Kontrolní seznam zabezpečení databáze Azure

K lepšímu zabezpečení patří Azure SQL Database a Azure SQL Managed Instance integrované kontrolní mechanismy zabezpečení, které můžete použít k omezení a řízení přístupu, ochraně dat a monitorování hrozeb.

Mezi bezpečnostní prvky patří:

• Pravidla firewallu omezující připojení podle IP adresy a virtuální sítě
• Ověřování Microsoft Entra pro centralizovanou správu identit
• Zabezpečené připojení pomocí šifrování TLS
• Správa a autorizace přístupu
• Šifrování dat v klidu a během přenosu
• Auditování databáze a detekce hrozeb
• Pokročilé funkce zabezpečení dat

Úvod

Cloud computing vyžaduje nová bezpečnostní paradigmata, která nemusí být pro mnoho uživatelů aplikací, správců databází a programátorů neznámá. Organizace můžou využívat komplexní funkce zabezpečení Azure SQL k ochraně citlivých dat a splnění zákonných požadavků na dodržování předpisů.

Kontrolní seznam

Před kontrolou tohoto kontrolního seznamu doporučujeme přečíst si článek s osvědčenými postupy zabezpečení služby Azure SQL Database . Pochopení osvědčených postupů vám pomůže získat maximální hodnotu z tohoto kontrolního seznamu. Pomocí tohoto kontrolního seznamu ověřte, že jste vyřešili důležité bezpečnostní prvky v zabezpečení databáze Azure.

Kategorie kontrolního seznamu	Popis
Ochrana dat
Šifrování během přenosu	Protokol TLS (Transport Layer Security) šifruje přenášená data mezi klienty a databázemi. Azure SQL vyžaduje pro zabezpečená připojení protokol TLS 1.2 nebo vyšší. Databáze vyžaduje zabezpečenou komunikaci od klientů na základě protokolu TDS (Tabular Data Stream) přes protokol TLS.
Šifrování neaktivních uložených dat	Transparentní šifrování dat (TDE) šifruje neaktivní uložená data a soubory protokolu. TDE je ve výchozím nastavení povoleno ve všech nových databázích Azure SQL. Funkce Přineste si vlastní klíč (BYOK) umožňuje spravovat šifrovací klíče transparentního šifrování dat ve službě Azure Key Vault.
Šifrování používané	Funkce Always Encrypted chrání citlivá data tím, že je zašifruje v klientských aplikacích. Šifrovací klíče se nikdy nedostanou k databázovému stroji a zajišťují oddělení mezi vlastníky dat a správci dat. Column-Level Šifrování (CLE) šifruje konkrétní sloupce pomocí symetrického šifrování pro ještě vyšší ochranu citlivých dat.
Řízení přístupu
Přístup k databázi	Ověřování Microsoft Entra poskytuje centralizovanou správu identit s funkcemi jednotného přihlašování (SSO). Ověřování SQL se silnými hesly poskytuje alternativní metodu ověřování. Autorizace uděluje uživatelům minimální oprávnění potřebná pomocí řízení přístupu na základě role.
Řízení přístupu k síti	Pravidla brány firewall protokolu IP na úrovni serveru omezují přístup na základě pocházejících IP adres. Pravidla brány firewall protokolu IP na úrovni databáze poskytují podrobné řízení přístupu pro každou databázi. Koncové body služby virtuální sítě umožňují připojení z konkrétních virtuálních sítí Azure. Private Link poskytuje privátní připojení ke službě Azure SQL Database pomocí privátní IP adresy ve vaší virtuální síti.
Řízení přístupu k aplikacím	Row-Level Zabezpečení (RLS) omezuje na úrovni řádků přístup na základě identity uživatele, jeho role nebo kontextu spuštění. Dynamické maskování dat omezuje vystavení citlivých dat tím, že je maskuje neprivilegovaným uživatelům beze změny podkladových dat. Zjišťování a klasifikace dat identifikuje, klasifikuje a označuje citlivá data pro lepší ochranu a dodržování předpisů.
Proaktivní monitorování
Auditování a detekce	Auditování sleduje události databáze a zapisuje je do protokolu auditu v účtu služby Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Sledování stavu služby Azure SQL Database pomocí služby Azure Monitor a nastavení diagnostiky Microsoft Defender for SQL detekuje neobvyklé databázové aktivity označující potenciální bezpečnostní hrozby, včetně injektáže SQL, útoků hrubou silou a zneužití ohrožení zabezpečení.
Hodnocení zranitelnosti	Vyhodnocení zranitelností zjišťuje, sleduje a pomáhá odstraňovat potenciální zranitelnosti databáze. Poskytuje realizovatelná doporučení zabezpečení a sestavy rizik pro dodržování předpisů.
Centralizovaná správa zabezpečení	Microsoft Defender for Cloud poskytuje centralizované monitorování a správu zabezpečení pro Azure SQL Database a další služby Azure. Doporučení zabezpečení založená na srovnávacím testu zabezpečení cloudu Microsoftu
Integrita dat
Funkce registru	Hlavní kniha poskytuje funkce pro detekci manipulace vytvořením neměnného záznamu databázových transakcí. Pomáhá splňovat požadavky na dodržování předpisů pro ověření integrity dat.

Závěr

Azure SQL Database a Azure SQL Managed Instance poskytují robustní databázové platformy s komplexními funkcemi zabezpečení, které splňují požadavky organizace a dodržování právních předpisů. Data můžete chránit v průběhu celého životního cyklu – v klidu, během přenosu a při použití – pomocí transparentního šifrování dat, Always Encrypted a TLS. Jemně odstupňované řízení přístupu, včetně zabezpečení Row-Level, dynamického maskování dat a ověřování Microsoft Entra, zajišťují přístup jenom autorizovaným uživatelům k citlivým datům. Průběžné monitorování prostřednictvím auditování, Microsoft Defenderu pro SQL a posouzení ohrožení zabezpečení pomáhá aktivně identifikovat a opravovat bezpečnostní hrozby.

Další kroky

Ochranu databáze před škodlivými uživateli nebo neoprávněným přístupem můžete vylepšit několika jednoduchými kroky:

• Konfigurace pravidel brány firewall pro server a databáze
• Ochrana dat pomocí šifrování
• Povolení auditování služby SQL Database
• Povolit Microsoft Defender pro SQL pro detekci hrozeb
• Kontrola osvědčených postupů zabezpečení