Osvědčené postupy pro zabezpečení databází PaaS v Azure

V tomto článku probereme kolekci osvědčených postupů zabezpečení Azure SQL Database a Azure Synapse Analytics pro zabezpečení webových a mobilních aplikací paaS (platforma jako služba). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure a prostředími zákazníků, jako jsou sami.

Azure SQL Database a Azure Synapse Analytics poskytují relační databázovou službu pro vaše internetové aplikace. Pojďme se podívat na služby, které pomáhají chránit vaše aplikace a data při používání služby Azure SQL Database a Azure Synapse Analytics v nasazení PaaS:

• Ověřování Microsoft Entra (místo ověřování SQL Serveru)
• Brána firewall Azure SQL
• Transparentní šifrování dat

Použití centralizovaného úložiště identit

Azure SQL Database je možné nakonfigurovat tak, aby používala jeden ze dvou typů ověřování:

• Ověřování SQL používá uživatelské jméno a heslo. Při vytváření serveru pro vaši databázi jste zadali přihlašovací jméno správce serveru s uživatelským jménem a heslem. Pomocí těchto přihlašovacích údajů můžete ověřit jakoukoli databázi na daném serveru jako vlastníka databáze.

• Ověřování Microsoft Entra používá identity spravované pomocí ID Microsoft Entra a podporuje se pro spravované a integrované domény. Pokud chcete použít ověřování Microsoft Entra, musíte vytvořit dalšího správce serveru s názvem "Microsoft Entra admin", který může spravovat uživatele a skupiny Microsoft Entra. Tento správce může také provádět všechny operace jako běžný správce serveru.

Ověřování Microsoft Entra je mechanismus připojení ke službě Azure SQL Database a Azure Synapse Analytics pomocí identit v Microsoft Entra ID. Microsoft Entra ID poskytuje alternativu k ověřování SQL Serveru, takže můžete zastavit šíření identit uživatelů napříč databázovými servery. Ověřování Microsoft Entra umožňuje centrálně spravovat identity uživatelů databáze a dalších služby Microsoft v jednom centrálním umístění. Centrální správa ID poskytuje jediné místo pro správu uživatelů databáze a zjednodušuje správu oprávnění.

Výhody použití Microsoft Entra ID místo ověřování SQL

• Umožňuje rotaci hesel na jednom místě.
• Spravuje oprávnění databáze pomocí externích skupin Microsoft Entra.
• Eliminuje ukládání hesel povolením integrovaného ověřování systému Windows a dalších forem ověřování podporovaných id Microsoft Entra.
• Používá uživatele databáze s omezením k ověřování identit na úrovni databáze.
• Podporuje ověřování na základě tokenů pro aplikace připojující se ke službě SQL Database.
• Podporuje federaci domény s Active Directory Federation Services (AD FS) (ADFS) nebo nativním ověřováním uživatele a hesla pro místní ID Microsoft Entra bez synchronizace domény.
• Podporuje připojení ze sady SQL Server Management Studio, která používají univerzální ověřování služby Active Directory, což zahrnuje vícefaktorové ověřování (MFA). Vícefaktorové ověřování zahrnuje silné ověřování s celou řadou možností snadného ověření. Možnosti ověření jsou telefonní hovor, textová zpráva, čipové karty s pin kódem nebo oznámením mobilní aplikace. Další informace najdete v tématu Univerzální ověřování se službou SQL Database a Azure Synapse Analytics.

Další informace o ověřování Microsoft Entra najdete tady:

• Použití ověřování Microsoft Entra pro ověřování pomocí SLUŽBY SQL Database, spravované instance nebo Azure Synapse Analytics
• Ověřování ve službě Azure Synapse Analytics
• Podpora ověřování na základě tokenů pro Azure SQL Database s využitím ověřování Microsoft Entra

Poznámka:

Pokud chcete zajistit, aby id Microsoft Entra bylo vhodné pro vaše prostředí, podívejte se na funkce a omezení Microsoft Entra.

Omezení přístupu na základě IP adresy

Můžete vytvořit pravidla brány firewall, která určují rozsahy přijatelných IP adres. Tato pravidla můžou být cílená na úrovni serveru i databáze. Pravidla brány firewall na úrovni databáze doporučujeme používat, kdykoli je to možné, abyste zvýšili zabezpečení a aby byla vaše databáze přenosnější. Pravidla brány firewall na úrovni serveru se nejlépe používají pro správce a pokud máte mnoho databází se stejnými požadavky na přístup, ale nechcete trávit čas konfigurací jednotlivých databází.

Omezení výchozí zdrojové IP adresy služby SQL Database umožňují přístup z jakékoli adresy Azure, včetně dalších předplatných a tenantů. Můžete to omezit tak, aby vaše IP adresy povolovaly přístup pouze k instanci. I v případě omezení brány firewall a IP adresy SQL je stále potřeba silné ověřování. Podívejte se na doporučení uvedená dříve v tomto článku.

Další informace o omezeních služby Azure SQL Firewall a IP adres najdete tady:

• Řízení přístupu ke službě Azure SQL Database a Azure Synapse Analytics
• Pravidla brány firewall služby Azure SQL Database a Azure Synapse Analytics

Šifrování neaktivních uložených dat

transparentní šifrování dat (TDE) je ve výchozím nastavení povolená. Transparentní šifrování dat transparentním šifrováním dat a souborů protokolů SQL Serveru, Azure SQL Database a Azure Synapse Analytics. Transparentní šifrování dat chrání před ohrožením přímého přístupu k souborům nebo jejich zálohováním. To vám umožní šifrovat neaktivní uložená data beze změny stávajících aplikací. Transparentní šifrování dat by vždy mělo zůstat povolené; Tím ale útočník nezastaví normální přístupovou cestu. Transparentní šifrování dat umožňuje dodržovat mnoho zákonů, předpisů a pokynů stanovených v různých odvětvích.

Azure SQL spravuje klíčové problémy související s transparentním šifrováním dat. Stejně jako u transparentního šifrování dat je potřeba věnovat zvláštní pozornost místnímu prostředí, aby se zajistila obnovitelnost a při přesouvání databází. Ve složitějších scénářích je možné klíče explicitně spravovat ve službě Azure Key Vault prostřednictvím rozšiřitelné správy klíčů. Viz Povolení transparentního šifrování dat na SQL Serveru pomocí EKM. To také umožňuje funkci BYOK (Bring Your Own Key) prostřednictvím služby Azure Key Vaults BYOK.

Azure SQL poskytuje šifrování sloupců prostřednictvím funkce Always Encrypted. To umožňuje přístup jenom autorizovaným aplikacím k citlivým sloupcům. Použití tohoto typu šifrování omezuje dotazy SQL pro šifrované sloupce na hodnoty založené na rovnosti.

Šifrování na úrovni aplikace by se také mělo použít pro selektivní data. Obavy ohledně suverenity dat se někdy dají zmírnit šifrováním dat pomocí klíče, který se uchovává ve správné zemi nebo oblasti. To brání dokonce náhodnému přenosu dat, protože není možné dešifrovat data bez klíče za předpokladu, že se používá silný algoritmus (například AES 256).

Další opatření můžete použít k zabezpečení databáze, jako je návrh zabezpečeného systému, šifrování důvěrných prostředků a vytvoření brány firewall kolem databázových serverů.

Další kroky

Tento článek vás seznámil s kolekcí osvědčených postupů zabezpečení služby SQL Database a Azure Synapse Analytics pro zabezpečení webových a mobilních aplikací PaaS. Další informace o zabezpečení nasazení PaaS najdete tady:

• Zabezpečení nasazení PaaS
• Zabezpečení webových a mobilních aplikací PaaS pomocí Aplikace Azure Services