Considerazioni sulla sicurezza per SQL Server nelle macchine virtuali di Azure

Si applica a:SQL Server nella macchina virtuale di Azure

Questo articolo include linee guida generali sulla sicurezza che consentono di stabilire l'accesso sicuro alle istanze di SQL Server in una macchina virtuale di Azure.

Azure è conforme a molteplici normative e standard di settore che possono favorire la compilazione di una soluzione compatibile con SQL Server in esecuzione in una macchina virtuale. Per informazioni sulla conformità alle normative con Azure, vedere il Centro protezione di Azure.

Esaminare prima di tutto le procedure consigliate per la sicurezza per SQL Server e macchine virtuali di Azure e quindi vedere questo articolo per le procedure consigliate applicabili a SQL Server in macchine virtuali di Azure in modo specifico.

Per altre informazioni sulle procedure consigliate per le macchine virtuali di SQL Server, vedere gli altri articoli di questa serie: Elenco di controllo, dimensioni delle macchine virtuali, configurazione HADR e Raccolta baseline.

Elenco di controllo

Esaminare l'elenco di controllo seguente in questa sezione per una breve panoramica delle procedure consigliate per la sicurezza illustrate nel resto dell'articolo in modo più dettagliato.

Le funzionalità e le funzionalità di SQL Server offrono un metodo di sicurezza a livello di dati ed è il modo in cui si ottiene una difesa approfondita a livello di infrastruttura per soluzioni basate sul cloud e ibride. Inoltre, con le misure di sicurezza di Azure, è possibile crittografare i dati sensibili, proteggere le macchine virtuali da virus e malware, proteggere il traffico di rete, identificare e rilevare le minacce, soddisfare i requisiti di conformità e fornisce un unico metodo per l'amministrazione e la creazione di report per qualsiasi esigenza di sicurezza nel cloud ibrido.

  • Usare Microsoft Defender per il cloud per valutare e intervenire per migliorare il comportamento di sicurezza dell'ambiente dati. Le funzionalità come Azure Advanced Threat Protection (ATP) possono essere sfruttate nei carichi di lavoro ibridi per migliorare la valutazione della sicurezza e offrire la possibilità di reagire ai rischi. La registrazione della macchina virtuale di SQL Server con l'estensione SQL IaaS Agent espone Microsoft Defender per il cloud valutazioni all'interno della risorsa macchina virtuale SQL del portale di Azure.
  • Usare Microsoft Defender per SQL per individuare e attenuare potenziali vulnerabilità del database, nonché rilevare attività anomale che potrebbero indicare una minaccia per l'istanza di SQL Server e il livello del database.
  • Valutazione della vulnerabilità fa parte di Microsoft Defender per SQL che consente di individuare e correggere potenziali rischi per l'ambiente SQL Server. Offre visibilità sullo stato di sicurezza e include passaggi interattivi per risolvere i problemi di sicurezza.
  • Usare le macchine virtuali riservate di Azure per rafforzare la protezione dei dati in uso e i dati inattivi rispetto all'accesso dell'operatore host. Le macchine virtuali riservate di Azure consentono di archiviare in modo sicuro i dati sensibili nel cloud e soddisfare requisiti di conformità rigorosi.
  • Se si usa SQL Server 2022, è consigliabile usare l'autenticazione Microsoft Entra per connettersi all'istanza di SQL Server.
  • Azure Advisor analizza la configurazione delle risorse e i dati di telemetria sull'utilizzo e quindi consiglia soluzioni che consentono di migliorare l'efficacia dei costi, le prestazioni, la disponibilità elevata e la sicurezza delle risorse di Azure. Sfruttare Azure Advisor a livello di macchina virtuale, gruppo di risorse o sottoscrizione per identificare e applicare le procedure consigliate per ottimizzare le distribuzioni di Azure.
  • Usare Crittografia dischi di Azure quando le esigenze di conformità e sicurezza richiedono di crittografare i dati end-to-end usando le chiavi di crittografia, inclusa la crittografia del disco temporaneo (collegato localmente).
  • I dischi gestiti vengono crittografati inattivi per impostazione predefinita usando crittografia del servizio Archiviazione di Azure, in cui le chiavi di crittografia sono chiavi gestite da Microsoft archiviate in Azure.
  • Per un confronto delle opzioni di crittografia dischi gestiti, vedere il grafico di confronto della crittografia dei dischi gestiti
  • Le porte di gestione devono essere chiuse nelle macchine virtuali: le porte di gestione remota aperte espongono la macchina virtuale a un alto livello di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.
  • Attivare l'accesso JIT (Just-In-Time) per le macchine virtuali di Azure
  • Usare Azure Bastion su Remote Desktop Protocol (RDP).
  • Bloccare le porte e consentire solo il traffico dell'applicazione necessario usando Firewall di Azure che è un firewall gestito come servizio (FaaS) che concede/nega l'accesso al server in base all'indirizzo IP di origine.
  • Usare i gruppi di sicurezza di rete (NSG) per filtrare il traffico di rete da e verso le risorse di Azure in Azure Rete virtuale
  • Sfruttare i gruppi di sicurezza delle applicazioni per raggruppare i server con requisiti di filtro delle porte simili, con funzioni simili, ad esempio server Web e server di database.
  • Per i server Web e applicazioni sfruttano la protezione DDoS (Distributed Denial of Service). Gli attacchi DDoS sono progettati per sovraccaricare ed esaurire le risorse di rete, rendendo le app lente o non rispondenti. È comune che gli attacchi DDos vengano destinati alle interfacce utente. La protezione DDoS di Azure sanifica il traffico di rete indesiderato, prima che influisca sulla disponibilità del servizio
  • Usare le estensioni della macchina virtuale per risolvere gli attacchi antimalware, lo stato desiderato, il rilevamento delle minacce, la prevenzione e la correzione per risolvere le minacce a livello di sistema operativo, computer e rete:
  • Usare Criteri di Azure per creare regole business che possono essere applicate all'ambiente. Criteri di Azure valuta le risorse di Azure confrontando le proprietà di tali risorse rispetto alle regole definite in formato JSON.
  • Azure Blueprints consente agli architetti del cloud e ai gruppi centrali del settore IT di definire un set ripetibile di risorse di Azure per implementare e rispettare gli standard, i modelli e i requisiti di un'organizzazione. I progetti di Azure sono diversi da Criteri di Azure.

Per altre informazioni sulle procedure consigliate per la sicurezza, vedere Procedure consigliate per la sicurezza di SQL Server e Protezione di SQL Server.

Microsoft Defender per SQL nei computer

Microsoft Defender per il cloud è un sistema di gestione della sicurezza unificato progettato per valutare e offrire opportunità di migliorare il comportamento di sicurezza dell'ambiente dati. Microsoft Defender offre Protezione da Microsoft Defender per SQL nei computer per SQL Server in macchine virtuali di Azure. Usare Microsoft Defender per SQL per individuare e attenuare potenziali vulnerabilità del database e rilevare attività anomale che potrebbero indicare una minaccia per l'istanza di SQL Server e il livello del database.

Microsoft Defender per SQL offre i vantaggi seguenti:

  • Le valutazioni delle vulnerabilità possono individuare e contribuire a correggere i potenziali rischi per l'ambiente SQL Server. Offre visibilità sullo stato di sicurezza e include passaggi interattivi per risolvere i problemi di sicurezza.
  • Usare il punteggio di sicurezza in Microsoft Defender per il cloud.
  • Per altri dettagli, vedere l'elenco delle raccomandazioni relative alle risorse di calcolo e ai dati attualmente disponibili.
  • La registrazione della macchina virtuale di SQL Server con l'estensione SQL Server IaaS Agent visualizza le raccomandazioni di Microsoft Defender per SQL per la risorsa macchine virtuali SQL nella portale di Azure.

Gestione nel portale

Dopo aver registrato la macchina virtuale di SQL Server con l'estensione SQL IaaS Agent, è possibile configurare una serie di impostazioni di sicurezza usando la risorsa macchine virtuali SQL nella portale di Azure, ad esempio l'abilitazione dell'integrazione di Azure Key Vault o l'autenticazione SQL.

Inoltre, dopo aver abilitato Microsoft Defender per SQL nei computer, è possibile visualizzare le funzionalità Defender per il cloud direttamente all'interno della risorsa macchine virtuali SQL nella portale di Azure, ad esempio valutazioni delle vulnerabilità e avvisi di sicurezza.

Per altre informazioni, vedere Gestire la macchina virtuale di SQL Server nel portale .

Macchine virtuali riservate

Le macchine virtuali riservate di Azure offrono un limite sicuro e imposto dall'hardware che rafforza la protezione del sistema operativo guest dall'accesso dell'operatore host. La scelta di una dimensione di macchina virtuale riservata per SQL Server in una macchina virtuale di Azure offre un ulteriore livello di protezione, consentendo di archiviare in modo sicuro i dati sensibili nel cloud e soddisfare requisiti di conformità rigorosi.

Le macchine virtuali riservate di Azure sfruttano i processori AMD con tecnologia edizione Standard V-SNP che crittografa la memoria della macchina virtuale usando chiavi generate dal processore. Ciò consente di proteggere i dati durante l'uso (i dati elaborati all'interno della memoria del processo di SQL Server) dall'accesso non autorizzato dal sistema operativo host. Il disco del sistema operativo di una macchina virtuale riservata può anche essere crittografato con chiavi associate al chip TPM (Trusted Platform Module) della macchina virtuale, rafforzando la protezione per i dati inattivi.

Per i passaggi di distribuzione dettagliati, vedere Avvio rapido: Distribuire SQL Server in una macchina virtuale riservata.

Consigli per la crittografia del disco sono diversi per le macchine virtuali riservate rispetto alle altre dimensioni della macchina virtuale. Per altre informazioni, vedere Crittografia dischi.

Autenticazione Microsoft Entra

A partire da SQL Server 2022, è possibile connettersi a SQL Server usando uno dei metodi di autenticazione seguenti con l'ID Microsoft Entra (in precedenza Azure Active Directory):

  • Password offre l'autenticazione con le credenziali di Microsoft Entra
  • Universal con MFA aggiunge l'autenticazione a più fattori
  • L'integrazione usa provider federatici come Active Directory Federation Services (ADFS) per abilitare le esperienze di Single Sign-On (SSO)
  • L'entità servizio abilita l'autenticazione dalle applicazioni di Azure
  • Identità gestita abilita l'autenticazione dalle applicazioni assegnate alle identità di Microsoft Entra

Per iniziare, vedere Configurare l'autenticazione di Microsoft Entra per la macchina virtuale di SQL Server.

Azure Advisor

Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Azure Advisor analizza la configurazione delle risorse e i dati di telemetria sull'utilizzo e quindi consiglia soluzioni che consentono di migliorare l'efficacia dei costi, le prestazioni, la disponibilità elevata e la sicurezza delle risorse di Azure. Azure Advisor può valutare a livello di macchina virtuale, gruppo di risorse o sottoscrizione.

Integrazione di Azure Key Vault

Esistono più funzionalità di crittografia di SQL Server, ad esempio Transparent Data Encryption (TDE), crittografia a livello di colonna (CLE) e crittografia di backup. Queste modalità di crittografia richiedono la gestione e l'archiviazione delle chiavi usate per la crittografia. Il servizio Azure Key Vault è progettato per migliorare la sicurezza e la gestione di queste chiavi in una posizione sicura e a disponibilità elevata. SQL Server Connessione or consente a SQL Server di usare queste chiavi da Azure Key Vault.

Tenere presente quanto segue:

  • Azure Key Vault archivia i segreti delle applicazioni in una posizione cloud centralizzata per controllare in modo sicuro le autorizzazioni di accesso e separare la registrazione degli accessi.
  • Quando si importano chiavi personalizzate in Azure, è consigliabile archiviare segreti e certificati in Azure Key Vault.
  • Crittografia dischi di Azure usi Azure Key Vault per controllare e gestire chiavi e segreti di crittografia del disco.

Controllo di accesso

Quando si crea una macchina virtuale di SQL Server con un'immagine della raccolta di Azure, l'opzione sql Server Connessione ivity offre la scelta tra Locale (all'interno della macchina virtuale), Privata (all'interno di Rete virtuale)o Pubblica (Internet).

Diagram showing SQL Server connectivity.

Per ottimizzare la sicurezza, scegliere l'opzione più restrittiva per lo scenario in uso. Se ad esempio si esegue un'applicazione che accede a SQL Server nella stessa VM, Locale è la scelta più sicura. Se si esegue un'applicazione Azure che richiede l'accesso a SQL Server, private protegge la comunicazione con SQL Server solo all'interno della rete virtuale di Azure specificata. Se è richiesto l'accesso Pubblico (Internet) alla VM di SQL Server, assicurarsi di seguire le altre procedure consigliate in questo argomento per ridurre la superficie di attacco.

Le opzioni selezionate nel portale usano le regole di sicurezza in ingresso nel gruppo di sicurezza di rete (NSG) di VM per consentire o negare il traffico di rete alla macchina virtuale. È possibile modificare o creare nuove regole NSG in ingresso per consentire il traffico verso la porta SQL Server (porta predefinita 1433). È anche possibile specificare indirizzi IP specifici che sono autorizzati a comunicare tramite questa porta.

Diagram showing network security group rules.

Oltre alle regole NSG per limitare il traffico di rete, è anche possibile usare Windows Firewall nella macchina virtuale.

Se si usano gli endpoint con un modello di distribuzione classico, rimuovere tutti gli endpoint nella macchina virtuale che non vengono usati. Per istruzioni sull'uso di ACL con gli endpoint, vedere Gestire l'elenco di controllo di accesso su un endpoint. Non è necessario per le macchine virtuali che usano Azure Resource Manager.

Valutare la possibilità di abilitare le connessioni crittografate per l'istanza del motore di database di SQL Server nella macchina virtuale di Azure. Configurare l'istanza di SQL Server con un certificato firmato. Per altre informazioni, vedere Abilitazione di connessioni crittografate al Motore di database e Sintassi della stringa di connessione.

Quando si protegge la connettività di rete o il perimetro, tenere presente quanto segue:

  • Firewall di Azure: un firewall come servizio (FaaS) con stato, gestito e gestito che concede/nega l'accesso al server in base all'indirizzo IP di origine, per proteggere le risorse di rete.
  • Protezione DDoS (Distributed Denial of Service) di Azure: gli attacchi DDoS sovraccariche e esauriscono le risorse di rete, rendendo le app lente o non rispondenti. La protezione DDoS di Azure sanifica il traffico di rete indesiderato prima che influisca sulla disponibilità del servizio.
  • Gruppi di sicurezza di rete : filtra il traffico di rete da e verso le risorse di Azure in Azure Rete virtuale
  • Gruppi di sicurezza delle applicazioni: fornisce il raggruppamento di server con requisiti di filtro delle porte simili e raggruppa i server con funzioni simili, ad esempio i server Web.

Crittografia del disco

Questa sezione fornisce indicazioni per la crittografia del disco, ma le raccomandazioni variano a seconda che si distribuisca un'istanza convenzionale di SQL Server in una macchina virtuale di Azure o SQL Server in una macchina virtuale riservata di Azure.

Macchine virtuali convenzionali

I dischi gestiti distribuiti nelle macchine virtuali che non sono macchine virtuali riservate di Azure usano la crittografia lato server e Crittografia dischi di Azure. La crittografia lato server fornisce la crittografia dei dati inattivi e protegge i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Crittografia dischi di Azure usa la tecnologia BitLocker o DM-Crypt e si integra con Azure Key Vault per crittografare sia il sistema operativo che i dischi dati.

Tenere presente quanto segue:

  • Crittografia dischi di Azure: crittografa i dischi delle macchine virtuali usando Crittografia dischi di Azure sia per le macchine virtuali Windows che Linux.
    • Quando i requisiti di conformità e sicurezza richiedono di crittografare i dati end-to-end usando le chiavi di crittografia, inclusa la crittografia del disco temporaneo (collegato localmente), usare crittografia dischi di Azure.
    • Crittografia dischi di Azure (ADE) sfrutta la funzionalità BitLocker standard di settore di Windows e la funzionalità DM-Crypt di Linux per fornire la crittografia del sistema operativo e del disco dati.
  • Crittografia dischi gestiti
    • I dischi gestiti vengono crittografati inattivi per impostazione predefinita usando la crittografia del servizio Archiviazione di Azure in cui le chiavi di crittografia sono chiavi gestite da Microsoft archiviate in Azure.
    • I dati nei dischi gestiti di Azure sono crittografati in modo trasparente con la crittografia AES a 256 bit, una delle crittografie a blocchi più solide disponibili, conforme a FIPS 140-2.
  • Per un confronto delle opzioni di crittografia del disco gestito, vedere il grafico di confronto della crittografia dei dischi gestiti.

Macchine virtuali riservate di Azure

Se si usa una macchina virtuale riservata di Azure, prendere in considerazione i consigli seguenti per ottimizzare i vantaggi della sicurezza:

  • Configurare la crittografia del disco del sistema operativo riservato, che associa le chiavi di crittografia del disco del sistema operativo al chip TPM (Trusted Platform Module) della macchina virtuale e rende il contenuto del disco protetto accessibile solo alla macchina virtuale.
  • Crittografare i dischi dati (dischi contenenti file di database, file di log o file di backup) con BitLocker e abilitare lo sblocco automatico. Per altre informazioni, vedere manage-bde autounlock o EnableBitLockerAutoUnlock . Lo sblocco automatico garantisce che le chiavi di crittografia vengano archiviate nel disco del sistema operativo. In combinazione con la crittografia del disco del sistema operativo riservato, questo protegge i dati inattivi archiviati nei dischi delle macchine virtuali dall'accesso host non autorizzato.

Avvio attendibile

Quando si distribuisce una macchina virtuale di seconda generazione , è possibile abilitare l'avvio attendibile, che protegge da tecniche di attacco avanzate e persistenti.

Con l'avvio attendibile, è possibile:

  • Distribuire in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.
  • Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
  • Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
  • Verificare che i carichi di lavoro siano attendibili e verificabili.

Le funzionalità seguenti non sono attualmente supportate quando si abilita l'avvio attendibile per SQL Server nelle macchine virtuali di Azure:

  • Azure Site Recovery
  • Dischi Ultra
  • Immagini gestite
  • Virtualizzazione annidata

Gestione degli account

È necessario fare in modo che gli utenti malintenzionati non indovinino facilmente i nomi di account o le password. Usare a tal fine i suggerimenti seguenti:

  • Creare un account amministratore locale univoco non denominato Amministratore.

  • Usare password complesse per tutti gli account. Per altre informazioni sulla creazione di password complesse, vedere l'articolo Crea una password complessa.

  • Per impostazione predefinita, in Azure viene selezionata l'autenticazione di Windows durante l'installazione della macchina virtuale di SQL Server. L'account di accesso SA è pertanto disabilitato e viene assegnata una password tramite il programma di installazione. È consigliabile non usare o abilitare l'account di accesso SA. Se è necessario avere un account di accesso SQL, usare una delle strategie seguenti:

    • Creare un account SQL con un nome univoco che abbia appartenenza sysadmin. È possibile creare questo account dal portale attivando Autenticazione di SQL Server durante il provisioning.

      Suggerimento

      Se non si attiva l'autenticazione di SQL Server durante il provisioning, è necessario modificare manualmente la modalità di autenticazione in Autenticazione di SQL Server e di Windows. Per altre informazioni, vedere Modifica della modalità di autenticazione del server.

    • Se è necessario usare l'account di accesso SA, attivarlo dopo il provisioning e assegnare una nuova password complessa.

Nota

Connessione a una macchina virtuale di SQL Server con Microsoft Entra Domain Services non è supportato. Usare invece un account di dominio Di Active Directory.

Controllo e creazione di report

Il controllo con log analytics documenta gli eventi e scrive in un log di controllo in un account Archiviazione BLOB di Azure sicuro. Log Analytics può essere usato per decifrare i dettagli dei log di controllo. Il controllo consente di salvare i dati in un account di archiviazione separato e di creare un audit trail di tutti gli eventi selezionati. È anche possibile usare Power BI nel log di controllo per un'analisi rapida dei dati e informazioni dettagliate sui dati, nonché per fornire una visualizzazione per la conformità alle normative. Per altre informazioni sul controllo a livello di macchina virtuale e di Azure, vedere Registrazione e controllo della sicurezza di Azure.

Accesso a livello di macchina virtuale

Chiudere le porte di gestione nel computer: le porte di gestione remota aperte espongono la macchina virtuale a un alto livello di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.

  • Attivare l'accesso JIT (Just-In-Time) per le macchine virtuali di Azure.
  • Sfruttare Azure Bastion su Remote Desktop Protocol (RDP).

Estensioni di macchina virtuale

Le estensioni macchina virtuale di Azure sono estensioni di Microsoft o di terze parti attendibili che consentono di soddisfare esigenze e rischi specifici, ad esempio antivirus, malware, protezione dalle minacce e altro ancora.

  • Estensione configurazione guest
    • Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest.
    • Le impostazioni in-guest includono la configurazione del sistema operativo, la configurazione o la presenza dell'applicazione e le impostazioni dell'ambiente.
    • Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard".
  • Agente di raccolta dati del traffico di rete
    • Microsoft Defender per il cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure.
    • Questo agente abilita funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce di rete specifiche.
  • Valutare le estensioni di Microsoft e terze parti per gestire antimalware, stato desiderato, rilevamento delle minacce, prevenzione e correzione per affrontare le minacce a livello di sistema operativo, computer e rete.

Passaggi successivi

Esaminare le procedure consigliate per la sicurezza per SQL Server e macchine virtuali di Azure e quindi vedere questo articolo per le procedure consigliate applicabili a SQL Server in macchine virtuali di Azure in modo specifico.

Per altri argomenti relativi all'esecuzione di SQL Server nelle macchine virtuali di Azure, vedere Panoramica di SQL Server in Macchine virtuali di Azure. In caso di domande sulle macchine virtuali SQL Server, vedere le domande frequenti.

Per altre informazioni, vedere gli altri articoli di questa serie di procedure consigliate: