Implementace zabezpečení pro ochranu Azure SQL
Pochopení a efektivní správa pravidel brány firewall serveru a databáze, stejně jako Microsoft Defender pro SQL, je nezbytné k zajištění ochrany vašich prostředků Azure SQL během migrace a nad rámec.
Konfigurace pravidel brány firewall serveru a databáze
Ve službě Azure SQL Database můžete nakonfigurovat pravidla brány firewall na úrovni serveru i na úrovni databáze.
Pravidla brány firewall na úrovni serveru
Pravidla brány firewall na úrovni serveru řídí přístup ke službě Azure SQL Database na širší úrovni a určují, které IP adresy se můžou připojit k serveru. Naproti tomu,
Pravidla brány firewall na úrovni serveru umožňují uživatelům připojit se ke všem serverovým databázím, zatímco brány firewall na úrovni databáze řídí přístup pro konkrétní IP adresy k jednotlivým databázím.
Pravidla brány firewall na úrovni serveru můžete nakonfigurovat prostřednictvím webu Azure Portal nebo pomocí sp_set_firewall_rule
uložené procedury v hlavní databázi.
Poznámka:
Nastavení Povolit službám a prostředkům Azure přístup k tomuto serverovém serveru se počítá jako jedno pravidlo brány firewall, pokud je povoleno. Ve výchozím nastavení zablokujte veškerý přístup a otevřete ho jenom v případě potřeby.
Pravidla brány firewall na úrovni databáze
Pravidla na úrovni databáze nabízejí konkrétnější kontrolu v jednotlivých databázích. Pravidla brány firewall na úrovni databáze můžete nakonfigurovat prostřednictvím T-SQL pouze pomocí sp_set_database_firewall_rule
uložené procedury z uživatelské databáze.
Při připojování azure SQL Database kontroluje pravidlo brány firewall na úrovni databáze specifické pro zadaný název databáze. Pokud se toto pravidlo nenajde, zkontroluje pravidla brány firewall protokolu IP na úrovni serveru, která platí pro všechny databáze na serveru. Pokud existuje některé pravidlo, vytvoří se připojení.
Pokud neexistuje žádné pravidlo a uživatel k připojení používá SQL Server Management Studio nebo Azure Data Studio, zobrazí se výzva k vytvoření pravidla brány firewall.
Microsoft Defender pro SQL
Microsoft Defender pro SQL je komplexní řešení zabezpečení pro Azure SQL Database, Azure SQL Managed Instance a SQL Server na virtuálním počítači Azure. Nepřetržitě monitoruje a vyhodnocuje zabezpečení vaší databáze a nabízí přizpůsobená doporučení pro posílení.
Poskytuje také pokročilé možnosti zabezpečení, včetně posouzení ohrožení zabezpečení SQL a Rozšířené ochrany před internetovými útoky, a proaktivně chrání váš stav dat. Toto řešení typu all-in-one pomáhá udržovat vysokou úroveň zabezpečení ve vašem prostředí SQL.
Existují dva různé způsoby, jak povolit Microsoft Defender pro SQL.
metoda | Popis |
---|---|
Úroveň předplatného (doporučeno) | Povolte ji na úrovni předplatného pro komplexní ochranu všech databází ve službě Azure SQL Database a azure SQL Managed Instance. V případě potřeby je můžete jednotlivě zakázat. |
Úroveň zdroje | Případně ji můžete povolit na úrovni prostředku, pokud chcete ochranu konkrétních databází spravovat ručně. |
Posouzení ohrožení zabezpečení SQL
Posouzení ohrožení zabezpečení SQL používá znalostní báze pravidel na základě osvědčených postupů Microsoftu. Označuje ohrožení zabezpečení, chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data.
Pro posouzení ohrožení zabezpečení SQL máte dvě možnosti konfigurace:
Expresní konfigurace: Jedná se o výchozí možnost a nevyžaduje externí úložiště pro standardní hodnoty a výsledky kontroly.
Klasická konfigurace: Potřebuje, abyste mohli spravovat účet úložiště Azure pro ukládání standardních hodnot a dat výsledků kontroly.
Advanced Threat Protection
Advanced Threat Protection vylepšuje zabezpečení Azure SQL tím, že detekuje neobvyklé nebo potenciálně škodlivé pokusy o přístup k databázi a reaguje na ně.
Poskytuje výstrahy zabezpečení pro podezřelé databázové aktivity, potenciální ohrožení zabezpečení, útoky prostřednictvím injektáže SQL a vzory neobvyklého přístupu integrované s Microsoft Defenderem pro cloud. Tato integrace nabízí přehledy a doporučené akce pro vyšetřování a zmírnění hrozeb, které zpřístupňují odborníkům na zabezpečení.
Seznam výstrah najdete v tématu Výstrahy pro SLUŽBU SQL Database a Azure Synapse Analytics v programu Microsoft Defender pro cloud.