Implementace zabezpečení pro ochranu Azure SQL

  • 9 min

Pochopení a efektivní správa pravidel brány firewall serveru a databáze, stejně jako Microsoft Defender pro SQL, je nezbytné k zajištění ochrany vašich prostředků Azure SQL během migrace a nad rámec.

Konfigurace pravidel brány firewall serveru a databáze

Ve službě Azure SQL Database můžete nakonfigurovat pravidla brány firewall na úrovni serveru i na úrovni databáze.

Pravidla brány firewall na úrovni serveru

Pravidla brány firewall na úrovni serveru řídí přístup ke službě Azure SQL Database na širší úrovni a určují, které IP adresy se můžou připojit k serveru. Naproti tomu,

Screenshot of the server rule management through Azure portal.

Pravidla brány firewall na úrovni serveru umožňují uživatelům připojit se ke všem serverovým databázím, zatímco brány firewall na úrovni databáze řídí přístup pro konkrétní IP adresy k jednotlivým databázím.

Pravidla brány firewall na úrovni serveru můžete nakonfigurovat prostřednictvím webu Azure Portal nebo pomocí sp_set_firewall_rule uložené procedury v hlavní databázi.

Poznámka:

Nastavení Povolit službám a prostředkům Azure přístup k tomuto serverovém serveru se počítá jako jedno pravidlo brány firewall, pokud je povoleno. Ve výchozím nastavení zablokujte veškerý přístup a otevřete ho jenom v případě potřeby.

Pravidla brány firewall na úrovni databáze

Pravidla na úrovni databáze nabízejí konkrétnější kontrolu v jednotlivých databázích. Pravidla brány firewall na úrovni databáze můžete nakonfigurovat prostřednictvím T-SQL pouze pomocí sp_set_database_firewall_rule uložené procedury z uživatelské databáze.

Při připojování azure SQL Database kontroluje pravidlo brány firewall na úrovni databáze specifické pro zadaný název databáze. Pokud se toto pravidlo nenajde, zkontroluje pravidla brány firewall protokolu IP na úrovni serveru, která platí pro všechny databáze na serveru. Pokud existuje některé pravidlo, vytvoří se připojení.

Pokud neexistuje žádné pravidlo a uživatel k připojení používá SQL Server Management Studio nebo Azure Data Studio, zobrazí se výzva k vytvoření pravidla brány firewall.

Screenshot showing the new firewall rule dialog from SQL Server Management Studio.

Další informace opravidlech

Microsoft Defender pro SQL

Microsoft Defender pro SQL je komplexní řešení zabezpečení pro Azure SQL Database, Azure SQL Managed Instance a SQL Server na virtuálním počítači Azure. Nepřetržitě monitoruje a vyhodnocuje zabezpečení vaší databáze a nabízí přizpůsobená doporučení pro posílení.

Poskytuje také pokročilé možnosti zabezpečení, včetně posouzení ohrožení zabezpečení SQL a Rozšířené ochrany před internetovými útoky, a proaktivně chrání váš stav dat. Toto řešení typu all-in-one pomáhá udržovat vysokou úroveň zabezpečení ve vašem prostředí SQL.

Existují dva různé způsoby, jak povolit Microsoft Defender pro SQL.

metoda Popis
Úroveň předplatného (doporučeno) Povolte ji na úrovni předplatného pro komplexní ochranu všech databází ve službě Azure SQL Database a azure SQL Managed Instance. V případě potřeby je můžete jednotlivě zakázat.
Úroveň zdroje Případně ji můžete povolit na úrovni prostředku, pokud chcete ochranu konkrétních databází spravovat ručně.

Posouzení ohrožení zabezpečení SQL

Posouzení ohrožení zabezpečení SQL používá znalostní báze pravidel na základě osvědčených postupů Microsoftu. Označuje ohrožení zabezpečení, chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data.

Pro posouzení ohrožení zabezpečení SQL máte dvě možnosti konfigurace:

  1. Expresní konfigurace: Jedná se o výchozí možnost a nevyžaduje externí úložiště pro standardní hodnoty a výsledky kontroly.

  2. Klasická konfigurace: Potřebuje, abyste mohli spravovat účet úložiště Azure pro ukládání standardních hodnot a dat výsledků kontroly.

Screenshot showing the SQL vulnerability assessment dashboard on Azure portal.

Advanced Threat Protection

Advanced Threat Protection vylepšuje zabezpečení Azure SQL tím, že detekuje neobvyklé nebo potenciálně škodlivé pokusy o přístup k databázi a reaguje na ně.

Poskytuje výstrahy zabezpečení pro podezřelé databázové aktivity, potenciální ohrožení zabezpečení, útoky prostřednictvím injektáže SQL a vzory neobvyklého přístupu integrované s Microsoft Defenderem pro cloud. Tato integrace nabízí přehledy a doporučené akce pro vyšetřování a zmírnění hrozeb, které zpřístupňují odborníkům na zabezpečení.

Screenshot showing the advanced threat protection recommendation list on Azure portal.

Seznam výstrah najdete v tématu Výstrahy pro SLUŽBU SQL Database a Azure Synapse Analytics v programu Microsoft Defender pro cloud.