Azure Sanal Makineler üzerinde SQL Server için güvenlikle ilgili dikkat edilmesi gerekenler

AŞAĞıDAKILER IÇIN GEÇERLIDIR: SQL Server VM'de sanal makine

bu konu, bir Azure sanal makinesindeki (VM) SQL Server örneklerine güvenli erişim sağlamaya yardımcı olan genel güvenlik yönergelerini içerir.

Azure, bir sanal makinede çalışan SQL Server ile uyumlu bir çözüm oluşturmanıza olanak sağlayan çeşitli sektör düzenlemeleri ve standartları ile uyumludur. Azure ile yönetmelik uyumluluğu hakkında daha fazla bilgi için bkz. Azure Güven Merkezi.

Bu konu başlığı altında açıklanan uygulamalara ek olarak, hem geleneksel şirket içi güvenlik uygulamalarından en iyi güvenlik uygulamalarını hem de sanal makine güvenlik en iyi yöntemlerini incelemenizi ve uygulamanızı öneririz.

SQL için Azure Defender

SQL için azure Defender , güvenlik açığı değerlendirmeleri ve güvenlik uyarıları gibi azure güvenlik merkezi güvenlik özellikleri sunar. daha fazla bilgi edinmek için bkz. SQL için Azure Defender 'ı etkinleştirme .

Portal yönetimi

SQL Server VM 'nizi SQL ıaas uzantısıylakaydettikten sonra, Azure portal içindeki SQL sanal makineler kaynağını kullanarak, Azure Key Vault tümleştirmeyi etkinleştirme veya SQL kimlik doğrulaması gibi bir dizi güvenlik ayarı yapılandırabilirsiniz.

ayrıca, SQL için Azure Defender 'ı etkinleştirdikten sonra güvenlik merkezi özelliklerini, güvenlik açığı değerlendirmeleri ve güvenlik uyarıları gibi Azure portal SQL sanal makineler kaynağı içinden doğrudan görüntüleyebilirsiniz.

daha fazla bilgi için bkz. portalda SQL Server VM yönetme .

Azure Anahtar Kasası tümleştirme

saydam veri şifrelemesi (tde), sütun düzeyinde şifreleme (CLE) ve yedekleme şifrelemesi gibi birden çok SQL Server şifreleme özelliği vardır. Bu şifreleme biçimleri, şifreleme için kullandığınız şifreleme anahtarlarını yönetmenizi ve depolamanızı gerektirir. Azure Key Vault hizmeti, bu anahtarların güvenli ve yüksek oranda kullanılabilir bir konumda güvenliğini ve yönetimini geliştirmek için tasarlanmıştır. SQL Server bağlayıcısı SQL Server bu anahtarları Azure Key Vault kullanmasına olanak sağlar. kapsamlı ayrıntılar için, bu serinin diğer makalelerine bakın: denetim listesi, VM boyutu, Depolama, hadr yapılandırma, taban çizgisi toplama.

Daha fazla bilgi için bkz. Azure Key Vault tümleştirmesi .

Erişim denetimi

SQL Server sanal makinenizi oluştururken, makineye kimlerin erişebileceğini ve SQL Server ne kadar dikkatli bir şekilde kontrol etmeyi göz önünde bulundurun. Genel olarak, aşağıdakileri yapmalısınız:

  • SQL Server erişimini yalnızca gerekli uygulamalar ve istemcilerle sınırlayın.
  • Kullanıcı hesaplarını ve parolaları yönetmek için en iyi uygulamaları izleyin.

Aşağıdaki bölümler, bu noktalarda düşünce hakkında öneriler sağlar.

Güvenli bağlantılar

galeri görüntüsüne sahip SQL Server bir sanal makine oluşturduğunuzda, SQL Server bağlantı seçeneği size yerel (VM içinde), özel (sanal ağ içinde) veya genel (Internet) seçimi sağlar.

SQL Server bağlantısı

En iyi güvenlik için senaryonuz için en kısıtlayıcı seçeneği belirleyin. örneğin, aynı VM 'de SQL Server erişen bir uygulama çalıştırıyorsanız, yerel , en güvenli seçenektir. SQL Server erişmesi gereken bir Azure uygulaması çalıştırıyorsanız, özel , yalnızca belirtilen Azure sanal ağıiçinde SQL Server iletişimin güvenliğini sağlar. SQL Server VM 'ye genel (internet) erişime ihtiyacınız varsa, saldırı yüzeyi alanını azaltmak için bu konudaki diğer en iyi yöntemleri izlediğinizden emin olun.

Portalda seçilen seçenekler, sanal makinenize ağ trafiğine izin vermek veya bu trafiği reddetmek için VM 'nin ağ güvenlik grubu 'nda (NSG) gelen güvenlik kurallarını kullanır. SQL Server bağlantı noktasına giden trafiğe izin vermek için yeni gelen nsg kurallarını değiştirebilir veya oluşturabilirsiniz (varsayılan 1433). Ayrıca, bu bağlantı noktası üzerinden iletişim kurmaya izin verilen belirli IP adreslerini de belirtebilirsiniz.

Ağ güvenlik grubu kuralları

ağ trafiğini kısıtlamak için nsg kurallarına ek olarak, sanal makinede Windows güvenlik duvarını da kullanabilirsiniz.

Klasik dağıtım modeliyle uç noktalar kullanıyorsanız, bu dosyaları kullanmıyorsanız sanal makinedeki tüm uç noktaları kaldırın. ACL 'Leri uç noktalarla kullanma hakkında yönergeler için bkz. bir uç noktada ACL 'Yi yönetme. Bu, Azure Resource Manager kullanan VM 'Ler için gerekli değildir.

son olarak, Azure sanal makinenizde SQL Server veritabanı altyapısının örneği için şifrelenmiş bağlantıları etkinleştirmeyi düşünün. SQL sunucusu örneğini imzalı bir sertifika ile yapılandırın. Daha fazla bilgi için bkz. veritabanı altyapısı ve bağlantı dizesi söz dizimine şifreli bağlantıları etkinleştirme .

Şifreleme

Yönetilen diskler Server-Side şifreleme ve Azure disk şifrelemesi sunmaktadır. Sunucu tarafı şifreleme , bekleyen şifreleme sağlar ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizi korur. Azure disk şifrelemesi , BitLocker veya DM-Crypt teknolojisini kullanır ve hem işletim sistemi hem de veri disklerini şifrelemek için Azure Key Vault ile tümleşir.

Varsayılan olmayan bağlantı noktası

Varsayılan olarak, SQL Server 1433 gibi iyi bilinen bir bağlantı noktasını dinler. daha yüksek güvenlik için, 1401 gibi varsayılan olmayan bir bağlantı noktasını dinlemek üzere SQL Server yapılandırın. Azure portal SQL Server galeri görüntüsü sağlarsanız, bu bağlantı noktasını SQL Server ayarları dikey penceresinde belirtebilirsiniz.

Bunu sağlamaktan sonra yapılandırmak için iki seçeneğiniz vardır:

  • Kaynak Yöneticisi vm 'ler için, SQL sanal makinelerkaynağından güvenlik ' i seçebilirsiniz. Bu, bağlantı noktasını değiştirme seçeneği sağlar.

    Portalda TCP bağlantı noktası değişikliği

  • klasik vm 'ler veya portal ile sağlanmayan SQL Server vm 'ler için, sanal makineye uzaktan bağlanarak bağlantı noktasını el ile yapılandırabilirsiniz. Yapılandırma adımları için bkz. belirli BIR TCP bağlantı noktasını dinlemek Için sunucu yapılandırma. bu el ile tekniği kullanırsanız, bu TCP bağlantı noktasında gelen trafiğe izin vermek için bir Windows güvenlik duvarı kuralı da eklemeniz gerekir.

Önemli

SQL Server bağlantı noktası genel internet bağlantılarına açıksa, varsayılan olmayan bir bağlantı noktası belirtilmesi iyi bir fikirdir.

SQL Server varsayılan olmayan bir bağlantı noktasında dinlerken, bağlantı noktasını, bağlandığınızda belirtmeniz gerekir. örneğin, sunucu ıp adresinin 13.55.255.255 olduğu ve SQL Server bağlantı noktası 1401 üzerinde dinlediği bir senaryoyu düşünün. SQL Server bağlanmak için 13.55.255.255,1401 bağlantı dizesinde belirtmeniz gerekir.

Hesapları yönetme

Saldırganların hesap adlarını veya parolaları kolayca tahmin etmesini istemezsiniz. Yardım almak için aşağıdaki ipuçlarını kullanın:

  • Yönetici olarak adlandırılmayan benzersiz bir yerel yönetici hesabı oluşturun.

  • Tüm hesaplarınız için karmaşık güçlü parolalar kullanın. Güçlü parola oluşturma hakkında daha fazla bilgi için bkz. güçlü parola oluşturma makalesi.

  • varsayılan olarak, Azure SQL Server sanal makine kurulumu sırasında Windows kimlik doğrulaması seçer. Bu nedenle, sa oturumu devre dışıdır ve kurulum tarafından bir parola atanır. Sa oturumunun kullanılması veya etkinleştirilmesi önerilir. SQL oturum açmanız gerekiyorsa, aşağıdaki stratejilerden birini kullanın:

    • sysadmin üyeliğine sahip benzersiz bir ada sahip bir SQL hesabı oluşturun. bu işlemi, sağlama sırasında SQL kimlik doğrulaması etkinleştirerek portaldan yapabilirsiniz.

      İpucu

      sağlama sırasında SQL kimlik doğrulaması etkinleştirmezseniz, kimlik doğrulama modunu SQL Server ve Windows kimlik doğrulama moduna el ile değiştirmeniz gerekir. Daha fazla bilgi için bkz. sunucu kimlik doğrulama modunu değiştirme.

    • Sa oturumunu kullanmanız gerekiyorsa, sağlama ve yeni bir güçlü parola atama sonrasında oturum açmayı etkinleştirin.

Sonraki adımlar

performansla ilgili en iyi yöntemleri de ilgileniyorsanız, bkz. Azure sanal makinelerinde SQL Server için en iyi performans uygulamaları.

azure vm 'lerinde SQL Server çalıştırmaya ilişkin diğer konular için bkz. azure sanal makinelerine genel bakış SQL Server. SQL Server sanal makineleri hakkında sorularınız olursa Sık Sorulan Sorular bölümüne bakın.

Daha fazla bilgi edinmek için bu serideki diğer makalelere göz atın: