Megosztás a következőn keresztül:

Az Azure SQL Database és a felügyelt SQL-példány biztonsági képességeinek áttekintése

Vonatkozik a következőkre:Azure SQL DatabaseAzure SQL Felügyelt PéldányAzure Synapse Analytics

Ez a cikk az Azure SQL Database-t, az Azure SQL Managed Instancet és az Azure Synapse Analyticset használó alkalmazások adatszintjének biztonságossá tételének alapjait ismerteti. A cikkben ismertetett biztonsági stratégia a többrétegű mélységi védelem megközelítését követi, ahogyan az az alábbi ábrán látható, és kívülről befelé halad.

Részletes rétegzett védelem diagramja. Az ügyféladatok a hálózati biztonság, a hozzáférés-kezelés, valamint a fenyegetés- és információvédelem rétegeibe vannak ágyazva.

Hálózati biztonság

Az Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics relációs adatbázis-szolgáltatást biztosít a felhőbeli és nagyvállalati alkalmazások számára. Az ügyféladatok védelme érdekében a tűzfalak megakadályozzák a kiszolgálóhoz való hálózati hozzáférést, amíg explicit módon nem ad hozzáférést az IP-cím vagy az Azure Virtuális hálózati forgalom eredete alapján.

IP-tűzfalszabályok

Az IP-tűzfalszabályok az egyes kérések származó IP-címe alapján biztosítanak hozzáférést az adatbázisokhoz. További információ: Az Azure SQL Database és az Azure Synapse Analytics tűzfalszabályainak áttekintése.

Virtuális hálózati tűzfalszabályok

virtuális hálózati szolgáltatásvégpontok kiterjesztik a virtuális hálózati kapcsolatot az Azure gerinchálózatán, és lehetővé teszik az Azure SQL Database számára, hogy azonosítsa azt a virtuális hálózati alhálózatot, amelyről a forgalom származik. Ahhoz, hogy a forgalom elérhesse az Azure SQL Database-t, használja az SQL szolgáltatáscímkéket a hálózati biztonsági csoportokon keresztüli kimenő forgalom engedélyezéséhez.

  • virtuális hálózati szabályok engedélyezik, hogy az Azure SQL Database csak a kijelölt alhálózatokról küldött kommunikációkat fogadja el egy virtuális hálózaton belül.
  • A tűzfalszabályokkal való hozzáférés szabályozása nem vonatkozik a felügyelt SQL-példányra. További információ a szükséges hálózati konfigurációról: Csatlakozás felügyelt példányhoz

Jegyzet

A tűzfalszabályokkal való hozzáférés szabályozása nem vonatkozik a felügyelt SQL-példányra. További információ a szükséges hálózati konfigurációról: Csatlakozás felügyelt példányhoz

Hálózati biztonsági szegély

Az Azure hálózati biztonsági szegélyei logikai hálózati határokat hoznak létre a szolgáltatásként nyújtott platform (PaaS) erőforrások köré, amelyeket a virtuális hálózatokon kívül helyez üzembe.

  • Az Azure hálózati biztonsági szegélye segít szabályozni az Azure SQL Database-hez való nyilvános hálózati hozzáférést.
  • Az Azure-beli hálózati biztonsági szegélyekkel való hozzáférés szabályozása nem vonatkozik a felügyelt Azure SQL-példányokra.

Fontos

Az Azure SQL Database és a Network Security Perimeter jelenleg előzetes verzióban érhető el. Az előzetes verziókat szolgáltatásiszint-szerződés nélkül biztosítjuk, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy bizonyos funkciók nem támogatottak, vagy korlátozott képességekkel rendelkeznek. További információkért lásd: Microsoft Azure Previews Kiegészítő Felhasználási Feltételek.

Hitelesítés

A hitelesítés annak a folyamatnak a része, amely igazolja, hogy a felhasználó az, akinek mondja magát. Az Azure SQL Database és az SQL-felügyelt példány támogatja a Microsoft Entra-azonosítóval (korábban Azure Active Directory) és az SQL-hitelesítéssel történő hitelesítést. A felügyelt SQL-példány emellett támogatja Windows-hitelesítési a Microsoft Entra-tagok számára.

  • Microsoft Entra hitelesítés:

    A Microsoft Entra-hitelesítés az Azure SQL Database-hez, az Azure SQL Managed Instance-hez és az Azure Synapse Analyticshez való csatlakozás mechanizmusa a Microsoft Entra ID identitásainak használatával. A Microsoft Entra-hitelesítés lehetővé teszi a rendszergazdák számára, hogy központilag kezeljék az adatbázis-felhasználók identitásait és engedélyeit, valamint más Azure-szolgáltatásokat egy központi helyen. Ez a funkció segít megszüntetni a titkos kódok és jelszavak használatát.

