Migrálás újító csúcstalálkozóra:
Megtudhatja, hogyan növelheti vállalkozása teljesítményét, rugalmasságát és biztonságát az Azure-ba való migrálás és korszerűsítés, amely lehetővé teszi a mesterséges intelligencia teljes körű megvalósítását.Regisztráció
Ezt a böngészőt már nem támogatjuk.
Frissítsen a Microsoft Edge-re, hogy kihasználhassa a legújabb funkciókat, a biztonsági frissítéseket és a technikai támogatást.
Ez a cikk az alkalmazások adatszintjének biztonságossá tételének alapjait ismerteti Azure SQL Database, Felügyelt Azure SQL-példányés Azure Synapse Analyticshasználatával. A leírt biztonsági stratégia az alábbi képen látható rétegzett védelmi megközelítést követi, és kívülről a következő módon mozog:
Megjegyzés
Microsoft Entra ID korábban Azure Active Directory (Azure AD) néven ismert.
Hálózati biztonság
A Microsoft Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics relációs adatbázis-szolgáltatást biztosít a felhőbeli és nagyvállalati alkalmazások számára. Az ügyféladatok védelme érdekében a tűzfalak megakadályozzák a kiszolgálóhoz való hálózati hozzáférést mindaddig, amíg a hozzáférés explicit módon meg nem adódik az IP-cím vagy az Azure virtuális hálózati forgalom eredete alapján.
virtuális hálózati szolgáltatásvégpontok kiterjesztik a virtuális hálózati kapcsolatot az Azure gerinchálózatán, és lehetővé teszik az Azure SQL Database számára, hogy azonosítsa azt a virtuális hálózati alhálózatot, amelyről a forgalom származik. Ahhoz, hogy a forgalom elérhesse az Azure SQL Database-t, használja az SQL szolgáltatáscímkéket a hálózati biztonsági csoportokon keresztüli kimenő forgalom engedélyezéséhez.
virtuális hálózati szabályok engedélyezik, hogy az Azure SQL Database csak a kijelölt alhálózatokról küldött kommunikációkat fogadja el egy virtuális hálózaton belül.
Megjegyzés
A tűzfalszabályokhoz való hozzáférés szabályozása nem vonatkozik felügyelt SQL-példányra. További információ a szükséges hálózati konfigurációról: Csatlakozás felügyelt példányhoz
A hitelesítés annak a folyamatnak a része, amely igazolja, hogy a felhasználó az, akinek mondja magát. Az SQL Database és a felügyelt SQL-példány támogatja az SQL-hitelesítést és a Microsoft Entra-azonosítóval történő hitelesítést (korábban Azure Active Directory). A felügyelt SQL-példány emellett támogatja Windows-hitelesítési a Microsoft Entra-tagok számára.
SQL-hitelesítés:
Az SQL-hitelesítés egy felhasználó hitelesítésére utal, amikor felhasználónévvel és jelszóval csatlakozik az Azure SQL Database-hez vagy a felügyelt Azure SQL-példányhoz. A kiszolgáló létrehozásakor meg kell adni egy kiszolgáló rendszergazdájának bejelentkezést felhasználónévvel és jelszóval. Ezen hitelesítő adatok használatával egy kiszolgáló rendszergazdája az adott kiszolgálón vagy példányon lévő bármely adatbázishoz hitelesítheti magát adatbázis-tulajdonosként. Ezt követően a kiszolgáló rendszergazdája további SQL-bejelentkezéseket és felhasználókat hozhat létre, amelyek lehetővé teszik a felhasználók számára, hogy felhasználónevet és jelszót használva csatlakozzanak.
Microsoft Entra hitelesítés:
A Microsoft Entra-hitelesítés egy olyan mechanizmus, amely Azure SQL Database, Azure SQL Felügyelt Példány és Azure Synapse Analytics csatlakozását teszi lehetővé a Microsoft Entra ID-ban található identitások használatával. A Microsoft Entra-hitelesítés lehetővé teszi a rendszergazdák számára, hogy központilag kezeljék az adatbázis-felhasználók identitásait és engedélyeit, valamint más Azure-szolgáltatásokat egy központi helyen. Ez minimalizálja a jelszótárolást, és lehetővé teszi a központi jelszóváltási szabályzatokat.
Létre kell hozni egy olyan kiszolgálói rendszergazdát, aki a Microsoft Entra rendszergazda nevű szerepkört tölti be, hogy a Microsoft Entra-hitelesítést használhassa az SQL-adatbázissal. További információ: Csatlakozás az SQL Database-hez Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés támogatja a felügyelt és az összevont fiókokat is. Az összevont fiókok támogatják a Microsoft Entra-azonosítóval összevont ügyféltartomány windowsos felhasználóit és csoportjait.
Microsoft Entra-tagok Kerberos-hitelesítése engedélyezi a Windows-hitelesítést a felügyelt Azure SQL-példányhoz. A felügyelt példányok Windows-hitelesítése lehetővé teszi az ügyfelek számára, hogy meglévő szolgáltatásokat helyezzenek át a felhőbe, miközben zökkenőmentes felhasználói élményt biztosítanak, és az infrastruktúra modernizálásának alapjait biztosítják.
Az Azure-on belüli adatbázisok és kiszolgálók kezelését a portál felhasználói fiókjának szerepkör-hozzárendelései vezérlik. További információ a cikkről: Azure szerepköralapú hozzáférés-vezérlés az Azure Portalon. A tűzfalszabályokhoz való hozzáférés szabályozása nem vonatkozik felügyelt SQL-példányra. A szükséges hálózati konfigurációról további információt a felügyelt példányhoz való csatlakozás ismertető alábbi cikkben talál.
Felhatalmazás
Az engedélyezés az adatbázisok erőforrásaihoz és parancsaihoz való hozzáférés szabályozására vonatkozik. Ez úgy történik, hogy engedélyeket rendel egy felhasználóhoz egy adatbázison belül az Azure SQL Database-ben vagy a felügyelt Azure SQL-példányban. Az engedélyek kezelése ideális esetben felhasználói fiókok hozzáadásával adatbázis-szerepkörökhöz és adatbázisszintű engedélyek hozzárendelésével. Másik lehetőségként az egyes felhasználók bizonyos objektumszintű engedélyeket is kaphatnak. További információ: Bejelentkezések és felhasználók
Ajánlott eljárásként szükség esetén hozzon létre egyéni szerepköröket. Adjon hozzá felhasználókat a szerepkörhöz a feladatfüggvény végrehajtásához szükséges legkisebb jogosultságokkal. Ne rendeljen engedélyeket közvetlenül a felhasználókhoz. A kiszolgálói rendszergazdai fiók tagja a beépített db_owner szerepkörnek, amely kiterjedt engedélyekkel rendelkezik, és csak néhány rendszergazdai feladattal rendelkező felhasználónak adható. A felhasználó által elvégezhető műveletek hatókörének további korlátozásához az EXECUTE AS használható a hívott modul végrehajtási környezetének megadására. Az ajánlott eljárások követése szintén alapvető lépés a feladatok elkülönítése felé.
Sorszintű biztonság
Row-Level A biztonság lehetővé teszi az ügyfelek számára, hogy a lekérdezést végrehajtó felhasználó jellemzői (például csoporttagság vagy végrehajtási környezet) alapján vezérelhessék az adatbázistáblák soraihoz való hozzáférést. Row-Level A biztonság egyéni címkealapú biztonsági fogalmak implementálásához is használható. További információ: Row-Level biztonsági.
Veszélyforrások elleni védelem
Az SQL Database és a felügyelt SQL-példány naplózási és fenyegetésészlelési képességek biztosításával védi az ügyféladatokat.
SQL-naplózás az Azure Monitor-naplókban és az Event Hubsban
Az SQL Database és a felügyelt SQL-példány naplózása nyomon követi az adatbázis-tevékenységeket, és segít fenntartani a biztonsági szabványoknak való megfelelést azáltal, hogy az adatbázis-eseményeket egy, az ügyfél tulajdonában lévő Azure Storage-fiók naplójába rögzíti. A naplózás lehetővé teszi a felhasználók számára a folyamatban lévő adatbázis-tevékenységek monitorozását, valamint az előzménytevékenységek elemzését és vizsgálatát a potenciális fenyegetések vagy a feltételezett visszaélések és biztonsági jogsértések azonosítása érdekében. További információért lásd: Kezdje az SQL-adatbázis auditorozásával .
Fejlett fenyegetés elleni védelem
Az Advanced Threat Protection a naplókat elemzi, hogy észlelje a szokatlan viselkedést és az adatbázisok elérésére vagy kihasználására tett potenciálisan káros kísérleteket. Riasztásokat hoznak létre olyan gyanús tevékenységekhez, mint az SQL-injektálás, a lehetséges adatszivárgás, a brute force támadások vagy a hozzáférési minták rendellenességei, hogy észleljék a jogosultságok eszkalációját és a feltört hitelesítő adatok használatát. A riasztásokat a Microsoft Defender for Cloudtekintheti meg, ahol a gyanús tevékenységek részletei, valamint a fenyegetések elhárítására szolgáló műveletek további vizsgálatára vonatkozó javaslatok találhatók. Az Advanced Threat Protection kiszolgálónként további díj ellenében engedélyezhető. További információ: Az SQL Database Advanced Threat Protectionhasználatának első lépései.
Információvédelem és titkosítás
Transport Layer Security (Átvitel közbeni titkosítás)
Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics a mozgásban lévő adatok Transport Layer Security (TLS)titkosításával védi az ügyfelek adatait.
Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics mindig kényszeríti a titkosítást (SSL/TLS) minden kapcsolathoz. Ez biztosítja, hogy az ügyfél és a kiszolgáló között minden adat titkosítva legyen „átvitel közben”, függetlenül attól, hogy a kapcsolati sztringben a Titkosítási vagy a TrustServerCertificate van beállítva.
Ajánlott gyakorlatként javasoljuk, hogy az alkalmazás kapcsolati sztringjében adjon meg egy titkosított kapcsolatot, és ne bízzon meg a kiszolgálói tanúsítványban. Ez arra kényszeríti az alkalmazást, hogy ellenőrizze a kiszolgálótanúsítványt, így megakadályozza, hogy az alkalmazás sebezhető legyen a középső típusú támadásokkal szemben.
A ADO.NET illesztő használatakor például ez a Encrypt=True és TrustServerCertificate=Falsehasználatával történik. Ha a kapcsolati sztringet az Azure Portalról szerzi be, a megfelelő beállításokkal fog rendelkezni.
Fontos
Vegye figyelembe, hogy egyes nem Microsoft-illesztőprogramok alapértelmezés szerint nem használják a TLS-t, vagy a TLS egy régebbi verziójára (<1.2) támaszkodhatnak a működéshez. Ebben az esetben a kiszolgáló továbbra is lehetővé teszi az adatbázishoz való csatlakozást. Javasoljuk azonban, hogy értékelje ki azokat a biztonsági kockázatokat, amelyek miatt az ilyen illesztőprogramok és alkalmazások csatlakozhatnak az SQL Database-hez, különösen akkor, ha bizalmas adatokat tárol.
További információ a TLS-ről és a kapcsolatról: TLS-szempontok
Transzparens adattitkosítás (nyugalmi állapotban történő titkosítás)
Transzparens adattitkosítás (TDE) az SQL-adatbázis, az SQL Managed Instance és az Azure Synapse Analytics biztonsági réteget ad hozzá, amely segít megvédeni a nyugalmi adatokat a nyers fájlokhoz vagy biztonsági másolatokhoz való jogosulatlan vagy offline hozzáféréstől. Gyakori forgatókönyvek például az adatközpontok ellopása vagy a hardverek vagy adathordozók, például a lemezmeghajtók és a biztonsági mentési szalagok nem biztonságos eltávolítása. A TDE egy AES titkosítási algoritmussal titkosítja a teljes adatbázist, ami nem követeli meg, hogy az alkalmazásfejlesztők módosításokat végezzenek a meglévő alkalmazásokon.
Az Azure-ban az újonnan létrehozott adatbázisok alapértelmezés szerint titkosítva vannak, az adatbázis titkosítási kulcsát pedig egy beépített kiszolgálótanúsítvány védi. A tanúsítványkarbantartást és a rotációt a szolgáltatás kezeli, és nem igényel bemenetet a felhasználótól. Azok az ügyfelek, akik szívesebben veszik át az irányítást a titkosítási kulcsok felett, kezelhetik a kulcsokat Azure Key Vault.
Kulcskezelés az Azure Key Vaulttal
A Transzparens adattitkosítási (TDE) (BYOK) támogatása lehetővé teszi az ügyfelek számára, hogy az Azure Azure Key Vault, az Azure felhőalapú külső kulcskezelő rendszerével vegyék át a kulcskezelés és -forgatás tulajdonjogát. Ha az adatbázis hozzáférését a kulcstárhoz visszavonják, az adatbázis nem fejthető vissza, és nem olvasható be a memóriába. Az Azure Key Vault központi kulcskezelési platformot biztosít, szorosan figyelt hardveres biztonsági modulokat (HSM-eket) használ, és lehetővé teszi a kulcsok és adatok kezelése közötti feladatok elkülönítését a biztonsági megfelelőségi követelmények teljesítéséhez.
Always Encrypted (Használatban lévő titkosítás)
Always Encrypted az adott adatbázisoszlopokban tárolt bizalmas adatok hozzáférés elleni védelmére szolgál (például hitelkártyaszámok, nemzeti/regionális azonosító számok vagy szükséges adatok alapján). Ide tartoznak az adatbázisgazdák vagy más kiemelt felhasználók, akik jogosultak hozzáférni az adatbázishoz felügyeleti feladatok végrehajtásához, de nem kell üzletileg hozzáférniük a titkosított oszlopokban lévő adatokhoz. Az adatok mindig titkosítva lesznek, ami azt jelenti, hogy a titkosított adatok visszafejtése csak a titkosítási kulcshoz hozzáféréssel rendelkező ügyfélalkalmazások általi feldolgozáshoz történik. A titkosítási kulcs soha nem érhető el az SQL Database vagy az SQL Felügyelt Példány számára, és vagy a Windows Tanúsítványtároló-ban, vagy a Azure Key Vault-ban tárolható.
Dinamikus adatmaszkolás
A dinamikus adatmaszkolás korlátozza a bizalmas adatexpozíciót azáltal, hogy maszkolja a nem kiemelt felhasználók számára. A dinamikus adatmaszkolás automatikusan észleli a potenciálisan bizalmas adatokat az Azure SQL Database-ben és a felügyelt SQL-példányban, és végrehajtható javaslatokat nyújt ezeknek a mezőknek a maszkolására, minimális hatással az alkalmazásrétegre. Úgy működik, hogy elrejti a bizalmas adatokat egy lekérdezés eredményhalmazában a kijelölt adatbázismezőkön, miközben az adatbázisban lévő adatok nem változnak. További információ: Az SQL Database és a felügyelt SQL-példány dinamikus adatmaszkolásának első lépései.
