Considerazioni sulla sicurezza per SQL Server nelle macchine virtuali di Azure

Si applica a: SQL Server nella macchina virtuale di Azure

Questo argomento include linee guida di sicurezza generali che consentono di stabilire l'accesso sicuro alle istanze di SQL Server in una macchina virtuale (VM) di Azure.

Azure è conforme a molteplici normative e standard di settore che possono favorire la compilazione di una soluzione compatibile con SQL Server in esecuzione in una macchina virtuale. Per informazioni sulla conformità alle normative con Azure, vedere il Centro protezione di Azure.

Esaminare prima di tutto le procedure consigliate per la sicurezza per SQL Server e macchine virtuali di Azure e quindi esaminare questo articolo per le procedure consigliate applicabili alle SQL Server in macchine virtuali di Azure in modo specifico.

Per altre informazioni sulle procedure consigliate per le macchine virtuali di SQL Server, vedere gli altri articoli di questa serie: Elenco di controllo, dimensioni delle macchine virtuali, configurazione HADR e Raccolta di base.

Elenco di controllo

Esaminare l'elenco di controllo seguente in questa sezione per una breve panoramica delle procedure consigliate per la sicurezza descritte nel resto dell'articolo in modo più dettagliato.

SQL Server funzionalità offrono un metodo di sicurezza a livello di dati ed è il modo in cui si ottiene una difesa avanzata a livello di infrastruttura per soluzioni ibride e basate sul cloud. Inoltre, con le misure di sicurezza di Azure, è possibile crittografare i dati sensibili, proteggere le macchine virtuali da virus e malware, proteggere il traffico di rete, identificare e rilevare le minacce, soddisfare i requisiti di conformità e fornisce un unico metodo per l'amministrazione e la creazione di report per qualsiasi esigenza di sicurezza nel cloud ibrido.

  • Usare Microsoft Defender for Cloud per valutare e intervenire per migliorare il comportamento di sicurezza dell'ambiente dati. Le funzionalità come Azure Advanced Threat Protection (ATP) possono essere sfruttate nei carichi di lavoro ibridi per migliorare la valutazione della sicurezza e offrire la possibilità di reagire ai rischi. La registrazione della macchina virtuale SQL Server con l'estensione SQL IaaS Agent espone le valutazioni di Microsoft Defender for Cloud all'interno della risorsa macchina virtuale SQL del portale di Azure.
  • Sfruttare Microsoft Defender per SQL per individuare e mitigare potenziali vulnerabilità del database, nonché rilevare attività anomale che potrebbero indicare una minaccia per l'istanza di SQL Server e il livello del database.
  • Valutazione della vulnerabilità fa parte di Microsoft Defender per SQL che consente di individuare e correggere i potenziali rischi per l'ambiente di SQL Server. Fornisce visibilità sullo stato di sicurezza e include passaggi interattivi per risolvere i problemi di sicurezza.
  • Azure Advisor analizza la configurazione delle risorse e i dati di telemetria sull'utilizzo e quindi consiglia soluzioni che consentono di migliorare l'efficacia dei costi, le prestazioni, la disponibilità elevata e la sicurezza delle risorse di Azure. Sfruttare Azure Advisor a livello di macchina virtuale, gruppo di risorse o sottoscrizione per identificare e applicare le procedure consigliate per ottimizzare le distribuzioni di Azure.
  • Usare Crittografia dischi di Azure quando le esigenze di conformità e sicurezza richiedono di crittografare i dati end-to-end usando le chiavi di crittografia, inclusa la crittografia del disco temporaneo (collegato localmente).
  • Managed Disks vengono crittografati inattivi per impostazione predefinita usando crittografia del servizio di archiviazione di Azure, in cui le chiavi di crittografia sono chiavi gestite da Microsoft archiviate in Azure.
  • Per un confronto delle opzioni di crittografia dei dischi gestiti, vedere il grafico di confronto tra crittografia dischi gestiti
  • Le porte di gestione devono essere chiuse nelle macchine virtuali: le porte di gestione remota aperte espongono la macchina virtuale a un livello elevato di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.
  • Attivare l'accesso JIT (Just-In-Time) per le macchine virtuali di Azure
  • Usare Azure Bastion su Remote Desktop Protocol (RDP).
  • Bloccare le porte e consentire solo il traffico dell'applicazione necessario usando Firewall di Azure che è un firewall gestito come servizio (FaaS) che concede o nega l'accesso al server in base all'indirizzo IP di origine.
  • Usare i gruppi di sicurezza di rete (NSG) per filtrare il traffico di rete da e verso le risorse di Azure nelle reti virtuali di Azure
  • Sfruttare i gruppi di sicurezza delle applicazioni per raggruppare i server con requisiti di filtro delle porte simili, con funzioni simili, ad esempio server Web e server di database.
  • Per i server Web e applicazioni, usare la protezione DDoS (Distributed Denial of Service) di Azure. Gli attacchi DDoS sono progettati per sovraccaricare ed esaurire le risorse di rete, rendendo le app lente o non rispondenti. È comune che gli attacchi DDos vengano destinati alle interfacce utente. La protezione DDoS di Azure sanifica il traffico di rete indesiderato, prima che influisca sulla disponibilità del servizio
  • Sfruttare le estensioni della macchina virtuale per risolvere gli attacchi antimalware, lo stato desiderato, il rilevamento delle minacce, la prevenzione e la correzione per risolvere le minacce a livello di sistema operativo, computer e rete:
  • Sfruttare Criteri di Azure per creare regole business che possono essere applicate all'ambiente. Criteri di Azure valuta le risorse di Azure confrontando le proprietà di tali risorse rispetto alle regole definite in formato JSON.
  • Azure Blueprints consente agli architetti del cloud e ai gruppi centrali del settore IT di definire un set ripetibile di risorse di Azure per implementare e rispettare gli standard, i modelli e i requisiti di un'organizzazione. Azure Blueprints è diverso da Criteri di Azure.

Microsoft Defender per SQL

Microsoft Defender per SQL abilita le funzionalità di sicurezza di Microsoft Defender for Cloud, ad esempio valutazioni delle vulnerabilità e avvisi di sicurezza. Per altre informazioni, vedere Abilitare Microsoft Defender per SQL .

Usare Azure Defender per SQL per individuare e mitigare potenziali vulnerabilità del database e rilevare attività anomale che potrebbero indicare una minaccia per l'istanza di SQL Server e il livello del database. Le valutazioni delle vulnerabilità sono una funzionalità di Microsoft Defender per SQL che consente di individuare e correggere i potenziali rischi per l'ambiente di SQL Server. Offre visibilità sullo stato di sicurezza e include passaggi interattivi per risolvere i problemi di sicurezza. La registrazione della macchina virtuale SQL Server con l'estensione dell'agente IaaS SQL Server visualizza le raccomandazioni di Microsoft Defender per SQL per la risorsa macchine virtuali SQL nel portale di Azure.

Gestione nel portale

Dopo aver registrato la macchina virtuale SQL Server con l'estensione SQL IaaS, è possibile configurare una serie di impostazioni di sicurezza usando la risorsa macchine virtuali SQL nel portale di Azure, ad esempio l'abilitazione dell'integrazione di Azure Key Vault o l'autenticazione SQL.

Dopo aver abilitato Microsoft Defender per SQL, è anche possibile visualizzare le funzionalità di Defender for Cloud direttamente all'interno della risorsa macchine virtuali SQL nel portale di Azure, ad esempio valutazioni delle vulnerabilità e avvisi di sicurezza.

Per altre informazioni, vedere Gestire SQL Server macchina virtuale nel portale.

Microsoft Defender for Cloud

Microsoft Defender for Cloud è un sistema di gestione della sicurezza unificato progettato per valutare e offrire opportunità di migliorare il comportamento di sicurezza dell'ambiente dati. Microsoft Defender for Cloud concede una visualizzazione consolidata dell'integrità della sicurezza per tutti gli asset nel cloud ibrido.

Azure Advisor

Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Azure Advisor analizza la configurazione delle risorse e i dati di telemetria sull'utilizzo e quindi consiglia soluzioni che consentono di migliorare l'efficacia dei costi, le prestazioni, la disponibilità elevata e la sicurezza delle risorse di Azure. Azure Advisor può valutare a livello di macchina virtuale, gruppo di risorse o sottoscrizione.

Integrazione dell'insieme di credenziali delle chiavi di Azure

Esistono più funzionalità di crittografia di SQL Server, ad esempio Transparent Data Encryption (TDE), crittografia a livello di colonna (CLE) e crittografia di backup. Queste modalità di crittografia richiedono la gestione e l'archiviazione delle chiavi usate per la crittografia. Il servizio Azure Key Vault è progettato per migliorare la sicurezza e la gestione di queste chiavi in una posizione sicura e a disponibilità elevata. Il connettore SQL Server consente SQL Server di usare queste chiavi da Azure Key Vault.

Considerare quanto segue:

  • Azure Key Vault archivia i segreti delle applicazioni in una posizione cloud centralizzata per controllare in modo sicuro le autorizzazioni di accesso e separare la registrazione degli accessi.
  • Quando si portano chiavi personalizzate in Azure, è consigliabile archiviare segreti e certificati nel Key Vault di Azure.
  • Crittografia dischi di Azure usa Azure Key Vault per controllare e gestire chiavi e segreti di crittografia del disco.

Controllo di accesso

Quando si crea una macchina virtuale SQL Server con un'immagine della raccolta di Azure, l'opzione connettività SQL Server offre la scelta di Locale (all'interno della macchina virtuale) , Privata (all'interno di Rete virtuale)o Pubblica (Internet).

Connettività di SQL Server

Per ottimizzare la sicurezza, scegliere l'opzione più restrittiva per lo scenario in uso. Se ad esempio si esegue un'applicazione che accede a SQL Server nella stessa VM, Locale è la scelta più sicura. Se si esegue un'applicazione Azure che richiede l'accesso al SQL Server, Private protegge la comunicazione con SQL Server solo all'interno della rete virtuale di Azure specificata. Se è richiesto l'accesso Pubblico (Internet) alla VM di SQL Server, assicurarsi di seguire le altre procedure consigliate in questo argomento per ridurre la superficie di attacco.

Le opzioni selezionate nel portale usano le regole di sicurezza in ingresso nel gruppo di sicurezza di rete (NSG) di VM per consentire o negare il traffico di rete alla macchina virtuale. È possibile modificare o creare nuove regole NSG in ingresso per consentire il traffico verso la porta SQL Server (porta predefinita 1433). È anche possibile specificare indirizzi IP specifici che sono autorizzati a comunicare tramite questa porta.

Regole dei gruppi di sicurezza di rete

Oltre alle regole NSG per limitare il traffico di rete, è anche possibile usare Windows Firewall nella macchina virtuale.

Se si usano gli endpoint con un modello di distribuzione classico, rimuovere tutti gli endpoint nella macchina virtuale che non vengono usati. Per istruzioni sull'uso di ACL con gli endpoint, vedere Gestire l'elenco di controllo di accesso su un endpoint. Questa operazione non è necessaria per le macchine virtuali che usano il Resource Manager di Azure.

Valutare la possibilità di abilitare le connessioni crittografate per l'istanza del motore di database SQL Server nella macchina virtuale di Azure. Configurare l'istanza di SQL server con un certificato firmato. Per altre informazioni, vedere Abilitazione di connessioni crittografate al Motore di database e Sintassi della stringa di connessione.

Quando si protegge la connettività di rete o il perimetro, tenere presente quanto segue:

Crittografia

I dischi gestiti offrono la crittografia lato server e Crittografia dischi di Azure. La crittografia lato server fornisce la crittografia dei dati inattivi e protegge i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Crittografia dischi di Azure usa la tecnologia BitLocker o DM-Crypt e si integra con Azure Key Vault per crittografare sia il sistema operativo che i dischi dati.

Considerare quanto segue:

  • Crittografia dischi di Azure : crittografa i dischi delle macchine virtuali usando Crittografia dischi di Azure per le macchine virtuali Windows e Linux.
    • Quando i requisiti di conformità e sicurezza richiedono di crittografare i dati end-to-end usando le chiavi di crittografia, inclusa la crittografia del disco temporaneo (collegato localmente), usare Crittografia dischi di Azure.
    • Crittografia dischi di Azure sfrutta la funzionalità BitLocker standard di settore di Windows e la funzionalità DM-Crypt di Linux per fornire crittografia del sistema operativo e del disco dati.
  • Crittografia dischi gestiti
    • Managed Disks vengono crittografati inattivi per impostazione predefinita usando Crittografia del servizio di archiviazione di Azure in cui le chiavi di crittografia sono chiavi gestite da Microsoft archiviate in Azure.
    • I dati nei dischi gestiti di Azure sono crittografati in modo trasparente con la crittografia AES a 256 bit, una delle crittografie a blocchi più solide disponibili, conforme a FIPS 140-2.
  • Per un confronto delle opzioni di crittografia dei dischi gestiti, vedere il grafico di confronto tra crittografia dischi gestiti.

Gestisci account

È necessario fare in modo che gli utenti malintenzionati non indovinino facilmente i nomi di account o le password. Usare a tal fine i suggerimenti seguenti:

  • Creare un account amministratore locale univoco non denominato Amministratore.

  • Usare password complesse per tutti gli account. Per altre informazioni sulla creazione di password complesse, vedere l'articolo Crea una password complessa.

  • Per impostazione predefinita, in Azure viene selezionata l'autenticazione di Windows durante l'installazione della macchina virtuale di SQL Server. L'account di accesso SA è pertanto disabilitato e viene assegnata una password tramite il programma di installazione. È consigliabile non usare o abilitare l'account di accesso SA. Se è necessario avere un account di accesso SQL, usare una delle strategie seguenti:

    • Creare un account SQL con un nome univoco che abbia appartenenza sysadmin. È possibile creare questo account dal portale attivando Autenticazione di SQL Server durante il provisioning.

      Suggerimento

      Se non si attiva l'autenticazione di SQL Server durante il provisioning, è necessario modificare manualmente la modalità di autenticazione in Autenticazione di SQL Server e di Windows. Per altre informazioni, vedere Modifica della modalità di autenticazione del server.

    • Se è necessario usare l'account di accesso SA, attivarlo dopo il provisioning e assegnare una nuova password complessa.

Nota

La connessione a un'istanza di SQL Server in esecuzione in una macchina virtuale di Azure non è supportata tramite Azure Active Directory o Azure Active Directory Domain Services. Usare invece un account di dominio Active Directory.

Controllo e creazione di report

Il controllo con Log Analytics documenta gli eventi e scrive in un log di controllo in un account di archiviazione BLOB di Azure sicuro. Log Analytics può essere usato per decifrare i dettagli dei log di controllo. Il controllo consente di salvare i dati in un account di archiviazione separato e creare un audit trail di tutti gli eventi selezionati. È anche possibile usare Power BI nel log di controllo per l'analisi rapida dei dati e le informazioni dettagliate sui dati, nonché per offrire una visualizzazione per la conformità alle normative. Per altre informazioni sul controllo a livello di macchina virtuale e di Azure, vedere Registrazione e controllo della sicurezza di Azure.

Accesso a livello di macchina virtuale

Chiudere le porte di gestione nel computer: le porte di gestione remota aperte espongono la macchina virtuale a un alto livello di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.

Estensioni di macchina virtuale

Le estensioni macchina virtuale di Azure sono estensioni microsoft o di terze parti attendibili che consentono di soddisfare esigenze e rischi specifici, ad esempio antivirus, malware, protezione dalle minacce e altro ancora.

  • Estensione configurazione guest
    • Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest.
    • Le impostazioni guest includono la configurazione del sistema operativo, la configurazione o la presenza dell'applicazione e le impostazioni dell'ambiente.
    • Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard".
  • Agente di raccolta dati del traffico di rete
    • Microsoft Defender for Cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure.
    • Questo agente abilita funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche.
  • Valutare le estensioni di Microsoft e terze parti per gestire antimalware, stato desiderato, rilevamento delle minacce, prevenzione e correzione per affrontare le minacce a livello di sistema operativo, computer e rete.

Passaggi successivi

Esaminare le procedure consigliate per la sicurezza per SQL Server e macchine virtuali di Azure e quindi vedere questo articolo per le procedure consigliate applicabili alle SQL Server in macchine virtuali di Azure in modo specifico.

Per altri argomenti relativi all'esecuzione di SQL Server nelle macchine virtuali di Azure, vedere Panoramica di SQL Server in Macchine virtuali di Azure. In caso di domande sulle macchine virtuali SQL Server, vedere le domande frequenti.

Per altre informazioni, vedere gli altri articoli di questa serie di procedure consigliate: