Aspekty zabezpečení pro SQL Server on Azure Virtual Machines

Applies to:SQL Server na virtuálním počítači Azure

Tento článek obsahuje celkové pokyny zabezpečení, které pomáhají vytvořit zabezpečený přístup k instancím SQL Server na virtuálním počítači Azure.

Azure splňuje několik oborových předpisů a standardů, které vám umožní vytvořit kompatibilní řešení s SQL Server běžícími na virtuálním počítači. Informace o dodržování právních předpisů Azure najdete v tématu Azure Centrum zabezpečení.

Nejprve si projděte osvědčené postupy zabezpečení pro virtuální počítače SQL Server a Azure a pak si projděte tento článek, kde najdete osvědčené postupy, které platí pro SQL Server na virtuálních počítačích Azure konkrétně.

Chcete-li se dozvědět více o osvědčených postupech pro SQL Server VM, podívejte se na další články v této sérii: Checklist, VM size, HADR configuration a Collect baseline.

Kontrolní seznam

V následujícím kontrolním seznamu v této části najdete stručný přehled osvědčených postupů zabezpečení, které obsahuje zbytek článku.

SQL Server funkce a možnosti poskytují metody zabezpečení dat na úrovni databáze, které lze kombinovat s funkcemi zabezpečení na úrovni infrastruktury. Tyto funkce společně poskytují hloubkovou ochranu na úrovni infrastruktury pro cloudová a hybridní řešení. Kromě toho s Azure bezpečnostními opatřeními je možné šifrovat citlivá data, chránit virtuální počítače před viry a malwarem, zabezpečit síťový provoz, identifikovat a detekovat hrozby, splňovat požadavky na dodržování předpisů a poskytuje jedinou metodu pro správu a vytváření sestav pro případ potřeby zabezpečení v hybridním cloudu.

