أفضل الممارسات لتأمين قواعد بيانات PaaS في Azure
في هذه المقالة، نناقش مجموعة من أفضل ممارسات الأمان Azure SQL Database وAzure Synapse Analytics لتأمين تطبيقات الويب والجوال للنظام الأساسي كخدمة (PaaS). تُستمد أفضل الممارسات هذه من تجربتنا مع Azure وتجارب عملاء مثلك.
توفر Azure SQL Database وAzure Synapse Analytics خدمة قاعدة بيانات علائقية لتطبيقاتك المستندة إلى الإنترنت. لنلق نظرة على الخدمات التي تساعد في حماية تطبيقاتك وبياناتك عند استخدام Azure SQL Database وAzure Synapse Analytics في توزيع PaaS:
- مصادقة Microsoft Entra (بدلا من مصادقة SQL Server)
- جدار حماية Azure SQL
- تشفير البيانات الشفاف (TDE)
استخدم مستودع هوية مركزي
يمكن تكوين Azure SQL Database لاستخدام نوع من نوعين من المصادقة:
تستخدم مصادقة SQL اسم مستخدم وكلمة مرور. عندما أنشأت الخادم لقاعدة البيانات الخاصة بك، قمت بتحديد تسجيل دخول "server admin" باسم مستخدم وكلمة مرور. باستخدام معلومات تسجيل الدخول هذه، يمكنك المصادقة على أي قاعدة بيانات على ذلك الخادم بصفتك مالك قاعدة البيانات.
تستخدم مصادقة Microsoft Entra الهويات التي يديرها معرف Microsoft Entra وهي مدعومة للمجالات المدارة والمتكاملة. لاستخدام مصادقة Microsoft Entra، يجب إنشاء مسؤول خادم آخر يسمى "مسؤول Microsoft Entra"، والذي يسمح له بإدارة مستخدمي Microsoft Entra ومجموعاته. ويمكن لهذا المسؤول أيضًا تنفيذ كافة العمليات العادية التي يمكن لمسؤول الخادم تنفيذها.
مصادقة Microsoft Entra هي آلية للاتصال بقاعدة بيانات Azure SQL وAzure Synapse Analytics باستخدام الهويات في معرف Microsoft Entra. يوفر معرف Microsoft Entra بديلا لمصادقة SQL Server حتى تتمكن من إيقاف انتشار هويات المستخدمين عبر خوادم قاعدة البيانات. تمكنك مصادقة Microsoft Entra من إدارة هويات مستخدمي قاعدة البيانات خدمات Microsoft الأخرى مركزيا في موقع مركزي واحد. توفر إدارة المعرف المركزي مكانًا واحدًا لإدارة مستخدمي قاعدة البيانات وتبسيط إدارة الأذونات.
فوائد استخدام معرف Microsoft Entra بدلا من مصادقة SQL
- يسمح بتدوير كلمة المرور في مكان واحد.
- إدارة أذونات قاعدة البيانات باستخدام مجموعات Microsoft Entra الخارجية.
- يلغي تخزين كلمات المرور عن طريق تمكين مصادقة Windows المتكاملة وأشكال المصادقة الأخرى التي يدعمها معرف Microsoft Entra.
- تضمنت الاستخدامات مستخدمي قاعدة البيانات للمصادقة على الهويات على مستوى قاعدة البيانات.
- يدعم المصادقة المستندة إلى الرموز المميزة للتطبيقات المتصلة بـ SQL Database.
- يدعم اتحاد المجال مع خدمات الأمان المشترك لـ Active Directory (ADFS) أو مصادقة المستخدم/كلمة المرور الأصلية لمعرف Microsoft Entra محلي دون مزامنة المجال.
- يدعم الاتصالات من SQL Server Management Studio التي تستخدم المصادقة العامة لـ Active Directory، والتي تتضمن المصادقة متعددة العوامل (MFA). تتضمن المصادقة متعددة العوامل مصادقة قوية مع مجموعة من خيارات التحقق السهلة. خيارات التحقق هي مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رمز pin أو إعلام تطبيق الأجهزة المحمولة. لمزيد من المعلومات، راجع المصادقة العامة باستخدام SQL Database وAzure Synapse Analytics.
لمعرفة المزيد حول مصادقة Microsoft Entra، راجع:
- استخدام مصادقة Microsoft Entra للمصادقة مع قاعدة بيانات SQL أو المثيل المدار أو Azure Synapse Analytics
- المصادقة على Azure Synapse Analytics
- دعم المصادقة المستندة إلى الرمز المميز لقاعدة بيانات Azure SQL باستخدام مصادقة Microsoft Entra
إشعار
للتأكد من أن معرف Microsoft Entra مناسب للبيئة الخاصة بك، راجع ميزات وقيود Microsoft Entra.
