SA oturum açma devre dışı bırakılır ve kurulum tarafından bir parola atanır. SA oturum açma bilgileri kullanılmamalı veya etkinleştirilmemiş olmalıdır. Oturum a SQL aşağıdaki stratejilerden birini kullanın:

    • sysadmin SQL benzersiz bir adla bir hesap oluşturun. Bunu portaldan, sağlama sırasında kimlik doğrulaması SQL etkinleştirebilirsiniz.

      İpucu

      Sağlama sırasında kimlik doğrulaması SQL etkinleştirmiyorsanız, kimlik doğrulama modunu el ile kimlik doğrulama modunu SQL Server ve kimlik doğrulama Windows olarak değiştirmelisiniz. Daha fazla bilgi için bkz. Sunucu Kimlik Doğrulama Modunu Değiştirme.

    • SA oturum açma bilgilerini kullanıyorsanız sağlama sonrasında oturum açma bilgilerini etkinleştirin ve yeni bir güçlü parola attayabilirsiniz.

Sonraki adımlar

Performansla ilgili en iyi yöntemlerle de ilgileniyorsanız bkz. Azure Sanal Makineler'de SQL Server performans için En İyi Uygulamalar.

Azure VM'lerde sanal SQL Server diğer konular için bkz. Azure Sanal SQL Server'ye genel bakış. SQL Server sanal makineleri hakkında sorularınız olursa Sık Sorulan Sorular bölümüne bakın.

Daha fazla bilgi edinmek için bu serinin diğer makalelere bakın: