Megosztás a következőn keresztül:

Oktatóanyag: Adatbázis védelme az Azure SQL Database-ben

A következőkre vonatkozik:Azure SQL Database

Ebből az oktatóanyagból megtudhatja, hogyan:

  • Kiszolgálószintű és adatbázisszintű tűzfalszabályok létrehozása
  • Microsoft Entra-rendszergazda konfigurálása
  • Felhasználói hozzáférés kezelése SQL-hitelesítéssel, Microsoft Entra-hitelesítéssel és biztonságos kapcsolati sztringekkel
  • Olyan biztonsági funkciók engedélyezése, mint az SQL-hez készült Microsoft Defender, a naplózás, az adatmaszkolás és a titkosítás

Jegyzet

Microsoft Entra ID korábban Azure Active Directory (Azure AD) néven ismert.

Az Azure SQL Database a következőkkel biztosítja az adatok védelmét:

  • Hozzáférés korlátozása tűzfalszabályok használatával
  • Identitást igénylő hitelesítési mechanizmusok használata
  • A hozzáférés-engedélyezés használata szerepkör alapú tagságok és jogosultságok segítségével
  • Biztonsági funkciók engedélyezése

Jegyzet

A Azure SQL Managed Instance hálózati biztonsági szabályok és privát végpontok védik az Azure SQL Managed Instance és Connectivity architektúra leírása szerint.

További információkért tekintse meg az Azure SQL Database biztonsági áttekintését és képességeit ismertető cikkeket .

Tipp

Ez az ingyenes Learn modul bemutatja, hogyan teheti biztonságossá adatbázisát az Azure SQL Database-ben.

Előfeltételek

Az oktatóanyag elvégzéséhez győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot.

Bejelentkezés az Azure Portalra

Az oktatóanyag minden lépéséhez jelentkezzen be az Azure portálra

Tűzfalszabályok létrehozása

Az SQL Database adatbázisait tűzfalak védik az Azure-ban. Alapértelmezés szerint a rendszer elutasítja a kiszolgálóhoz és az adatbázishoz való összes kapcsolatot. További információ: Kiszolgálószintű és adatbázisszintű tűzfalszabályok.

Állítsa be az Azure-szolgáltatásokhozOFF való hozzáférés engedélyezése beállítást a legbiztonságosabb konfigurációhoz. Ezután hozzon létre egy fenntartott IP-címet (klasszikus üzembe helyezés) a csatlakozni kívánt erőforráshoz, például egy Azure-beli virtuális géphez vagy felhőszolgáltatáshoz, és csak ezt az IP-címet engedélyezze a tűzfalon keresztül. Ha a Resource Manager üzemi modellt használja, minden erőforráshoz dedikált nyilvános IP-cím szükséges.

Jegyzet

Az SQL Database az 1433-as porton keresztül kommunikál. Ha vállalati hálózaton belülről próbál csatlakozni, előfordulhat, hogy a hálózat tűzfala nem engedélyezi a kimenő forgalmat az 1433-as porton keresztül. Ha igen, csak akkor csatlakozhat a kiszolgálóhoz, ha a rendszergazda meg nem nyitja az 1433-at.

Kiszolgálószintű tűzfalszabályok beállítása

A kiszolgálószintű IP-tűzfalszabályok az azonos kiszolgálón belüli összes adatbázisra vonatkoznak.

Kiszolgálószintű tűzfalszabály beállítása:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

    Képernyőkép egy logikai SQL-adatbázis Azure Portal oldaláról, kiemelve a kiszolgáló nevét.

    Jegyzet

    Ügyeljen arra, hogy az oktatóanyag későbbi részében mindenképpen másolja ki a teljes minősített kiszolgálónevet (például yourserver.database.windows.net).

  2. Válassza a Hálózat lehetőséget a Beállításokterületen. Válassza a Nyilvános hozzáférés lapot, majd a Nyilvános hálózati hozzáférés területen válassza Kijelölt hálózatok lehetőséget a tűzfalszabályok szakasz megjelenítéséhez.

    Képernyőkép egy logikai SQL Server Azure Portal hálózatkezelési oldaláról, amelyen a kiszolgálószintű IP-tűzfalszabály látható.

  3. Válassza az eszköztáron az "Ügyfél IP hozzáadása" lehetőséget, hogy hozzáadja a jelenlegi IP-címét egy új IP-tűzfalszabályhoz. Az IP-tűzfalszabály megnyithatja az 1433-at egyetlen IP-címhez vagy IP-címtartományhoz.