    Ha Microsoft Entra-hitelesítést szeretne használni az SQL Database-lel, hozzon létre egy Microsoft Entra-rendszergazda nevű kiszolgáló-rendszergazdát. További információ: Csatlakozás az SQL Database-hez Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés támogatja a felügyelt és az összevont fiókokat is. Az összevont fiókok támogatják a Microsoft Entra-azonosítóval összevont ügyféltartomány windowsos felhasználóit és csoportjait.

    A Microsoft Entra számos különböző hitelesítési lehetőséget támogat, többek között többtényezős hitelesítést, integrált Windows-hitelesítéstés feltételes hozzáférési.

  • Microsoft Entra-tagok Windows-hitelesítése:

    Microsoft Entra-tagok Kerberos-hitelesítése engedélyezi a Windows-hitelesítést a felügyelt Azure SQL-példányhoz. A felügyelt példányok Windows-hitelesítése lehetővé teszi az ügyfelek számára, hogy meglévő szolgáltatásokat helyezzenek át a felhőbe, miközben zökkenőmentes felhasználói élményt biztosítanak, és az infrastruktúra modernizálásának alapjait biztosítják.

    Ha engedélyezni szeretné a Windows-hitelesítést a Microsoft Entra-felhasználók számára, alakítsa a Microsoft Entra-bérlőt független Kerberos-tartománnyá, és hozzon létre egy bejövő megbízhatósági kapcsolatot az ügyféltartományban. Ismerje meg , hogyan valósítja meg a Felügyelt Azure SQL-példány Windows-hitelesítését a Microsoft Entra ID és a Kerberos.

  • SQL-hitelesítés:

    Az SQL-hitelesítés egy felhasználó hitelesítésére utal, amikor felhasználónévvel és jelszóval csatlakozik az Azure SQL Database-hez vagy a felügyelt Azure SQL-példányhoz. A kiszolgáló létrehozásakor meg kell adnia egy kiszolgálói rendszergazdai bejelentkezést felhasználónévvel és jelszóval. Ezen hitelesítő adatok használatával egy kiszolgáló rendszergazdája az adott kiszolgálón vagy példányon lévő bármely adatbázishoz hitelesítheti magát adatbázis-tulajdonosként. Ezt követően a kiszolgáló rendszergazdája létrehozhat más SQL-bejelentkezéseket és -felhasználókat, amelyek lehetővé teszik a felhasználók számára, hogy felhasználónévvel és jelszóval csatlakozzanak.

Engedélyezés és hozzáférés-kezelés

Az engedélyezés a kiszolgálók és adatbázisok, valamint az adatbázisok adataihoz, erőforrásaihoz és parancsaihoz való hozzáférés szabályozására vonatkozik. Engedélyeket rendelhet egy felhasználóhoz egy adatbázison belül az Azure SQL Database-ben vagy a felügyelt Azure SQL-példányban. A portál felhasználói fiókjának szerepkör-hozzárendelései szabályozzák az Azure-on belüli adatbázisok és kiszolgálók kezelését. További információ: Azure szerepköralapú hozzáférés-vezérlés az Azure Portalon.

Az engedélyeket úgy kezelheti, hogy felhasználói fiókokat ad hozzá az adatbázis-szerepkörökhöz , és adatbázisszintű engedélyeket rendel ezekhez a szerepkörökhöz. Másik lehetőségként adjon meg bizonyos objektumszintű engedélyeket egy adott felhasználónak. További információ: Bejelentkezések és felhasználók.

Emellett a felügyelt Azure SQL-példány kiszolgálószintű ( rögzített vagy egyéni) szerepköröket is biztosít egy példány engedélyeinek kezeléséhez. A kiszolgálószintű szerepkörök kiszolgálószintű engedélyhatókörrel rendelkeznek. Szerver szintű alapértelmezett szereplőket is hozzáadhat a szerver szintű szerepkörökhöz.

Ajánlott eljárásként szükség esetén hozzon létre egyéni szerepköröket. Adjon hozzá felhasználókat a szerepkörhöz a feladatfüggvény végrehajtásához szükséges legkisebb jogosultságokkal. Ne rendeljen engedélyeket közvetlenül a felhasználókhoz. A kiszolgálói rendszergazdai fiók tagja a beépített db_owner szerepkörnek, amely kiterjedt engedélyekkel rendelkezik, és csak néhány rendszergazdai feladattal rendelkező felhasználónak adható. A felhasználó által elvégezhető műveletek hatókörének további korlátozásához az EXECUTE AS használatával adja meg a hívott modul végrehajtási környezetét. Az ajánlott eljárások követése szintén alapvető lépés a feladatok elkülönítése felé.

Sorszintű biztonság

Row-Level A biztonság lehetővé teszi az adatbázistábla soraihoz való hozzáférést a lekérdezést végrehajtó felhasználó jellemzői (például csoporttagság vagy végrehajtási környezet) alapján. A Row-Level Security használatával egyéni címkealapú biztonsági fogalmakat valósíthat meg. További információ: Row-Level biztonsági.

A Row-Level Security egy SQL-adatbázis egyes sorait védi a felhasználók által ügyfélalkalmazáson keresztüli hozzáféréstől.

Veszélyforrások elleni védelem

Az Azure SQL Database és a felügyelt SQL-példány naplózási és fenyegetésészlelési képességek biztosításával védi az ügyféladatokat.

SQL-naplózás az Azure Monitor-naplókban és az Event Hubsban

Az SQL Database és a felügyelt SQL-példány naplózása nyomon követi az adatbázis-tevékenységeket, és segít fenntartani a biztonsági szabványoknak való megfelelést azáltal, hogy az adatbázis-eseményeket egy, az ügyfél tulajdonában lévő Azure Storage-fiók naplójába rögzíti. A naplózás lehetővé teszi a folyamatban lévő adatbázis-tevékenységek monitorozását, valamint az előzménytevékenységek elemzését és vizsgálatát a potenciális fenyegetések vagy a feltételezett visszaélések és biztonsági jogsértések azonosítása érdekében. További információért lásd: Kezdje az SQL-adatbázis auditorozásával .

Advanced Threat Protection

Az Advanced Threat Protection elemzi a naplókat, hogy észlelje a szokatlan viselkedést és az adatbázisok elérésére vagy kihasználására tett potenciálisan káros kísérleteket. Riasztásokat hoz létre, hogy észlelje a gyanús tevékenységeket, mint például az SQL-injektálást, a potenciális adatszivárgást, a brute force támadásokat vagy a hozzáférési mintákban jelentkező rendellenességeket, felismerve a jogosultságok eszkalálását és a hitelesítő adatok feltört használatát. Megtekintheti a Microsoft Defender for Cloud riasztásait, ahol a gyanús tevékenységek részletei, valamint a fenyegetések enyhítésére szolgáló műveletek további vizsgálatára vonatkozó javaslatok találhatók. Az Advanced Threat Protectiont kiszolgálónként további díj ellenében engedélyezheti. További információ: Az SQL Database Advanced Threat Protectionhasználatának első lépései.

Ábra az SQL Threat Detection monitorozási hozzáféréséről egy webalkalmazás SQL-adatbázisához egy külső támadótól és egy rosszindulatú insidertől.

Információvédelem és titkosítás

Transport Layer Security (átvitel közbeni titkosítás)

Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics a mozgásban lévő adatok Transport Layer Security (TLS)titkosításával védi az ügyfelek adatait. Ezek a szolgáltatások mindig TLS-alapú titkosított kapcsolatokat kényszerítenek ki, hogy minden adat titkosítva legyen az ügyfél és a kiszolgáló közötti átvitel során.

Az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics a konfigurációs jelzőt ForceEncryption a következőre Yesállítja: . Az ügyfeleknek és az illesztőprogramoknak támogatniuk kell a titkosított kapcsolatokat a szolgáltatásokhoz való csatlakozáshoz. A TDS protokoll legalacsonyabb, csatlakoztatható verziója a TDS 7.1.

Ajánlott eljárás, ha TDS 8.0-kompatibilis SQL-illesztőprogramokkal rendelkezik, szigorú kapcsolattitkosítást használjon.

Ha az illesztőprogramok nem támogatják a TDS 8.0-t, használjon kötelező titkosítást, és ne bízzon a kiszolgálótanúsítványban. Ha például az ADO.NET illesztőt használja, használja a Encrypt=True és TrustServerCertificate=False a kapcsolati sztringben ennek végrehajtásához. Az Azure Portalról kapott kapcsolati sztring már konfigurálva van ezekkel az értékekkel.

Ne állítsa be a paramétert TrustServerCertificateTrue éles használatra. TrustServerCertificate=True túl megengedő, és nem véd a középen belüli támadások ellen. Ehelyett, ha az ügyfél más tartománynevet vár a kiszolgálótanúsítványban, a HostNameInCertificate paraméterrel adja meg a megfelelő tartománynevet az ellenőrzéshez.

Ha például a ADO.NET illesztőprogramot használja a felügyelt példányhoz contoso-instance.123456.database.windows.net való csatlakozáshoz egy egyéni tartománynévvel contoso-instance.contoso.com, állítsa be a kapcsolat paramétereit Encrypt=True , és állítsa be HostNameInCertificate=contoso-instance.123456.database.windows.net. Ez a konfiguráció lehetővé teszi, hogy az illesztőprogram érvényesítse a kiszolgálótanúsítványt egy várt VNet-helyi végponttartománynév alapján.

Fontos

Előfordulhat, hogy egyes nem Microsoft-illesztőprogramok alapértelmezés szerint nem használják a TLS-t, vagy a TLS régebbi (1.2-nél korábbi) verziójára támaszkodhatnak a működéshez. Ebben az esetben a kiszolgáló továbbra is lehetővé teszi az adatbázishoz való csatlakozást. Értékelje azonban azokat a biztonsági kockázatokat, amelyek miatt az ilyen illesztőprogramok és alkalmazások csatlakozhatnak az SQL Database-hez, különösen akkor, ha bizalmas adatokat tárol.

A TLS-ről és a kapcsolatról további információt a TLS-szempontokban talál.

Transzparens adattitkosítás (nyugalmi állapotban történő titkosítás) szolgáltatás által felügyelt kulcsokkal

Transzparens adattitkosítás (TDE) az SQL-adatbázis, az SQL Managed Instance és az Azure Synapse Analytics biztonsági réteget ad hozzá, amely segít megvédeni a nyugalmi adatokat a nyers fájlokhoz vagy biztonsági másolatokhoz való jogosulatlan vagy offline hozzáféréstől. Gyakori forgatókönyvek például az adatközpontok ellopása vagy a hardverek vagy adathordozók, például a lemezmeghajtók és a biztonsági mentési szalagok nem biztonságos eltávolítása. A TDE egy AES-titkosítási algoritmussal titkosítja a teljes adatbázist, ami nem követeli meg, hogy az alkalmazásfejlesztők módosításokat végezzenek a meglévő alkalmazásokon.

Az Azure-ban az újonnan létrehozott adatbázisok alapértelmezés szerint titkosítva vannak, az adatbázis titkosítási kulcsát pedig egy beépített kiszolgálótanúsítvány védi. A szolgáltatás kezeli a tanúsítványkarbantartást és a rotációt, és nem igényel bemenetet a felhasználótól. Ha inkább át szeretné venni az irányítást a titkosítási kulcsok felett, kezelheti a kulcsokat az Azure Key Vaultban.

Transzparens adattitkosítás (nyugalmi állapotban történő titkosítás) ügyfél által kezelt kulcsokkal

Ha nagyobb mértékben kell szabályoznia a titkosítási kulcsokat, a transzparens adattitkosítás (TDE) támogatja az ügyfél által felügyelt kulcsokat (CMK). Ez a CMK a logikai kiszolgálóhoz van társítva, és a kiszolgálón belüli összes adatbázis adatbázis-titkosítási kulcsait burkolja. Másik lehetőségként konfigurálhat egy CMK-t az egyes adatbázisok szintjén. A CMK kezelésével szabályozhatja a kulcsváltást, a visszavonást és a naplózást, ami gyakran szükséges a megfelelőséghez vagy a szigorú biztonsági szabályzatokhoz.

Mindig Titkosított és Mindig Titkosított biztonságos enklávékat használva (használat közbeni titkosítás)

Az Always Encrypted funkció alapjait bemutató ábra. A zárolással rendelkező SQL-adatbázishoz csak kulcsokat tartalmazó alkalmazás fér hozzá.

Az Always Encrypted és az Always Encrypted biztonságos enklávékkal olyan funkciók, amelyek célja, hogy megvédjék az adott adatbázisoszlopokban tárolt bizalmas adatokat a hozzáféréstől (például hitelkártyaszámok, nemzeti/regionális azonosító számok vagy a szükséges adatok). Ez a védelem magában foglalja az adatbázis-rendszergazdákat vagy más kiemelt felhasználókat, akik jogosultak hozzáférni az adatbázishoz felügyeleti feladatok végrehajtásához, de üzletileg nem kell hozzáférniük a titkosított oszlopokban lévő adatokhoz. Az adatok mindig titkosítva lesznek, ami azt jelenti, hogy a titkosított adatok visszafejtése csak a titkosítási kulcshoz hozzáféréssel rendelkező ügyfélalkalmazások általi feldolgozáshoz történik. A titkosítási kulcs soha nem érhető el az SQL Database vagy az SQL Felügyelt Példány számára, és vagy a Windows Tanúsítványtároló-ban, vagy a Azure Key Vault-ban tárolható.

Dinamikus adatmaszkolás

Dinamikus adatmaszkolást bemutató ábra. Egy üzleti alkalmazás adatokat küld egy SQL-adatbázisnak, amely maszkolja az adatokat, mielőtt visszaküldené azokat az üzleti alkalmazásnak.

A dinamikus adatmaszkolás korlátozza az érzékeny adatok expozícióját azáltal, hogy elrejti azokat a nem privilegizált felhasználók számára. A dinamikus adatmaszkolás automatikusan észleli a potenciálisan bizalmas adatokat az Azure SQL Database-ben és a felügyelt SQL-példányban, és végrehajtható javaslatokat nyújt ezeknek a mezőknek a maszkolására, minimális hatással az alkalmazásrétegre. Úgy működik, hogy elrejti a bizalmas adatokat egy lekérdezés eredményhalmazában a kijelölt adatbázismezőkön, miközben az adatbázisban lévő adatok nem változnak. További információ: Az SQL Database és a felügyelt SQL-példány dinamikus adatmaszkolásának első lépései.

Ledger

A Ledger az Azure SQL Database-ben és a felügyelt SQL-példányban egy olyan szolgáltatás, amely titkosítási bizonyítékot biztosít az adatintegritásról. A ledger használatával manipulálás-ellenőrzési képességeket biztosíthat az adatokhoz. Kriptográfiailag tanúsíthatja más feleknek, például a könyvvizsgálóknak vagy más üzleti feleknek, hogy adatait nem módosították.

A Ledger illetéktelen beavatkozást lehetővé tevő technológiával rögzíti az adatbázis változásait egy nem módosítható főkönyvben, biztosítva, hogy a jogosulatlan módosítások észlelhetők legyenek. Ez a funkció különösen hasznos a több fél közötti jogszabályi megfelelőséget, auditálást és megbízhatóságot igénylő helyzetekben. A főkönyv engedélyezésével ellenőrizheti az adatok integritását, csökkentve a csalás vagy az adatmanipuláció kockázatát.

Biztonságkezelés

Sebezhetőségi felmérés

sebezhetőségi felmérési egy könnyen konfigurálható szolgáltatás, amely képes felderíteni, nyomon követni és elhárítani a lehetséges adatbázis-biztonsági réseket azzal a céllal, hogy proaktívan javítsa az adatbázisok általános biztonságát. A sebezhetőségi felmérés (VA) része a Microsoft Defender for SQL ajánlatnak, amely egy egységes csomag a fejlett SQL biztonsági képességekhez. A sebezhetőségi felmérést a központi Microsoft Defender for SQL Portalon érheti el és kezelheti.

Adatfelderítés és -besorolás

Az adatfelderítés és -besorolás az Azure SQL Database-be és a felügyelt SQL-példányba beépített alapvető képességeket biztosít az adatbázisokban lévő bizalmas adatok felderítéséhez, besorolásához és címkézéséhez. A legérzékenyebb adatok (üzleti, pénzügyi, egészségügyi, személyes adatok stb.) felderítése és besorolása kulcsfontosságú szerepet játszik a szervezeti információvédelem területén. Az alábbiak infrastruktúrájaként szolgál:

  • Különböző biztonsági forgatókönyvek, például monitorozás (naplózás) és riasztások a bizalmas adatokhoz való rendellenes hozzáférésről.
  • A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz való hozzáférés szabályozása és biztonságának növelése.
  • Segít megfelelni az adatvédelmi szabványoknak és a jogszabályi megfelelőségi követelményeknek.

További információ: Ismerkedés az adatfelderítéssel és -besorolással.

Engedékenység

Az azure SQL Database a különböző biztonsági követelményeknek való megfelelést segítő funkciókon és funkciókon kívül rendszeres auditokon is részt vesz. Számos megfelelőségi szabványnak megfelelő minősítést kapott. További információ: Microsoft Azure Adatvédelmi központ, ahol megtalálhatja az SQL Database megfelelőségi tanúsítványainak legfrissebb listáját.

Kapcsolódó tartalom

  • Last updated on