تقييد الوصول على أساس عنوان IP
يمكنك إنشاء قواعد جدار الحماية التي تحدد نطاقات عناوين IP المقبولة. يمكن استهداف هذه القواعد على مستوى الخادم وقاعدة البيانات. نوصي باستخدام قواعد جدار الحماية على مستوى قاعدة البيانات كلما أمكن ذلك لتحسين الأمان ولجعل قاعدة البيانات الخاصة بك أكثر قابلية للنقل. من الأفضل استخدام قواعد جدار الحماية على مستوى الخادم للمسؤولين وعندما يكون لديك العديد من قواعد البيانات التي لها نفس متطلبات الوصول ولكنك لا تريد قضاء الوقت في تكوين كل قاعدة بيانات على حدة.
تسمح قيود عنوان IP المصدر الافتراضي لـ SQL Database بالوصول من أي عنوان Azure، بما في ذلك الاشتراكات والمستأجرين الآخرين. يمكنك تقييد هذا للسماح فقط لعناوين IP الخاصة بك بالوصول إلى المثيل. حتى مع قيود جدار حماية SQL وقيود عنوان IP، لا تزال هناك حاجة إلى مصادقة قوية. انظر التوصيات المقدمة في وقت سابق في هذه المقالة.
لمعرفة المزيد حول Azure SQL Firewall وقيود IP، راجع:
- Azure SQL Database والتحكم في الوصول إلى Azure Synapse Analytics
- Azure SQL Database وقواعد جدار الحماية Azure Synapse Analytics
تشفير البيانات الثابتة
يتم تمكين تشفير البيانات الشفافة (TDE) افتراضياً. يقوم TDE بتشفير ملفات السجل وبيانات سجل SQL Server وAzure SQL Database وAzure Synapse Analytics. يحمي TDE من اختراق الوصول المباشر إلى الملفات أو نسخها الاحتياطية. يمكنك هذا من تشفير البيانات الثابتة دون تغيير التطبيقات الموجودة. يجب أن تظل TDE ممكّنة دائماً؛ ومع ذلك، لن يؤدي ذلك إلى إيقاف المهاجم باستخدام مسار الوصول العادي. توفر TDE القدرة على الامتثال للعديد من القوانين واللوائح والمبادئ التوجيهية الموضوعة في مختلف الصناعات.
يدير Azure SQL المشكلات الرئيسية ذات الصلة بـ TDE. كما هو الحال مع TDE، يجب توخي عناية خاصة في أماكن العمل لضمان إمكانية الاسترداد وعند نقل قواعد البيانات. في السيناريوهات الأكثر تعقيداً، يمكن إدارة المفاتيح بشكل صريح في Azure Key Vault من خلال إدارة المفاتيح القابلة للتوسيع. راجع تمكين TDE على SQL Server باستخدام EKM. يسمح هذا أيضاً بإحضار المفتاح الخاص بك (BYOK) من خلال قدرة Azure Key Vaults BYOK.
يوفر Azure SQL التشفير للأعمدة من خلال Always Encrypted. هذا يسمح فقط للتطبيقات المصرح لها بالوصول إلى الأعمدة الحساسة. يؤدي استخدام هذا النوع من التشفير إلى تقييد استعلامات SQL للأعمدة المشفرة إلى القيم المستندة إلى المساواة.
يجب أيضاً استخدام تشفير مستوى التطبيق للبيانات الانتقائية. يمكن أحياناً التخفيف من مخاوف سيادة البيانات عن طريق تشفير البيانات بمفتاح يتم الاحتفاظ به في البلد/المنطقة الصحيحة. هذا يمنع حتى نقل البيانات العرضي من التسبب في مشكلة لأنه من المستحيل فك تشفير البيانات دون المفتاح، بافتراض استخدام خوارزمية قوية (مثل AES 256).
يمكنك استخدام احتياطات إضافية للمساعدة في تأمين قاعدة البيانات، مثل تصميم نظام آمن وتشفير الأصول السرية وإنشاء جدار حماية حول خوادم قاعدة البيانات.
الخطوات التالية
قدمت لك هذه المقالة مجموعة من أفضل ممارسات أمان SQL Database وAzure Synapse Analytics لتأمين تطبيقات الأجهزة المحمولة والويب PaaS. لمعرفة المزيد حول تأمين عمليات توزيع PaaS، راجع: