Ajánlott eljárások PaaS-adatbázisok azure-beli védelméhez

Ebben a cikkben bemutatjuk az Azure SQL Database és az Azure Synapse Analytics biztonsági ajánlott eljárásainak gyűjteményét a szolgáltatásként nyújtott platform (PaaS) webes és mobilalkalmazásainak biztonságossá tételéhez. Ezek az ajánlott eljárások az Azure-ral kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származnak, mint ön.

Az Azure SQL Database és az Azure Synapse Analytics relációs adatbázis-szolgáltatást biztosít az internetes alkalmazások számára. Tekintsük át azokat a szolgáltatásokat, amelyek segítenek megvédeni az alkalmazásokat és az adatokat az Azure SQL Database és az Azure Synapse Analytics PaaS-környezetben való használatakor:

• Microsoft Entra-hitelesítés (SQL Server-hitelesítés helyett)
• Azure SQL-tűzfal
• Transparent Data Encryption (TDE)

Központosított identitástár használata

Az Azure SQL Database kétféle hitelesítés egyikének használatára konfigurálható:

• Az SQL-hitelesítés felhasználónevet és jelszót használ. Amikor létrehozta a kiszolgálót az adatbázishoz, felhasználónévvel és jelszóval megadott egy "kiszolgálóadminisztrátori" bejelentkezést. Ezekkel a hitelesítő adatokkal az adatbázis tulajdonosaként az adott kiszolgálón található bármely adatbázissal hitelesítheti magát.

• A Microsoft Entra-hitelesítés a Microsoft Entra ID által felügyelt identitásokat használja, és a felügyelt és integrált tartományok esetében támogatott. A Microsoft Entra-hitelesítés használatához létre kell hoznia egy "Microsoft Entra admin" nevű kiszolgálói rendszergazdát, amely lehetővé teszi a Microsoft Entra-felhasználók és -csoportok felügyeletét. Ez a rendszergazda a normál kiszolgálói rendszergazdák által elvégezhető összes műveletet is végrehajthatja.

A Microsoft Entra-hitelesítés az Azure SQL Database-hez és az Azure Synapse Analyticshez való csatlakozás mechanizmusa a Microsoft Entra ID identitásainak használatával. A Microsoft Entra ID alternatívát kínál az SQL Server-hitelesítésre, így megakadályozhatja a felhasználói identitások elterjedését az adatbázis-kiszolgálókon. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások identitásainak központi kezelését egy központi helyen. A központi azonosítófelügyelettel egyetlen helyen kezelheti az adatbázis-felhasználókat, így leegyszerűsítheti az engedélykezelést.

A Microsoft Entra ID SQL-hitelesítés helyett történő használatának előnyei

• Lehetővé teszi a jelszóváltást egyetlen helyen.
• Az adatbázis-engedélyek kezelése külső Microsoft Entra-csoportokkal.
• Kiküszöböli a jelszavak tárolását azáltal, hogy engedélyezi az integrált Windows-hitelesítést és a Microsoft Entra ID által támogatott egyéb hitelesítési formákat.
• Tartalmazott adatbázis-felhasználók használatával hitelesíti az identitásokat az adatbázis szintjén.
• Támogatja az SQL Database-hez csatlakozó alkalmazások jogkivonatalapú hitelesítését.
• Támogatja a tartomány összevonást Active Directory összevonási szolgáltatások (AD FS) (ADFS) vagy natív felhasználó-/jelszó-hitelesítéssel egy helyi Microsoft Entra-azonosítóhoz tartományszinkronizálás nélkül.
• Támogatja az Active Directory univerzális hitelesítést használó SQL Server Management Studióból származó kapcsolatokat, beleértve a Multi-Factor Authenticationt (MFA) is. Az MFA számos egyszerű ellenőrzési lehetőséggel rendelkező erős hitelesítést tartalmaz. Az ellenőrzési lehetőségek a telefonhívások, szöveges üzenetek, a pin-kóddal ellátott intelligens kártyák vagy a mobilalkalmazás-értesítések. További információ: Universal Authentication with SQL Database and Azure Synapse Analytics.

A Microsoft Entra-hitelesítésről az alábbiakban talál további információt:

• Microsoft Entra-hitelesítés használata AZ SQL Database, a Felügyelt példány vagy az Azure Synapse Analytics használatával történő hitelesítéshez
• Hitelesítés az Azure Synapse Analyticshez
• Jogkivonatalapú hitelesítés támogatása az Azure SQL Database-hez Microsoft Entra-hitelesítéssel

Megjegyzés:

Annak érdekében, hogy a Microsoft Entra-azonosító megfelelő legyen a környezetéhez, tekintse meg a Microsoft Entra funkcióit és korlátait.

Hozzáférés korlátozása AZ IP-cím alapján

Létrehozhat olyan tűzfalszabályokat, amelyek elfogadható IP-címtartományokat határoznak meg. Ezek a szabályok a kiszolgáló és az adatbázis szintjén is megcélzhatók. Javasoljuk, hogy amikor csak lehetséges, használjon adatbázisszintű tűzfalszabályokat a biztonság növelése és az adatbázis hordozhatóbbá tétele érdekében. A kiszolgálószintű tűzfalszabályok a rendszergazdák számára ajánlottak, és ha sok olyan adatbázissal rendelkezik, amelyek hozzáférési követelményei azonosak, de nem szeretne az egyes adatbázisok egyenként konfigurálásával tölteni az időt.

Az SQL Database alapértelmezett forrás IP-címkorlátozásai lehetővé teszik a hozzáférést bármely Azure-címről, beleértve a többi előfizetést és bérlőt is. Ezt úgy korlátozhatja, hogy csak az IP-címek férhessenek hozzá a példányhoz. Még az SQL-tűzfal és az IP-cím korlátozásai esetén is erős hitelesítésre van szükség. Tekintse meg a cikk korábbi részében ismertetett javaslatokat.

További információ az Azure SQL Firewallról és az IP-korlátozásokról:

• Az Azure SQL Database és az Azure Synapse Analytics hozzáférés-vezérlése
• Az Azure SQL Database és az Azure Synapse Analytics tűzfalszabályai

Inaktív adatok titkosítása

A transzparens adattitkosítás (TDE) alapértelmezés szerint engedélyezve van. A TDE transzparensen titkosítja az SQL Servert, az Azure SQL Database-t és az Azure Synapse Analytics-adatokat és naplófájlokat. A TDE védelmet nyújt a fájlokhoz vagy biztonsági másolataikhoz való közvetlen hozzáférés veszélyeztetése ellen. Ez lehetővé teszi az inaktív adatok titkosítását a meglévő alkalmazások módosítása nélkül. A TDE-nek mindig engedélyezve kell maradnia; ez azonban nem állítja le a támadót a normál elérési út használatával. A TDE számos, különböző iparágban létrehozott törvénynek, rendeletnek és irányelvnek való megfelelést biztosít.

Az Azure SQL kezeli a TDE kulcsokkal kapcsolatos problémáit. A TDE-hez hasonlóan a helyszínen is különös figyelmet kell biztosítani a helyreállíthatóság és az adatbázisok áthelyezése során. Kifinomultabb helyzetekben a kulcsok explicit módon kezelhetők az Azure Key Vaultban bővíthető kulcskezeléssel. Lásd: TDE engedélyezése AZ SQL Serveren AZ EKM használatával. Ez lehetővé teszi a saját kulcs (BYOK) az Azure Key Vaults BYOK funkción keresztüli átvitelét is.

Az Azure SQL az Always Encrypted használatával biztosítja az oszlopok titkosítását. Így csak a jogosult alkalmazások férhetnek hozzá a bizalmas oszlopokhoz. Az ilyen típusú titkosítás a titkosított oszlopok SQL-lekérdezéseit egyenlőségalapú értékekre korlátozza.

Az alkalmazásszintű titkosítást szelektív adatokhoz is használni kell. Az adatelkonvertitással kapcsolatos problémákat olykor enyhítheti, ha az adatokat a megfelelő országban/régióban tárolt kulccsal titkosítja. Ez megakadályozza, hogy még a véletlen adatátvitel is problémát okozzon, mivel a kulcs nélkül lehetetlen visszafejteni az adatokat, feltéve, hogy erős algoritmust használ (például AES 256).

További óvintézkedéseket is használhat az adatbázis biztonságossá tételéhez, például biztonságos rendszer megtervezéséhez, bizalmas objektumok titkosításához és tűzfal létrehozásához az adatbázis-kiszolgálók köré.

Következő lépések

Ez a cikk bemutatta az SQL Database és az Azure Synapse Analytics biztonsági ajánlott eljárásainak gyűjteményét a PaaS-web- és mobilalkalmazások biztonságossá tételéhez. A PaaS-üzemelő példányok biztonságossá tételével kapcsolatos további információkért lásd:

• PaaS-környezetek védelme
• PaaS-web- és mobilalkalmazások biztonságossá tétele Azure-alkalmazás Services használatával