Lista de comprobación de la seguridad de Azure Database

Para ayudar a mejorar la seguridad, Azure SQL Database e Instancia administrada de Azure SQL incluyen controles de seguridad integrados que puede usar para limitar y controlar el acceso, proteger los datos y supervisar las amenazas.

Los controles de seguridad incluyen estos elementos:

• Reglas de firewall que limitan la conectividad por dirección IP y red virtual
• Autenticación de Microsoft Entra para la administración de identidades centralizada
• Protección de la conectividad mediante el cifrado TLS
• Administración y autorización de acceso
• Cifrado de datos en reposo y en tránsito
• Auditoría de bases de datos y detección de amenazas
• Características avanzadas de seguridad de datos

Introducción

La informática en la nube requiere nuevos paradigmas de seguridad que pueden ser desconocidos para muchos usuarios de aplicaciones, administradores de bases de datos y programadores. Las organizaciones pueden aprovechar las características de seguridad completas de Azure SQL para proteger los datos confidenciales y cumplir los requisitos de cumplimiento normativo.

Lista de comprobación

Se recomienda leer el artículo procedimientos recomendados de seguridad de Azure SQL Database antes de revisar esta lista de comprobación. Comprender los procedimientos recomendados le ayudará a obtener el máximo valor de esta lista de comprobación. Use esta lista de comprobación para comprobar que ha abordado los controles de seguridad importantes en la seguridad de base de datos de Azure.

Categoría de la lista de comprobación	Descripción
Protección de datos
Cifrado en tránsito	Seguridad de la capa de transporte (TLS) cifra los datos en movimiento entre los clientes y las bases de datos. Azure SQL requiere TLS 1.2 o posterior para conexiones seguras. La base de datos requiere una comunicación segura de los clientes en función del protocolo TDS (flujo de datos tabulares) a través de TLS.
Cifrado en reposo	Cifrado de datos transparente (TDE) cifra los archivos de datos y de registro en reposo. TDE está habilitado de forma predeterminada en todas las nuevas bases de datos de Azure SQL. Bring Your Own Key (BYOK) permite administrar claves de cifrado de TDE en Azure Key Vault.
Cifrado en uso	Always Encrypted protege los datos confidenciales mediante el cifrado dentro de las aplicaciones cliente. Las claves de cifrado nunca llegan al motor de base de datos, lo que garantiza la separación entre los propietarios de datos y los administradores de datos. Cifrado a Nivel de Columna (CLE) cifra columnas específicas mediante cifrado simétrico para proporcionar protección adicional de los datos confidenciales.
Control de acceso
Acceso a la base de datos	La autenticación de Microsoft Entra proporciona administración de identidades centralizada con funcionalidades de inicio de sesión único (SSO). La autenticación de SQL con contraseñas seguras proporciona un método de autenticación alternativo. La autorización concede a los usuarios los privilegios mínimos necesarios mediante el control de acceso basado en roles.
Control de acceso de red	Las reglas de firewall de IP de nivel de servidor restringen el acceso en función de las direcciones IP de origen. Las reglas de firewall IP a nivel de base de datos proporcionan un control de acceso granular por base de datos. Los puntos de conexión de servicio de red virtual permiten la conectividad desde redes virtuales de Azure específicas. Private Link proporciona conectividad privada a Azure SQL Database mediante una dirección IP privada dentro de la red virtual.
Control de acceso a las aplicaciones	Row-Level Security (RLS) restringe el acceso de nivel de fila en función de la identidad, el rol o el contexto de ejecución de un usuario. Enmascaramiento dinámico de datos limita la exposición de datos confidenciales al enmascararlo a usuarios sin privilegios sin cambiar los datos subyacentes. Detección y clasificación de datos identifica, clasifica y etiqueta datos confidenciales para mejorar la protección y el cumplimiento.
Supervisión proactiva
Auditoría y detección	La auditoría realiza un seguimiento de los eventos de base de datos y los escribe en un registro de auditoría en la cuenta de Azure Storage, el área de trabajo de Log Analytics o Event Hubs. Realice un seguimiento del estado de Azure SQL Database mediante Azure Monitor y la configuración de diagnóstico. Microsoft Defender para SQL detecta actividades anómalas de base de datos que indican posibles amenazas de seguridad, como inyección de código SQL, ataques por fuerza bruta y vulnerabilidades de seguridad.
Evaluación de vulnerabilidades	La evaluación de vulnerabilidades detecta, realiza un seguimiento y ayuda a corregir posibles vulnerabilidades de base de datos. Proporciona recomendaciones de seguridad accionables e informes de riesgo para el cumplimiento.
Administración centralizada de la seguridad	Microsoft Defender for Cloud proporciona supervisión y administración centralizadas de seguridad para Azure SQL Database y otros servicios de Azure. Recomendaciones de seguridad basadas en la prueba comparativa de seguridad en la nube de Microsoft.
Integridad de datos
Funcionalidad del libro de contabilidad	Ledger proporciona capacidades a prueba de manipulaciones mediante la creación de un registro inmutable de transacciones de base de datos. Ayuda a cumplir los requisitos de cumplimiento para la comprobación de la integridad de los datos.

Conclusión

Azure SQL Database e Instancia administrada de Azure SQL proporcionan plataformas de base de datos sólidas con características de seguridad completas que cumplen los requisitos de cumplimiento normativo y organizativo. Puede proteger los datos a lo largo de su ciclo de vida( en reposo, en tránsito y en uso) mediante cifrado de datos transparente, Always Encrypted y TLS. Los controles de acceso específicos, como la seguridad de Row-Level, el enmascaramiento dinámico de datos y la autenticación de Microsoft Entra garantizan que solo los usuarios autorizados accedan a datos confidenciales. La supervisión continua a través de la auditoría, Microsoft Defender para SQL y la evaluación de vulnerabilidades ayuda a identificar y corregir las amenazas de seguridad de forma proactiva.

Pasos siguientes

Puede mejorar la protección de la base de datos contra usuarios malintencionados o acceso no autorizado con unos sencillos pasos:

• Configuración de reglas de firewall para el servidor y las bases de datos
• Protección de los datos con cifrado
• Habilitación de la auditoría de SQL Database
• Habilitación de Microsoft Defender para SQL para la detección de amenazas
• Revisión de los procedimientos recomendados de seguridad