Zabezpečení Azure SQL Edge
Důležité
Azure SQL Edge bude vyřazeno 30. září 2025. Další informace a možnosti migrace najdete v oznámení o vyřazení.
Poznámka:
Azure SQL Edge už nepodporuje platformu ARM64.
S nárůstem přijetí výpočetních prostředků IoT a Edge napříč odvětvími se zvyšuje počet zařízení a dat generovaných z těchto zařízení. Větší objem dat a počet koncových bodů zařízení představují významnou výzvu z hlediska zabezpečení dat a zařízení.
Azure SQL Edge nabízí několik funkcí a možností, které usnadňují zabezpečení dat IoT v databázích SQL Serveru. Azure SQL Edge je sestavený pomocí stejného databázového stroje, který využívá Microsoft SQL Server a Azure SQL a sdílí stejné možnosti zabezpečení, což usnadňuje rozšíření stejných zásad zabezpečení a postupů z cloudu na hraniční zařízení.
Stejně jako u Microsoft SQL Serveru a Azure SQL je možné zabezpečení nasazení Azure SQL Edge zobrazit jako řadu kroků zahrnujících čtyři oblasti: platformu, ověřování, objekty (včetně dat) a aplikace, které přistupují k systému.
Zabezpečení platformy a systému
Platforma pro Azure SQL Edge zahrnuje fyzického hostitele Dockeru, operační systém na hostiteli a síťové systémy připojující fyzické zařízení k aplikacím a klientům.
Implementace zabezpečení platformy začíná udržováním neoprávněných uživatelů mimo síť. Mezi osvědčené postupy patří:
- Implementace pravidel brány firewall pro zajištění zásad zabezpečení organizace
- Ujistěte se, že operační systém na fyzickém zařízení má nainstalované nejnovější aktualizace zabezpečení.
- Určení a omezení portů hostitele, které se používají pro Azure SQL Edge
- Zajištění správného řízení přístupu se použije na všechny datové svazky, které hostují data Azure SQL Edge.
Další informace o síťových protokolech Azure SQL Edge a koncových bodech TDS najdete v tématu Síťové protokoly a koncové body TDS.
Ověřování a autorizace
Ověřování
Ověřování je proces prokazování, že je uživatel tím, za koho se vydává. Azure SQL Edge v současné době podporuje SQL Authentication pouze mechanismus.
Ověřování SQL:
Ověřování SQL odkazuje na ověřování uživatele při připojování k Azure SQL Edge pomocí uživatelského jména a hesla. Během nasazení SQL Edge je nutné zadat přihlašovací heslo sql sa. Potom může správce serveru vytvořit další přihlášení a uživatele SQL, které uživatelům umožní připojit se pomocí uživatelského jména a hesla.
Další informace o vytváření a správě přihlášení a uživatelů v SQL Edgi najdete v tématu Vytvoření přihlášení a vytvoření uživatele databáze.
Autorizace
Autorizace odkazuje na oprávnění přiřazená uživateli v databázi v Azure SQL Edge a určuje, co uživatel může dělat. Oprávnění se řídí přidáním uživatelských účtů do databázových rolí a přiřazením oprávnění na úrovni databáze k těmto rolím nebo udělením určitých oprávnění na úrovni objektu. Další informace najdete v tématu Přihlášení a uživatelé.
Osvědčeným postupem je vytvořit vlastní role v případě potřeby. Přidejte uživatele do role s nejnižšími oprávněními potřebnými k provedení jejich funkce úlohy. Nepřiřazujte oprávnění přímo uživatelům. Účet správce serveru je členem předdefinované role db_owner, která má rozsáhlá oprávnění a měla by být udělena pouze několika uživatelům s administrativními povinnostmi. Pro aplikace použijte EXECUTE AS k určení kontextu spuštění volaného modulu nebo použití aplikačních rolí s omezenými oprávněními. Tento postup zajišťuje, že aplikace, která se připojuje k databázi, má nejnižší potřebná oprávnění aplikace. Dodržování těchto osvědčených postupů také podporuje oddělenípovinnostích
Zabezpečení databázových objektů
Objekty zabezpečení jsou jednotlivci, skupiny a procesy, které mají udělený přístup k SQL Edge. "Zabezpečitelné" jsou server, databáze a objekty, které databáze obsahuje. Každá má sadu oprávnění, která je možné nakonfigurovat tak, aby pomohla snížit plochu. Následující tabulka obsahuje informace o objektech zabezpečení a zabezpečitelných objektech.
| Informace o | Seznamte se s |
|---|---|
| Uživatelé serveru a databáze, role a procesy | Databázový stroj zabezpečení |
| Zabezpečení objektů serveru a databáze | Zabezpečitelné |
Šifrování a certifikáty
Šifrování nevyřeší problémy s řízením přístupu. Zvyšuje ale zabezpečení tím, že omezuje ztrátu dat i ve vzácném výskytu, kdy jsou řízení přístupu vynechány. Pokud je například hostitelský počítač databáze chybně nakonfigurovaný a uživatel se zlými úmysly získá citlivá data, jako jsou čísla platebních karet, může být odcizené informace v případě šifrování zbytečné. Následující tabulka obsahuje další informace o šifrování v Azure SQL Edge.
| Informace o | Seznamte se s |
|---|---|
| Implementace zabezpečených připojení | Šifrování připojení |
| Funkce šifrování | Kryptografické funkce (Transact-SQL) |
| Šifrování neaktivních uložených dat | Transparentní šifrování dat |
| Funkce Always Encrypted | Funkce Always Encrypted |
Poznámka:
Omezení zabezpečení popsaná pro SQL Server v Linuxu platí také pro Azure SQL Edge.
Poznámka:
Azure SQL Edge nezahrnuje nástroj mssql-conf . Všechny konfigurace, včetně konfigurace související se šifrováním, je potřeba provést prostřednictvím souboru mssql.conf nebo proměnných prostředí.
Podobně jako Azure SQL a Microsoft SQL Server poskytuje Azure SQL Edge stejný mechanismus pro vytváření a používání certifikátů k vylepšení zabezpečení objektů a připojení. Další informace naleznete v tématu CREATE CERTIFICATE (TRANSACT-SQL).
Zabezpečení aplikací
Klientské programy
Mezi osvědčené postupy zabezpečení Azure SQL Edge patří psaní zabezpečených klientských aplikací. Další informace o tom, jak pomoct zabezpečit klientské aplikace v síťové vrstvě, naleznete v tématu Konfigurace klientské sítě.
Zobrazení a funkce katalogu zabezpečení
Informace o zabezpečení jsou zpřístupněny v několika zobrazeních a funkcích, které jsou optimalizované pro výkon a nástroj. Následující tabulka obsahuje informace o zobrazeních zabezpečení a funkcích v Azure SQL Edge.
| Funkce a zobrazení | Odkazy |
|---|---|
| Zobrazení katalogu zabezpečení, která vrací informace o oprávněních na úrovni databáze a serveru, objektech zabezpečení, rolích atd. Kromě toho existují zobrazení katalogu, která poskytují informace o šifrovacích klíčích, certifikátech a přihlašovacích údajích. | Zobrazení katalogu zabezpečení (Transact-SQL) |
| Funkce zabezpečení, které vracejí informace o aktuálním uživateli, oprávněních a schématech | Funkce zabezpečení (Transact-SQL) |
| Zobrazení dynamické správy zabezpečení | Zobrazení a funkce dynamické správy související se zabezpečením (Transact-SQL) |
Auditování
Azure SQL Edge poskytuje stejné mechanismy auditování jako SQL Server. Další informace naleznete v tématu Sql Server Audit (databázový stroj).