Az Azure Database biztonsági ellenőrzőlistája

A biztonság javítása érdekében az Azure SQL Database és a felügyelt Azure SQL-példány beépített biztonsági vezérlőket tartalmaz, amelyekkel korlátozhatja és szabályozhatja a hozzáférést, megvédheti az adatokat és figyelheti a fenyegetéseket.

A biztonsági vezérlők a következők:

• Az IP-cím és a virtuális hálózat kapcsolatát korlátozó tűzfalszabályok
• Microsoft Entra-hitelesítés központosított identitáskezeléshez
• Biztonságos kapcsolat TLS-titkosítással
• Hozzáférés-kezelés és engedélyezés
• Adattitkosítás nyugalmi állapotban és átvitel közben
• Adatbázis-naplózás és fenyegetésészlelés
• Speciális adatbiztonsági funkciók

Bevezetés

A felhőalapú számítástechnika új biztonsági paradigmákat igényel, amelyek sok alkalmazásfelhasználó, adatbázis-rendszergazda és programozó számára ismeretlenek lehetnek. A szervezetek az Azure SQL átfogó biztonsági funkcióit használhatják a bizalmas adatok védelmére és a jogszabályi megfelelőségi követelmények teljesítésére.

Ellenőrzőlista

Javasoljuk, hogy az ellenőrzőlista áttekintése előtt olvassa el az Azure SQL Database biztonsági ajánlott eljárásairól szóló cikket. Az ajánlott eljárások megismerése segít abban, hogy a legtöbb értéket kapja ebből az ellenőrzőlistából. Ezzel az ellenőrzőlistával ellenőrizheti, hogy az Azure-adatbázis biztonságában kezelt-e minden fontos biztonsági vezérlőt.

Ellenőrzőlista kategóriája	Leírás
Adatok védelme
Titkosítás az átvitel során	A Transport Layer Security (TLS) az ügyfelek és adatbázisok közötti mozgásban lévő adatokat titkosítja. Az Azure SQL a biztonságos kapcsolatokhoz TLS 1.2 vagy újabb verziót igényel. Az adatbázis biztonságos kommunikációt igényel az ügyfelektől a TDS (Táblázatos adatfolyam) protokoll alapján TLS-en keresztül.
Titkosítás inaktív állapotban	A transzparens adattitkosítás (TDE) titkosítja az inaktív adatokat és naplófájlokat. A TDE alapértelmezés szerint engedélyezve van az összes új Azure SQL-adatbázisban. A Saját kulcs (BYOK) használatával a TDE titkosítási kulcsok kezelését végezheti az Azure Key Vaultban.
Használatban lévő titkosítás	Az Always Encrypted az ügyfélalkalmazásokon belüli titkosítással védi a bizalmas adatokat. A titkosítási kulcsok soha nem érik el az adatbázismotort, így biztosítva az adattulajdonosok és az adatkezelők elkülönítését. Column-Level Encryption (CLE) szimmetrikus titkosítással titkosítja az egyes oszlopokat a bizalmas adatok további védelme érdekében.
Hozzáférés vezérlése
Adatbázis-hozzáférés	A Microsoft Entra-hitelesítés központosított identitáskezelést biztosít egyszeri bejelentkezés (SSO) funkciókkal. Az erős jelszavakkal rendelkező SQL-hitelesítés alternatív hitelesítési módszert biztosít. Az engedélyezés biztosítja a felhasználók számára a szerepköralapú hozzáférés-vezérléshez szükséges minimális jogosultságokat.
Hálózati hozzáférés-vezérlés	A kiszolgálószintű IP-tűzfalszabályok az eredeti IP-címek alapján korlátozzák a hozzáférést. Az adatbázisszintű IP-tűzfalszabályok adatbázisonként részletes hozzáférés-vezérlést biztosítanak. A virtuális hálózati szolgáltatásvégpontok adott Azure-beli virtuális hálózatokról engedélyezik a kapcsolatot. A Private Link privát kapcsolatot biztosít az Azure SQL Database-hez egy privát IP-cím használatával a virtuális hálózaton belül.
Alkalmazáshozzáférés-vezérlés	Row-Level Security (RLS) a felhasználó identitása, szerepköre vagy végrehajtási környezete alapján korlátozza a sorszintű hozzáférést. A dinamikus adatmaszkolás korlátozza a bizalmas adatexpozíciót azáltal, hogy maszkolja a nem kiemelt felhasználók számára a mögöttes adatok módosítása nélkül. Az adatfelderítés és -besorolás azonosítja, osztályozza és címkézi a bizalmas adatokat a jobb védelem és megfelelőség érdekében.
Proaktív monitorozás
Ellenőrzés és észlelés	A naplózás nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket az Azure Storage-fiókban, a Log Analytics-munkaterületen vagy az Event Hubsban. Az Azure SQL Database állapotának nyomon követése az Azure Monitor és a diagnosztikai beállítások használatával. Az SQL-hez készült Microsoft Defender olyan rendellenes adatbázis-tevékenységeket észlel, amelyek potenciális biztonsági fenyegetéseket jeleznek, beleértve az SQL-injektálást, a találgatásos támadásokat és a biztonsági rések kihasználását.
Sebezhetőségi felmérés	A sebezhetőségi felmérés felderíti, nyomon követi és segít a lehetséges adatbázis-biztonsági rések elhárításában. A megfelelőséghez használható biztonsági javaslatokat és kockázati jelentéseket biztosít.
Központosított biztonságkezelés	A Microsoft Defender for Cloud központosított biztonsági monitorozást és felügyeletet biztosít az Azure SQL Database-hez és más Azure-szolgáltatásokhoz. Biztonsági javaslatok a Microsoft felhőbiztonsági benchmarkja alapján.
Adatintegritás
Főkönyv funkció	A Ledger az adatbázistranzakciók nem módosítható rekordjának létrehozásával biztosít illetéktelen beavatkozást lehetővé tetső képességeket. Segít megfelelni az adatintegritási ellenőrzés megfelelőségi követelményeinek.

Összegzés

Az Azure SQL Database és a felügyelt Azure SQL-példány robusztus adatbázisplatformokat biztosít a szervezeti és szabályozási megfelelőségi követelményeknek megfelelő átfogó biztonsági funkciókkal. A transzparens adattitkosítás, az Always Encrypted és a TLS használatával az adatok teljes életciklusa alatt – inaktív állapotban, átvitel közben és használatban – védhetők. A részletes hozzáférés-vezérlés, például a Row-Level Biztonság, a Dinamikus adatmaszkolás és a Microsoft Entra-hitelesítés biztosítja, hogy csak a jogosult felhasználók férjenek hozzá a bizalmas adatokhoz. A folyamatos figyelés naplózással, az SQL-hez készült Microsoft Defender és a sebezhetőségi felmérés segítségével proaktívan azonosíthatja és elháríthatja a biztonsági fenyegetéseket.

Következő lépések

Néhány egyszerű lépéssel javíthatja az adatbázis védelmét a rosszindulatú felhasználókkal vagy a jogosulatlan hozzáféréssel szemben:

• Tűzfalszabályok konfigurálása a kiszolgálóhoz és az adatbázisokhoz
• Adatok védelme titkosítással
• SQL Database naplózásának engedélyezése
• A Microsoft Defender engedélyezése az SQL-hez fenyegetésészleléshez
• Ajánlott biztonsági eljárások áttekintése