Elenco di controllo per la sicurezza del database di Azure

Per migliorare la sicurezza, il database SQL di Azure e Istanza gestita di SQL di Azure includono controlli di sicurezza predefiniti che è possibile usare per limitare e controllare l'accesso, proteggere i dati e monitorare le minacce.

I controlli di sicurezza includono:

• Regole del firewall che limitano la connettività in base all'indirizzo IP e alla rete virtuale
• Autenticazione di Microsoft Entra per la gestione centralizzata delle identità
• Proteggere la connettività con la crittografia TLS
• Gestione e autorizzazione degli accessi
• Crittografia dei dati inattivi e in transito
• Controllo del database e rilevamento delle minacce
• Funzionalità avanzate di sicurezza dei dati

Introduzione

Il cloud computing richiede nuovi paradigmi di sicurezza che potrebbero non essere familiari a molti utenti di applicazioni, amministratori di database e programmatori. Le organizzazioni possono sfruttare le funzionalità di sicurezza complete di SQL di Azure per proteggere i dati sensibili e soddisfare i requisiti di conformità alle normative.

Elenco di controllo

È consigliabile leggere l'articolo Procedure consigliate per la sicurezza del database SQL di Azure prima di esaminare questo elenco di controllo. Comprendere le procedure consigliate consente di ottenere il massimo valore da questo elenco di controllo. Usare questo elenco di controllo per verificare di aver affrontato i controlli di sicurezza importanti nella sicurezza del database di Azure.

Categoria dell'elenco di controllo	Descrizione
Proteggere i dati
Crittografia dei dati in transito	Transport Layer Security (TLS) crittografa i dati in movimento tra client e database. Azure SQL richiede TLS 1.2 o versione successiva per le connessioni sicure. Il database richiede comunicazioni sicure dai client basati sul protocollo TDS (Tabular Data Stream) su TLS.
Crittografia di dati inattivi	Transparent Data Encryption (TDE) crittografa i file di dati e di log inattivi. TDE è abilitato per impostazione predefinita in tutti i nuovi database SQL di Azure. Bring Your Own Key (BYOK) consente di gestire le chiavi di crittografia TDE in Azure Key Vault.
Crittografia in uso	Always Encrypted protegge i dati sensibili crittografandoli all'interno delle applicazioni client. Le chiavi di crittografia non raggiungono mai il motore di database, garantendo la separazione tra proprietari di dati e gestori dati. Column-Level Encryption (CLE) crittografa colonne specifiche usando la crittografia simmetrica per una protezione aggiuntiva dei dati sensibili.
Controllare l'accesso
Accesso al database	L'autenticazione di Microsoft Entra offre una gestione centralizzata delle identità con funzionalità single sign-on (SSO). L'autenticazione SQL con password complesse fornisce un metodo di autenticazione alternativo. L'autorizzazione concede agli utenti i privilegi minimi necessari usando il controllo degli accessi in base al ruolo.
Controllo di accesso alla rete	Le regole del firewall IP a livello di server limitano l'accesso in base agli indirizzi IP di origine. Le regole del firewall IP a livello di database forniscono un controllo di accesso granulare per ogni database. Gli endpoint servizio di rete virtuale consentono la connettività da reti virtuali di Azure specifiche. Il collegamento privato fornisce connettività privata al database SQL di Azure usando un indirizzo IP privato all'interno della rete virtuale.
Controllo di accesso all'applicazione	Row-Level Security (RLS) limita l'accesso a livello di riga in base all'identità, al ruolo o al contesto di esecuzione di un utente. Dynamic Data Masking limita l'esposizione dei dati sensibili mascherandoli agli utenti non privilegiati senza modificare i dati sottostanti. Individuazione e classificazione dei dati identifica, classifica ed etichetta i dati sensibili per migliorare la protezione e la conformità.
Monitoraggio proattivo
Controllo e rilevamento	Il controllo tiene traccia degli eventi del database e li scrive in un log di controllo nell'account di archiviazione di Azure, nell'area di lavoro Log Analytics o in Hub eventi. Tenere traccia dell'integrità del database SQL di Azure usando Monitoraggio di Azure e le impostazioni di diagnostica. Microsoft Defender per SQL rileva attività di database anomale che indicano potenziali minacce alla sicurezza, tra cui attacchi SQL injection, attacchi di forza bruta e exploit di vulnerabilità.
Valutazione della vulnerabilità	Valutazione della vulnerabilità individua, tiene traccia e consente di correggere potenziali vulnerabilità del database. Fornisce raccomandazioni sulla sicurezza e report sui rischi interattivi per la conformità.
Gestione centralizzata della sicurezza	Microsoft Defender for Cloud offre funzionalità centralizzate di monitoraggio e gestione della sicurezza per il database SQL di Azure e altri servizi di Azure. Raccomandazioni sulla sicurezza basate sul benchmark di sicurezza del cloud Microsoft.
Integrità dei dati
Funzionalità libro mastro	Ledger offre funzionalità antimanomissione creando un record immutabile delle transazioni del database. Consente di soddisfare i requisiti di conformità per la verifica dell'integrità dei dati.

Conclusione

Il database SQL di Azure e l'istanza gestita di SQL di Azure offrono piattaforme di database affidabili con funzionalità di sicurezza complete che soddisfano i requisiti di conformità dell'organizzazione e delle normative. È possibile proteggere i dati durante tutto il ciclo di vita, inattivi, in transito e in uso, usando Transparent Data Encryption, Always Encrypted e TLS. Controlli di accesso con granularità fine, tra cui sicurezza Row-Level, maschera dati dinamica e autenticazione di Microsoft Entra, garantiscono solo agli utenti autorizzati di accedere ai dati sensibili. Il monitoraggio continuo tramite il controllo, Microsoft Defender per SQL e Valutazione della vulnerabilità consente di identificare e correggere in modo proattivo le minacce alla sicurezza.

Passaggi successivi

È possibile migliorare la protezione del database da utenti malintenzionati o da accessi non autorizzati con alcuni semplici passaggi:

• Configurare le regole del firewall per il server e i database
• Proteggi i tuoi dati con la crittografia
• Abilitare il controllo del database SQL
• Attivare Microsoft Defender per SQL per il rilevamento delle minacce
• Esaminare le procedure consigliate per la sicurezza