Biztonságkezelés
Sebezhetőségi felmérés
sebezhetőségi felmérési egy könnyen konfigurálható szolgáltatás, amely képes felderíteni, nyomon követni és elhárítani a lehetséges adatbázis-biztonsági réseket azzal a céllal, hogy proaktívan javítsa az adatbázisok általános biztonságát. A sebezhetőségi felmérés (VA) része a Microsoft Defender for SQL ajánlatnak, amely egy egységes csomag a fejlett SQL biztonsági képességekhez. A sebezhetőségi felmérés a központi Microsoft Defender for SQL Portalon érhető el és kezelhető.
Adatfelderítés és -besorolás
Az adatfelderítés és -besorolás (jelenleg előzetes verzióban) az Azure SQL Database-be és a felügyelt SQL-példányba beépített alapvető képességeket biztosít az adatbázisokban lévő bizalmas adatok felderítéséhez, besorolásához és címkézéséhez. A legérzékenyebb adatok (üzleti/pénzügyi, egészségügyi, személyes adatok stb.) felderítése és besorolása kulcsfontosságú szerepet játszhat a szervezeti információvédelem területén. Infrastruktúraként szolgálhat a következőkhöz:
Különböző biztonsági forgatókönyvek, például monitorozás (naplózás) és riasztások a bizalmas adatokhoz való rendellenes hozzáférésről.
A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz való hozzáférés szabályozása és biztonságának növelése.
Segít megfelelni az adatvédelmi szabványoknak és a jogszabályi megfelelőségi követelményeknek.
A fenti funkciók és funkciók mellett, amelyek segíthetnek az alkalmazásnak a különböző biztonsági követelményeknek való megfelelésben, az Azure SQL Database rendszeres auditokon is részt vesz, és számos megfelelőségi szabványnak megfelelő minősítéssel rendelkezik. További információ: Microsoft Azure Adatvédelmi központ, ahol megtalálhatja az SQL Database megfelelőségi tanúsítványainak legfrissebb listáját.
Következő lépések
A bejelentkezések, felhasználói fiókok, adatbázis-szerepkörök és engedélyek SQL Database-ben és felügyelt SQL-példányban való használatáról a Bejelentkezések és felhasználói fiókok kezelésecímű témakörben olvashat.
Az adatbázis-naplózásról az naplózásicímű témakörben olvashat.
Ez a modul az Azure SQL Database és a felügyelt Azure SQL-példány robusztus biztonsági intézkedéseinek megtervezéséhez és végrehajtásához szükséges ismeretekkel és készségekkel segít a rendszergazdáknak, biztosítva az adatvédelem és a jogszabályi megfelelőség biztosítását.
Administer an SQL Server database infrastructure for cloud, on-premises and hybrid relational databases using the Microsoft PaaS relational database offerings.
Ez az oktatóanyag bemutatja azOkat a technikákat és funkciókat, amelyekkel biztonságossá teheti az Azure SQL Database-t, akár egyetlen adatbázisról van szó, akár készletezett.
Az Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics transzparens adattitkosításának áttekintése. A dokumentum ismerteti annak előnyeit és a konfigurációs lehetőségeket, beleértve a szolgáltatás által felügyelt transzparens adattitkosítást és a Saját kulcs használatát.
A transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsainak (CMK) áttekintése az Azure SQL Database-hez készült Azure Key Vaulttal adatbázisszintű részletességgel.
Az Azure Database biztonsági ellenőrzőlistája segítségével győződjön meg arról, hogy a felhőalapú számítástechnika fontos biztonsági problémáival foglalkozik.
Az Azure SQL Database-hez és a felügyelt SQL-példányhoz elérhető Azure Policy Szabályozási megfelelőségi vezérlők listája. Ezek a beépített szabályzatdefiníciók általános megközelítéseket biztosítanak az Azure-erőforrások megfelelőségének kezeléséhez.
Saját kulcs (BYOK) támogatása transzparens adattitkosításhoz (TDE) az SQL Database-hez készült Azure Key Vault és az Azure Synapse Analytics használatával. A TDE byok áttekintésével, előnyeivel, működésével, szempontjaival és javaslataival.