• Pomocí Microsoft Defender for Cloud můžete vyhodnotit stav zabezpečení vašeho datového prostředí a podniknout kroky. Funkce, jako jsou Azure Advanced Threat Protection (ATP) se dají použít napříč hybridními úlohami, aby se zlepšilo vyhodnocování zabezpečení a bylo možné reagovat na rizika. Registrace virtuálního počítače SQL Server s rozšířením agenta SQL IaaS zobrazí posouzení Microsoft Defender for Cloud v prostředku virtuálního počítače SQL v portálu Azure.
• Pomocí Microsoft Defender pro SQL můžete zjišťovat a zmírnit potenciální ohrožení zabezpečení databáze a detekovat neobvyklé aktivity, které by mohly značit hrozbu pro vaši instanci SQL Server a vrstvu databáze.
• Hodnocení zranitelností je součástí Microsoft Defender pro SQL, které může zjišťovat potenciální rizika pro vaše prostředí SQL Serveru a pomáhat s jejich nápravou. Poskytuje přehled o stavu zabezpečení a obsahuje kroky, které je možné provést při řešení problémů se zabezpečením.
• Používejte Azure Confidential VMs k posílení ochrany vašich používaných dat a uložených dat proti přístupu operátora hostitele. Důvěrné virtuální počítače Azure vám umožňují bezpečně ukládat vaše citlivá data v cloudu a splňovat přísné požadavky na dodržování předpisů.
• Pokud používáte SQL Server 2022, zvažte použití ověřování Microsoft Entra pro připojení k vaší instanci SQL Server.
• Azure Advisor analyzuje konfiguraci prostředků a telemetrii využití a pak doporučí řešení, která vám pomůžou zlepšit nákladovou efektivitu, výkon, vysokou dostupnost a zabezpečení vašich Azure prostředků. Pomocí Azure Advisor na úrovni virtuálního počítače, skupiny prostředků nebo předplatného můžete identifikovat a použít osvědčené postupy pro optimalizaci nasazení Azure.
• Použijte Azure Disk Encryption v případě, že dodržování předpisů a zabezpečení vyžaduje šifrování dat pomocí šifrovacích klíčů, včetně šifrování dočasného (místně připojeného dočasného) disku.
• Managed Disks jsou šifrované v klidu ve výchozím nastavení při použití šifrování služby Azure Storage, kde šifrovací klíče spravované Microsoftem jsou uložené v Azure.
• Porovnání možností šifrování spravovaných disků najdete v srovnávacím grafu šifrování spravovaných disků.
• Porty pro správu by se měly na virtuálních počítačích zavřít – Otevřené porty pro vzdálenou správu způsobují, že virtuální počítač je vystaven vysokému riziku z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači.
• Zapněte Just-in-time (JIT) přístup pro virtuální počítače Azure.
• Použijte Azure Bastion přes protokol RDP (Remote Desktop Protocol).
• Zamkněte porty a povolte pouze potřebný provoz aplikací pomocí Azure Firewall což je spravovaná brána firewall jako služba (FaaS), která uděluje nebo zakazuje přístup k serveru na základě původní IP adresy.
• Pomocí Skupin zabezpečení sítě (NSG) můžete filtrovat příchozí a odchozí síťový provoz do a z Azure prostředků na virtuálních sítích Azure.
• Skupiny zabezpečení aplikací použijte k seskupení serverů spolu s podobnými požadavky na filtrování portů s podobnými funkcemi, jako jsou webové servery a databázové servery.
• Použijte ochranu Azure Distributed Denial of Service (DDoS) pro webové a aplikační servery. Útoky DDoS jsou navržené tak, aby zahltily a vyčerpaly síťové prostředky, aby aplikace byly pomalé nebo nereagující. Útoky DDoS se běžně zaměřují na uživatelská rozhraní. Azure ochrana před útoky DDoS sanitizuje nežádoucí síťový provoz, než ovlivní dostupnost služby.
• Použití rozšíření virtuálních počítačů k řešení antimalwaru, požadovaného stavu, detekce hrozeb, prevence a nápravy k řešení hrozeb na úrovni operačního systému, počítače a sítě:
  • Rozšíření Konfigurace Guest provádí audit a konfigurační operace uvnitř virtuálních počítačů.
  • rozšíření virtuálního počítače agenta Network Watcher pro Windows a Linux monitoruje výkon sítě a poskytuje diagnostickou a analytickou službu, která umožňuje monitorování sítě Azure.
  • RozšířeníMicrosoft Antimalware pro Windows, které pomáhá identifikovat a odstranit viry, spyware a další škodlivý software s konfigurovatelnými výstrahami.
  • Hodnocte rozšíření třetích stran jako je Symantec Endpoint Protection pro virtuální počítač Windows (/azure/virtual-machines/extensions/symantec).
• Pomocí Azure Policy můžete vytvořit obchodní pravidla, která se dají použít ve vašem prostředí. Zásady Azure vyhodnocují prostředky Azure porovnáním jejich vlastností s pravidly definovanými ve formátu JSON.
• Azure Blueprints umožňuje cloudovým architektům a centrálním skupinám informačních technologií definovat opakovatelnou sadu Azure prostředků, které implementují a dodržují standardy, vzory a požadavky organizace. Azure Blueprints jsou odlišné než zásady Azure.
• Použijte Windows Server 2019 nebo Windows Server 2022 tak, aby byly FIPS kompatibilní s SQL Server na virtuálních počítačích Azure.
• Zacházejte s obnovením záloh jako s vysoce rizikovou operací a nikdy neobnovíte zálohu z nedůvěryhodného zdroje.

Další informace o osvědčených postupech zabezpečení najdete v tématech osvědčené postupy zabezpečení SQL Serveru a zabezpečení SQL Serveru.

Microsoft Defender pro SQL na počítačích

Microsoft Defender for Cloud je jednotný systém správy zabezpečení, který je navržený tak, aby vyhodnotil a poskytoval příležitosti ke zlepšení stavu zabezpečení vašeho datového prostředí. Microsoft Defender nabízí Microsoft Defender pro SQL na počítačích ochranu SQL Server na virtuálních počítačích Azure. Pomocí Microsoft Defender pro SQL můžete zjišťovat a zmírnit potenciální ohrožení zabezpečení databáze a zjišťovat neobvyklé aktivity, které můžou značit hrozbu pro vaši instanci SQL Server a vrstvu databáze.

Microsoft Defender pro SQL nabízí následující výhody:

• Hodnocení zranitelnosti mohou zjišťovat a napomáhat při odstraňování potenciálních rizik pro vaše prostředí SQL Serveru. Poskytuje přehled o stavu zabezpečení a obsahuje kroky, které je možné provést při řešení problémů se zabezpečením.
• V Microsoft Defender for Cloud použijte skóre zabezpečení .
• Další podrobnosti najdete v seznamu aktuálně dostupných doporučení k výpočetním prostředkům a datům.
• Registrace virtuálního počítače SQL Server pomocí rozšíření agenta IaaS pro SQL Server zobrazí doporučení aplikace Microsoft Defender pro SQL pro prostředky virtuálních počítačů SQL na portálu Azure.

Správa portálu

Po zaregistrování svého virtuálního počítače SQL Server s rozšířením agenta SQL IaaS můžete nakonfigurovat několik nastavení zabezpečení prostřednictvím prostředku virtuálního počítače SQL v portálu Azure, jako je například povolení integrace s Azure Key Vault nebo ověřování SQL.

Po povolení Microsoft Defender pro SQL na počítačích můžete zobrazit funkce Defenderu pro cloud přímo v rámci prostředku virtuálních počítačů SQL na portálu Azure, jako jsou posouzení ohrožení zabezpečení a výstrahy zabezpečení.

Další informace najdete v tématu Spravování virtuálního počítače SQL Server na portálu.

Důvěryhodné virtuální počítače

Azure důvěrné virtuální počítače poskytují silnou úroveň ochrany zajištěnou hardwarem, která posiluje ochranu operačního systému hosta proti přístupu operátora hostitele. Volba důvěrné velikosti virtuálního počítače pro SQL Server na virtuálním počítači Azure poskytuje další vrstvu ochrany, která vám umožní bezpečně ukládat citlivá data do cloudu a splňovat přísné požadavky na dodržování předpisů.

Azure důvěrné virtuální počítače používají procesory AMD s technologií SEV-SNP, která šifruje paměť virtuálního počítače pomocí klíčů vygenerovaných procesorem. To pomáhá chránit data při jejich použití (data zpracovávaná v paměti procesu SQL Server) před neoprávněným přístupem z hostitelského operačního systému. Disk s operačním systémem důvěrného virtuálního počítače je také možné šifrovat pomocí klíčů vázaných na čip TPM (Trusted Platform Module) virtuálního počítače, čímž se posiluje ochrana neaktivních uložených dat.

Podrobné kroky nasazení najdete v Quickstart: Nasazení SQL Server na důvěrný virtuální počítač.

Doporučení pro šifrování disků se liší u důvěrných virtuálních počítačů než u ostatních velikostí virtuálních počítačů. Další informace najdete v tématu Šifrování disků.

Ověřování pomocí Microsoft Entra

Od SQL Server 2022 se můžete připojit k SQL Server pomocí některé z následujících metod ověřování pomocí Microsoft Entra ID (formerly Azure Active Directory):

• Password nabízí ověřování pomocí přihlašovacích údajů Microsoft Entra
• Univerzální řešení s vícefaktorovým ověřováním přidává další úroveň zabezpečení
• Integrated používá zprostředkovatele federace, jako je Active Directory Federation Services (ADFS), aby bylo možné používat jednotné přihlašování (SSO).
• Službový principál umožňuje ověřování v aplikacích Azure
• Managed Identity umožňuje ověřování pro aplikace přiřazené k identitám Microsoft Entra.

Pokud chcete začít, projděte si Konfigurování ověřování Microsoft Entra pro virtuální počítač SQL Server.

Azure Advisor

Azure Advisor je individuální cloudový konzultant, který vám pomůže postupovat podle osvědčených postupů pro optimalizaci nasazení Azure. Azure Advisor analyzuje konfiguraci prostředků a telemetrii využití a pak doporučí řešení, která vám pomůžou zlepšit nákladovou efektivitu, výkon, vysokou dostupnost a zabezpečení vašich Azure prostředků. Azure Advisor může provádět hodnocení na úrovni virtuálního počítače, skupiny prostředků nebo předplatného.

integrace Azure Key Vault

Existuje několik funkcí šifrování SQL Server, jako je transparentní šifrování dat (TDE), šifrování na úrovni sloupců (CLE) a šifrování záloh. Tyto formy šifrování vyžadují správu a ukládání kryptografických klíčů, které používáte k šifrování. Služba Azure Key Vault je navržená tak, aby zlepšila zabezpečení a správu těchto klíčů v zabezpečeném a vysoce dostupném umístění. Konektor SQL Server umožňuje SQL Server používat tyto klíče z Azure Key Vault.

Zvažte použití těchto zdrojů:

• Azure Key Vault ukládá tajné kódy aplikací do centralizovaného cloudového umístění pro bezpečné řízení přístupových oprávnění a samostatné protokolování přístupu.
• Při zavádění vlastních klíčů do Azure se doporučuje ukládat tajné kódy a certifikáty do Azure Key Vault.
• Azure Disk Encryption používá Azure Key Vault k řízení a správě šifrovacích klíčů a tajných kódů disku.

Řízení přístupu

Když vytvoříte virtuální počítač SQL Server s image z galerie Azure, volba připojení SQL Server vám poskytne možnost Lokální (uvnitř virtuálního počítače), Soukromé (v rámci virtuální sítě) nebo Veřejné (Internet).

Pro zajištění nejlepšího zabezpečení zvolte pro váš scénář nejvíce omezující možnost. Pokud například používáte aplikaci, která přistupuje k SQL Server na stejném virtuálním počítači, pak Local je nejbezpečnější volbou. Pokud používáte aplikaci Azure, která vyžaduje přístup k SQL Server, pak Private zabezpečuje komunikaci s SQL Server pouze v rámci zadané virtuální sítě Azure. Pokud potřebujete přístup Public (internet) k virtuálnímu počítači SQL Server, nezapomeňte postupovat podle dalších osvědčených postupů v tomto tématu, abyste snížili prostor pro útok.

Vybrané možnosti na portálu používají příchozí pravidla zabezpečení ve skupině zabezpečení sítě (NSG) virtuálního počítače k povolení nebo zamítnutí síťového provozu na virtuálním počítači. Můžete upravit nebo vytvořit nová příchozí pravidla NSG (Network Security Group), která povolí provoz na portu SQL Serveru (výchozí 1433). Můžete také zadat IP adresy, které mají povolenou komunikaci přes tento port.

Kromě pravidel NSG pro omezení síťového provozu můžete také použít Windows Firewall na virtuálním počítači.

Pokud používáte koncové body s klasickým modelem nasazení, odeberte všechny koncové body na virtuálním počítači, pokud je nepoužíváte. Pokyny k používání seznamů ACL s koncovými body najdete v tématu Správa seznamu ACL v koncovém bodu. To není nezbytné pro virtuální počítače, které používají Azure Resource Manager.

Zvažte povolení šifrovaných připojení pro instanci SQL Server Database Engine ve virtuálním počítači Azure. Nakonfigurujte SQL Server instanci s podepsaným certifikátem. Další informace najdete v tématu Enable Encrypted Connections to the Database Engine and Connection String Syntax.

Při zabezpečení síťového připojení nebo hraniční sítě zvažte následující skutečnosti:

• Azure Firewall: Stavová a spravovaná brána firewall jako služba (FaaS), která uděluje nebo zakazuje přístup k serveru na základě původní IP adresy pro ochranu síťových prostředků.
• Azure ochrana proti distribuovaným útokům na odepření služby (DDoS): Útoky DDoS zahltí a vyčerpají síťové prostředky, což způsobí, že aplikace jsou pomalé nebo nereagují. Azure ochrana před útoky DDoS sanitizuje nežádoucí síťový provoz, než ovlivní dostupnost služby.
• Skupování zabezpečení sítě (NSG): Filtruje síťový provoz do a z prostředků Azure ve virtuálních sítích Azure.
• Skupiny zabezpečení aplikací: Poskytuje seskupení serverů s podobnými požadavky na filtrování portů a seskupuje servery s podobnými funkcemi, jako jsou webové servery.

Šifrování disku

Tato část obsahuje pokyny pro šifrování disků, ale doporučení se liší v závislosti na tom, jestli nasazujete konvenční SQL Server na virtuální počítač Azure nebo SQL Server na Azure důvěrný virtuální počítač.

Běžné virtuální počítače

Spravované disky nasazené na virtuální počítače, které nejsou Azure důvěrnými virtuálními počítači, používají šifrování na straně serveru a Azure Disk Encryption. Šifrování na straně serveru poskytuje šifrování uložených dat a chrání vaše data, aby splnila závazky organizace týkající se zabezpečení a souladu s normami. Azure Disk Encryption používá technologii BitLockeru nebo DM-Crypt a integruje se s Azure Key Vault k šifrování operačního systému i datových disků.

Zvažte použití těchto zdrojů:

• Azure Disk Encryption šifruje disky virtuálních počítačů pomocí Azure Disk Encryption pro Windows i virtuální počítače s Linuxem.
  • Pokud vaše požadavky na dodržování předpisů a zabezpečení vyžadují šifrování dat pomocí šifrovacích klíčů, včetně šifrování dočasného (místně připojeného dočasného) disku, použijte šifrování disků Azure šifrování disků.
  • Azure Disk Encryption (ADE) využívá standardní funkci BitLockeru pro Windows a funkci DM-Crypt šifrování operačního systému Linux a datového disku.
• Šifrování spravovaného disku
  • Managed Disks jsou ve výchozím nastavení šifrované v klidu pomocí Šifrování služby Azure Storage, kde jsou šifrovací klíče spravované Microsoftem uložené v Azure.
  • Data v Azure Managed Disks se transparentně šifrují pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2.
• Porovnání možností šifrování spravovaných disků najdete v srovnávacím grafu šifrování spravovaných disků.

důvěrné virtuální počítače Azure

Pokud používáte Azure důvěrný virtuální počítač, zvažte následující doporučení k maximalizaci výhod zabezpečení:

• Nakonfigurujte důvěrné šifrování disku s operačním systémem, které sváže šifrovací klíče disku s operačním systémem na čip TPM (Trusted Platform Module) virtuálního počítače. Zpřístupňuje také chráněný obsah disku jenom virtuálnímu počítači.
• Pomocí Nástroje BitLocker zašifrujte datové disky (všechny disky obsahující soubory databáze, soubory protokolů nebo záložní soubory) a povolte automatické odemknutí. Další informace najdete v tématu manage-bde autounlock nebo EnableBitLockerAutoUnlock . Automatické odemčení zajišťuje, že šifrovací klíče jsou uložené na disku s operačním systémem. Ve spojení s důvěrným šifrováním disku s operačním systémem to chrání neaktivní uložená data na disky virtuálních počítačů před neoprávněným přístupem hostitele.

Důvěryhodné spuštění

Když nasadíte virtuální počítač generace 2 , máte možnost povolit důvěryhodné spuštění, které chrání před pokročilými a trvalými technikami útoku.

Při důvěryhodném spuštění můžete:

• Bezpečně nasaďte virtuální počítače s ověřenými zavaděči, jádry operačního systému a ovladači.
• Bezpečně chraňte klíče, certifikáty a tajné kódy ve virtuálních počítačích.
• Získejte přehledy a jistotu o integritě celého spouštěcího řetězce.
• Ujistěte se, že úlohy jsou důvěryhodné a ověřitelné.

Při povolení důvěryhodného spuštění pro SQL Server na virtuálních počítačích Azure se v současné době nepodporují následující funkce:

• Azure Site Recovery
• disky úrovně Ultra
• Spravované obrázky
• Vnořená virtualizace

Správa účtů

Nechcete, aby útočníci snadno odhadli názvy účtů nebo hesla. Použijte následující tipy jako pomoc:

• Vytvořte jedinečný účet místního správce, který nemá název Administrator.

• Používejte složitá silná hesla pro všechny vaše účty. Další informace o vytvoření silného hesla najdete v článku Vytvoření silného hesla .

• Ve výchozím nastavení během instalace virtuálního počítače s SQL Serverem Azure vybere ověřování Windows. Přihlášení SA je proto zakázané a heslo je přiřazeno nastavením. Doporučujeme, aby se přihlašovací jméno SA nepoužívalo ani nepovolilo. Pokud potřebujete přihlášení SQL, použijte jednu z následujících strategií:

  • Vytvořte účet SQL s jedinečným názvem, který má členství správce systému. Můžete to provést na portálu povolením ověřování SQL během zřizování.

    Návod

    Pokud během zřizování nepovolíte ověřování SQL, musíte ručně změnit režim ověřování na SQL Server a režim ověřování Windows. Další informace naleznete v tématu Změna režimu ověřování serveru.

  • Pokud musíte použít přihlášení SA , povolte přihlášení po zřízení a přiřaďte nové silné heslo.

Poznámka:

Připojení k virtuálnímu počítači SQL Server pomocí služby Microsoft Entra Domain Services se nepodporuje. Místo toho použijte účet domény Active Directory.

Auditování a reportování

Auditing s Log Analytics zaznamenává události a zapisuje do protokolu auditu v zabezpečeném účtu Azure Blob Storage. Log Analytics lze použít k dešifrování podrobností protokolů auditu. Auditování umožňuje ukládat data do samostatného účtu úložiště a vytvořit záznam auditu všech vybraných událostí. Můžete také použít Power BI v protokolu auditu k rychlé analýze dat a přehledům o vašich datech a také k zobrazení dodržování právních předpisů. Další informace o auditování na úrovních virtuálního počítače a Azure najdete v tématu Azure protokolování a auditování zabezpečení.

Přístup na úrovni virtuálního počítače

Zavření portů pro správu na vašem počítači – Otevření portů pro vzdálenou správu vystavuje virtuální počítač na vysokou úroveň rizika při internetových útocích. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači.

• Zapněte Just-in-time (JIT) přístup pro virtuální počítače Azure.
• Použijte Azure Bastion přes protokol RDP (Remote Desktop Protocol).

Rozšíření virtuálních počítačů

Azure rozšíření virtuálních počítačů jsou důvěryhodná rozšíření microsoftu nebo třetích stran, která pomáhají řešit konkrétní potřeby a rizika, jako je antivirová ochrana, malware, ochrana před hrozbami a další.

• Rozšíření konfigurace hosta
  • Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta.
  • Mezi nastavení hosta patří konfigurace operačního systému, konfigurace aplikace nebo její dostupnost a nastavení prostředí.
  • Po instalaci budou zásady pro hosta k dispozici, jako je třeba ochrana Windows Exploit Guard má být povolena.
• Agent shromažďování dat síťového provozu
  • Microsoft Defender for Cloud využívá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z vašich Azure virtuálních počítačů.
  • Tento agent umožňuje pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.
• Vyhodnoťte rozšíření od Microsoftu a třetích stran, která řeší antimalware, požadovaný stav, detekci hrozeb, prevenci a nápravu pro řešení hrozeb na úrovni operačního systému, počítače a sítě.

Dodržování předpisů FIPS

FIPS je standard státní správy USA, který definuje minimální požadavky na zabezpečení kryptografických modulů v produktech a systémech informačních technologií. Některé programy pro dodržování předpisů pro státní správu USA, jako je FedRAMP nebo Ministerstvo obrany, vyžadují použití ověřeného šifrování FIPS.

SQL Server může být kompatibilní se standardem FIPS v SQL Server 2016 a novějších verzích nebo SQL Server 2014 s Extended Security Updates.

Pokud chcete, aby SQL Server na virtuálních počítačích Azure odpovídal standardu FIPS, měli byste používat Windows Server 2022, který má ve výchozím nastavení standard FIPS povolený. Windows Server 2019 také může být kompatibilní se standardem FIPS, pokud je funkce FIPS povolená ručně pomocí zásad uvedených v Průvodci technickou implementací zabezpečení (STIG) vyhledáním V-93511.

SQL Server momentálně není kompatibilní se standardem FIPS na virtuálních počítačích s Linuxem Azure.

Bezpečnostní riziko obnovení záloh z nedůvěryhodných zdrojů

Tato část popisuje bezpečnostní riziko spojené s obnovením záloh z nedůvěryhodných zdrojů do jakéhokoli SQL Server prostředí, včetně místních, Azure SQL Managed Instance, SQL Server on Azure Virtual Machines (virtuálních počítačů) a jakéhokoli jiného prostředí.

Proč na tom záleží

Obnovení záložních souborů SQL (.bak) představuje potenciální riziko, pokud záloha pochází z nedůvěryhodného zdroje. Bezpečnostní riziko se dále zhoršuje, když má prostředí SQL Server více instancí, protože zvyšuje oblast hrozeb. I když zálohy, které zůstávají v rámci důvěryhodné hranice, nepředstavují žádný problém se zabezpečením, obnovení škodlivé zálohy může ohrozit zabezpečení celého prostředí.

Škodlivý .bak soubor může:

• Převezměte celou instanci SQL Server.
• Eskalujte oprávnění a získejte neoprávněný přístup k podkladovému hostiteli nebo virtuálnímu počítači.

K tomuto útoku dochází před spuštěním jakýchkoli ověřovacích skriptů nebo kontrol zabezpečení, což z něj dělá extrémně nebezpečné. Obnovení nedůvěryhodné zálohy odpovídá spouštění nedůvěryhodných aplikací na kritickém serveru nebo virtuálním počítači a zavedení libovolného spuštění kódu do vašeho prostředí.

Osvědčené postupy

Pokud chcete snížit hrozbu pro vaše SQL Server prostředí, postupujte podle těchto osvědčených postupů zabezpečení zálohování:

• Zacházejte s obnovením záloh jako s vysoce rizikovými operacemi.
• Omezte oblast služby hrozeb pomocí izolovaných instancí.
• Povolte pouze důvěryhodné zálohy: nikdy neobnovujte zálohy z neznámých nebo externích zdrojů.
• Povolit pouze zálohy, které zůstaly v rámci důvěryhodné hranice: zajistěte, aby zálohy pocházejí z důvěryhodné hranice.
• Nevyužívat bezpečnostní prvky pro usnadnění přístupu.
• Povolte auditování na úrovni serveru , abyste zachytili události zálohování a obnovení a snížili úniky auditů.

Související obsah

Projděte si osvědčené postupy zabezpečení pro virtuální počítače SQL Server a Azure a v tomto článku najdete osvědčené postupy, které platí pro SQL Server na virtuálních počítačích Azure konkrétně.

Další témata související se spouštěním SQL Server ve virtuálních počítačích Azure najdete v SQL Server on Azure Virtual Machines přehledu. Pokud máte dotazy k virtuálním počítačům SQL Server, podívejte se na Frequently Asked Questions.

Další informace najdete v dalších článcích v této sérii osvědčených postupů:

• Rychlý kontrolní seznam
• Velikost virtuálního počítače
• Úložiště
• Nastavení HADR
• Shromáždění výchozího stavu