  4. A tűzfalbeállítások mentéséhez válassza az OK lehetőséget.

Mostantól a kiszolgáló bármely adatbázisához csatlakozhat a megadott IP-címmel vagy IP-címtartománysal.

Adatbázis tűzfalszabályainak beállítása

Az adatbázisszintű tűzfalszabályok csak az egyes adatbázisokra vonatkoznak. Az adatbázis megtartja ezeket a szabályokat a kiszolgáló feladatátvétele során. Az adatbázisszintű tűzfalszabályok csak Transact-SQL (T-SQL) utasítások használatával konfigurálhatók, és csak kiszolgálószintű tűzfalszabály konfigurálása után.

Adatbázisszintű tűzfalszabály beállítása:

  1. Csatlakozzon az adatbázishoz, például SQL Server Management Studiohasználatával.

  2. Az Object Explorerterületen kattintson a jobb gombbal az adatbázisra, és válassza Új lekérdezéslehetőséget.

  3. A lekérdezési ablakban adja hozzá ezt az utasítást, és módosítsa az IP-címet a nyilvános IP-címére:

    EXECUTE sp_set_database_firewall_rule N'Example DB Rule','0.0.0.4','0.0.0.4';

  4. Az eszköztáron válassza a Végrehajtás lehetőséget a tűzfalszabály létrehozásához.

Jegyzet

Az SSMS-ben kiszolgálószintű tűzfalszabályt is létrehozhat a sp_set_firewall_rule paranccsal, de csatlakoznia kell a adatbázishoz.

Microsoft Entra-rendszergazda létrehozása

Győződjön meg arról, hogy a megfelelő Microsoft Entra-azonosítót (korábban Azure Active Directory) felügyelt tartományt használja. A tartomány kiválasztásához használja az Azure Portal jobb felső sarkát. Ez a folyamat megerősíti, hogy ugyanazt az előfizetést használja mind a Microsoft Entra-azonosító, mind az adatbázist vagy adattárházat üzemeltető logikai kiszolgáló.

Képernyőkép az Azure Portalról, amelyen a Címtár + előfizetés szűrőlap látható, ahol kiválaszthatja a címtárat.

A Microsoft Entra rendszergazdájának beállítása:

  1. Az Azure portálon a SQL Server lapján válassza a Microsoft Entra ID lehetőséget az erőforrás menüjéből, majd válassza a Rendszergazda beállítása lehetőséget a Microsoft Entra ID panel megnyitásához.

    Az Azure Portal logikai kiszolgáló oldalán a Microsoft Entra ID képernyőképe.

    Fontos

    A feladat elvégzéséhez Privileged Role Administrator vagy magasabb szintű szerepkörrel kell rendelkeznie.

  2. A Microsoft Entra ID panelen keresse meg és jelölje ki a Microsoft Entra ID felhasználót vagy csoportot, majd válassza a Kiválasztáslehetőséget. A Microsoft Entra-szervezet összes tagja és csoportja megjelenik, a szürke színnel kiemelt bejegyzések pedig nem támogatottak Microsoft Entra rendszergazdákként.

    Képernyőkép az Azure Portal oldaláról Microsoft Entra-rendszergazda hozzáadásához.

    Fontos

    Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) csak a portálra vonatkozik, és nem propagálja az SQL Serverre.

  3. A Microsoft Entra rendszergazdai lap tetején válassza a Mentéslehetőséget.

    A rendszergazda módosításának folyamata több percet is igénybe vehet. Az új rendszergazda megjelenik a Microsoft Entra rendszergazdai mezőben.

Jegyzet

Microsoft Entra-rendszergazda beállításakor az új rendszergazda neve (felhasználó vagy csoport) nem létezhet bejelentkezésként vagy felhasználóként a főadatbázisban . Ha jelen van, a beállítás sikertelen lesz, és visszaállítja a módosításokat, jelezve, hogy már létezik ilyen rendszergazdai név. Mivel a kiszolgálói bejelentkezés vagy a felhasználó nem része a Microsoft Entra-azonosítónak, a felhasználó Microsoft Entra-hitelesítéssel való csatlakoztatása meghiúsul.

További információ a Microsoft Entra-azonosító konfigurálásáról:

Adatbázis-hozzáférés kezelése

Az adatbázis-hozzáférés kezelése felhasználók adatbázishoz való hozzáadásával, vagy a felhasználók biztonságos kapcsolati sztringekkel való hozzáférésének engedélyezésével. A kapcsolati sztringek hasznosak külső alkalmazásokhoz. További információ: Bejelentkezések és felhasználói fiókok kezelése és Microsoft Entra-hitelesítés.

Felhasználók hozzáadásához válassza ki az adatbázis-hitelesítési típust:

  • SQL-hitelesítés, használjon felhasználónevet és jelszót a bejelentkezésekhez, és csak egy adott adatbázis kontextusában érvényesek a kiszolgálón

  • Microsoft Entra-hitelesítés, használja a Microsoft Entra ID által kezelt identitásokat

SQL-hitelesítés

Sql-hitelesítéssel rendelkező felhasználó hozzáadása:

  1. Csatlakozzon az adatbázishoz, például SQL Server Management Studiohasználatával.

  2. Az Object Explorerterületen kattintson a jobb gombbal az adatbázisra, és válassza Új lekérdezéslehetőséget.

  3. A lekérdezési ablakban adja meg a következő parancsot:

    CREATE USER ApplicationUser WITH PASSWORD = 'YourStrongPassword1';

  4. Az eszköztáron válassza a Végrehajtás gombot a felhasználó létrehozásához.

  5. Alapértelmezés szerint a felhasználó csatlakozhat az adatbázishoz, de nincs engedélye az adatok olvasására vagy írására. Az engedélyek megadásához hajtsa végre a következő parancsokat egy új lekérdezési ablakban:

    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;

Jegyzet

Hozzon létre nem rendszergazdai fiókokat az adatbázis szintjén, kivéve, ha rendszergazdai feladatokat kell végrehajtania, például új felhasználókat kell létrehoznia.

Microsoft Entra-hitelesítés

Mivel az Azure SQL Database nem támogatja a Microsoft Entra-kiszolgálónevek (bejelentkezések) használatát, a Microsoft Entra-fiókokkal létrehozott adatbázis-felhasználók tartalmazott adatbázis-felhasználókként jönnek létre. A tartalmazott adatbázis-felhasználó nincs társítva az master adatbázisban lévő bejelentkezéshez, még akkor sem, ha létezik azonos nevű bejelentkezés. A Microsoft Entra-identitás lehet egyéni felhasználó vagy csoport. További információ: Tartalmazott adatbázis-felhasználók, az adatbázis hordozhatóvá tétele és a Microsoft Entra oktatóanyag a Microsoft Entra-azonosítóval történő hitelesítésről.

Jegyzet

Az adatbázis-felhasználók (a rendszergazdák kivételével) nem hozhatók létre az Azure Portalon. A Microsoft Entra-szerepkörök nem öröklődnek az SQL-kiszolgálókra, adatbázisokra vagy adattárházakra. Ezek csak az Azure-erőforrások kezelésére szolgálnak, és nem vonatkoznak az adatbázis-engedélyekre.

Az SQL Server közreműködői szerepköre például nem biztosít hozzáférést az adatbázishoz vagy adattárházhoz való csatlakozáshoz. Ezt az engedélyt T-SQL-utasítások használatával kell megadni az adatbázisban.

Fontos

A speciális karakterek, például a kettőspont : vagy az ampersand & nem támogatottak a T-SQL-ben CREATE LOGIN és CREATE USER az utasításokban szereplő felhasználónevekben.

Felhasználó hozzáadása Microsoft Entra-hitelesítéssel:

  1. Csatlakozzon a szerverhez az Azure-ban egy Microsoft Entra-fiókkal, amely legalább a BÁRMELY FELHASZNÁLÓ MÓDOSÍTÁSÁRA vonatkozó engedéllyel rendelkezik.

  2. Az Object Explorerterületen kattintson a jobb gombbal az adatbázisra, és válassza Új lekérdezéslehetőséget.

  3. A lekérdezési ablakban adja meg a következő parancsot, és módosítsa a <Azure_AD_principal_name> a Microsoft Entra-felhasználó egyszerű nevére vagy a Microsoft Entra-csoport megjelenítendő nevére:

    CREATE USER [<Azure_AD_principal_name>] FROM EXTERNAL PROVIDER;

Jegyzet

A Microsoft Entra-felhasználók az adatbázis metaadataiban E (EXTERNAL_USER) típussal, a csoportok pedig X (EXTERNAL_GROUPS) típussal vannak megjelölve. További információ: sys.database_principals.

Biztonságos kapcsolati karakterláncok

Az ügyfélalkalmazás és az SQL Database közötti biztonságos, titkosított kapcsolat biztosításához a kapcsolati sztringet a következőre kell konfigurálni:

  • Titkosított kapcsolat kérése
  • Nem megbízható a kiszolgálótanúsítvány

A kapcsolat a Transport Layer Security (TLS) használatával jön létre, és csökkenti a középen belüli támadás kockázatát. A kapcsolati sztringek adatbázisonként érhetők el, és előre konfigurálva vannak az olyan ügyfélillesztők támogatására, mint a ADO.NET, a JDBC, az ODBC és a PHP. A TLS-ről és a kapcsolatról további információt TLS-szempontokcímű témakörben talál.

A biztonságos kapcsolati karakterlánc másolása:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

  2. Az Áttekintés lapon válassza a „Adatbázis-kapcsolati sztringek megjelenítése”opciót.

  3. Válasszon egy illesztőlapot, és másolja ki a teljes kapcsolati sztringet.

    Képernyőkép az Azure Portalról, amelyen a kapcsolati sztringek lap látható. A ADO.NET lap ki van jelölve, és megjelenik a ADO.NET (SQL-hitelesítés) kapcsolati sztring.

Biztonsági funkciók engedélyezése

Az Azure SQL Database olyan biztonsági funkciókat biztosít, amelyek az Azure Portalon érhetők el. Ezek a funkciók az adatbázishoz és a kiszolgálóhoz is elérhetők, kivéve az adatmaszkolást, amely csak az adatbázisban érhető el. További információ: Microsoft Defender for SQL, Naplózási, Dinamikus adatmaszkolásés Transzparens adattitkosítási.

Microsoft Defender SQL-hez

Az SQL-hez készült Microsoft Defender funkció észleli a lehetséges fenyegetéseket, és biztonsági riasztásokat biztosít a rendellenes tevékenységekről. A felhasználók a naplózási funkcióval megvizsgálhatják ezeket a gyanús eseményeket, és megállapíthatják, hogy az esemény az adatbázisban lévő adatok elérésére, megsértésére vagy kihasználására szolgál-e. A felhasználók biztonsági áttekintést is kaphatnak, amely tartalmaz egy sebezhetőségi felmérést, valamint az adatfelderítési és -besorolási eszközt.

Jegyzet

Ilyen fenyegetés például az SQL-injektálás, amely egy olyan folyamat, amelyben a támadók rosszindulatú SQL-t injektálnak az alkalmazás bemeneteibe. Az alkalmazások ezután tudtán kívül végrehajthatják a rosszindulatú SQL-t, és lehetővé tehetik a támadók számára, hogy megsérthessék vagy módosíthassák az adatbázisban lévő adatokat.

Az SQL-hez készült Microsoft Defender engedélyezése:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

  2. Az Áttekintés lapon válassza a kiszolgálónév hivatkozást. Megnyílik a kiszolgálóoldal.

  3. Az SQL Server lapján keresse meg a Biztonsági szakaszt, és válassza a Defender for Cloudlehetőséget.

    1. A funkció engedélyezéséhez válassza ON a Microsoft Defender for SQL alatt. Válasszon egy tárfiókot a biztonságirés-felmérés eredményeinek mentéséhez. Ezután válassza a Mentéslehetőséget.

      Képernyőkép az Azure Portal navigációs paneljéről a fenyegetésészlelési beállításokhoz.

      Az e-maileket úgy is konfigurálhatja, hogy biztonsági riasztásokat, tárolási adatokat és fenyegetésészlelési típusokat fogadjon.

  4. Térjen vissza az adatbázis SQL-adatbázisok lapjára, és válassza a Defender for Cloud lehetőséget a Biztonsági szakaszban. Itt különböző biztonsági mutatók érhetők el az adatbázishoz.

    Képernyőkép az Azure Portal veszélyforrások állapotlapjáról, amelyen kördiagramok láthatók az adatfelderítési & besoroláshoz, a sebezhetőségi felméréshez és a fenyegetésészleléshez.

Ha rendellenes tevékenységeket észlel, e-mailt kap az eseményről. Ez magában foglalja a tevékenység jellegét, az adatbázist, a kiszolgálót, az eseményidőt, a lehetséges okokat, valamint a lehetséges fenyegetés kivizsgálására és enyhítésére javasolt műveleteket. Ha ilyen e-mail érkezik, válassza a Azure SQL Auditing Log hivatkozást az Azure Portal elindításához és az esemény időpontjához kapcsolódó naplózási rekordok megjelenítéséhez.

Képernyőkép az Azure-ból származó minta e-mailről, amely egy lehetséges SQL-injektálási fenyegetés észlelését jelzi. Az e-mail törzsében az Azure SQL DB auditnaplóira mutató hivatkozás van kiemelve.

Könyvvizsgálat

A naplózási funkció nyomon követi az adatbázis-eseményeket, és eseményeket ír egy naplóba az Azure Storage-ban, az Azure Monitor-naplókban vagy egy eseményközpontban. A naplózás segít fenntartani a jogszabályi megfelelőséget, megérteni az adatbázis-tevékenységeket, és betekintést nyerni az olyan eltérésekbe és anomáliákba, amelyek potenciális biztonsági jogsértéseket jelezhetnek.

Az auditálás engedélyezése:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

  2. A Biztonsági szakaszban válassza az Ellenőrzéslehetőséget.

  3. A naplózási beállításai között adja meg a következő értékeket:

    1. Állítsa be a naplózástON.

    2. Válassza Naplózási napló célhelyét az alábbiak bármelyikeként:

      • Storage, egy Azure Storage-fiók, ahol az eseménynaplók mentésre kerülnek, és .xel fájlként tölthetők le

        Tipp

        Használja ugyanazt a tárfiókot az összes auditált adatbázishoz, hogy a lehető legtöbbet hozhassa ki a jelentéssablonok naplózásából.

      • Log Analytics, amely automatikusan tárolja az eseményeket lekérdezés vagy további elemzés céljából

        Jegyzet

        A Log Analytics-munkaterület olyan speciális funkciók támogatásához szükséges, mint az elemzés, az egyéni riasztási szabályok, valamint az Excel vagy a Power BI-exportálás. Munkaterület nélkül csak a lekérdezésszerkesztő érhető el.

      • Event Hub, amely lehetővé teszi az események átirányítását más alkalmazásokban való használatra

    3. Válassza a Mentéslehetőséget.

      Képernyőkép az Azure Portal naplózási beállításainak oldaláról. A Mentés gomb ki van emelve. A naplózási napló célmezői ki vannak emelve.

  4. Most kiválaszthatja Naplók megtekintése az adatbázis-események adatainak megtekintéséhez.

    Képernyőkép az Azure Portal azon oldaláról, amelyen egy SQL-adatbázis naplózási rekordjai láthatók.

Fontos

Tekintse meg a SQL Database naplózási lehetőségeket, és tudja meg, hogyan szabhatja testre a naplózási eseményeket a PowerShell vagy REST API használatával.

Dinamikus adatmaszkolás

Az adatmaszkolás funkció automatikusan elrejti a bizalmas adatokat az adatbázisban.

Az adatmaszkolás engedélyezése:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

  2. A Biztonsági szakaszban válassza Dinamikus adatmaszkoláslehetőséget.

  3. A Dinamikus adatmaszkolás beállításai között válassza a maszkolási szabály hozzáadásához Maszk hozzáadása lehetőséget. Az Azure automatikusan feltölti a választható adatbázissémákat, táblákat és oszlopokat.

    Képernyőkép az Azure portál oldaláról, ahol dinamikus adatmaszk mezőket lehet menteni vagy hozzáadni. A javasolt mezők a séma, a táblázat és a táblák oszlopainak maszkolására szolgálnak.

  4. Válassza a Mentéslehetőséget. A kijelölt információk mostantól maszkolva lesznek az adatvédelem érdekében.

    Az SQL Server Management Studio (SSMS) képernyőképe, amelyen egy egyszerű

Transzparens adattitkosítás

A titkosítási funkció automatikusan titkosítja az inaktív adatokat, és nem igényel módosításokat a titkosított adatbázishoz hozzáférő alkalmazásokban. Új adatbázisok esetén a titkosítás alapértelmezés szerint be van kapcsolva. Az SSMS és a Mindig titkosított funkcióval is titkosíthatja az adatokat.

Titkosítás engedélyezése vagy ellenőrzése:

  1. Az Azure Portalon válassza SQL-adatbázisok a bal oldali menüből, majd válassza ki az adatbázist az SQL-adatbázisok lapon.

  2. A Biztonsági szakaszban válassza Transzparens adattitkosításilehetőséget.

  3. Ha szükséges, állítsa be az adattitkosítást a következőre ON: . Válassza a Mentéslehetőséget.

    Képernyőkép az Azure Portal oldaláról a transzparens adattitkosítás engedélyezéséhez.

Jegyzet

A titkosítás állapotának megtekintéséhez csatlakozzon az adatbázishoz SSMS- használatával, és kérdezze le a encryption_state nézet oszlopát. A 3 állapota azt jelzi, hogy az adatbázis titkosítva van.

Jegyzet

Egyes ügyféltartalmak, például a táblanevek, az objektumnevek és az indexnevek, a Microsoft támogatás és hibaelhárítás céljából a naplófájlokban továbbíthatók.

Kapcsolódó tartalom

Következő lépés

Lépjen tovább a következő oktatóanyagra, amelyből megtudhatja, hogyan implementálhatja a geoterjesztést.

Oktatóanyag: Földrajzilag elosztott adatbázis (Azure SQL Database)

  • Last updated on