Elenco di controllo per la sicurezza del database di Azure

Per migliorare la sicurezza, Database di Azure include molti controlli di sicurezza predefiniti che è possibile usare per limitare e controllare l'accesso.

I controlli di sicurezza includono:

• Un firewall che consente di creare regole del firewall limitando la connettività tramite un indirizzo IP,
• Regola del firewall a livello di server accessibile nel portale di Azure
• Regole del firewall a livello di database accessibili da SSMS
• Connettività sicura al database tramite delle stringhe di connessione protetta
• Usare la gestione degli accessi
• Crittografia dei dati
• Controllo del database SQL
• Rilevamento delle minacce nel database SQL

Introduzione

Il cloud computing richiede nuovi paradigmi di sicurezza che sono diversi per molti utenti dell'applicazione, amministratori del database e programmatori. Di conseguenza, alcune organizzazioni esitano a implementare un'infrastruttura cloud per la gestione dei dati a causa dei rischi di sicurezza percepiti. Tuttavia, la maggior parte di questo problema può essere mitigato tramite una migliore comprensione della funzionalità di sicurezza incorporate in Microsoft Azure e nel database SQL di Microsoft Azure.

Elenco di controllo

Si consiglia di leggere l'articolo Azure Database Security Best Practices (Best practice di sicurezza per il database di Azure) prima di esaminare questo elenco di controllo. Sarà possibile sfruttare al meglio questo elenco di controllo dopo aver compreso le procedure consigliate. È quindi possibile usare questo elenco di controllo per assicurarsi di aver risolto i problemi importanti nella sicurezza del database di Azure.

Categoria dell'elenco di controllo	Descrizione
Proteggere i dati
Crittografia in movimento/transito	Transport Layer Security, per la crittografia dei dati durante lo spostamento dei dati nelle reti. Il database richiede una comunicazione sicura da client basati sul protocollo TDS (Tabular Data Stream) in TLS (Transport Layer Security).
Crittografia dei dati inattivi	Transparent Data Encryption, quando i dati inattivi vengono archiviati fisicamente in qualsiasi forma digitale.
Controllare l'accesso
Accesso al database	L'autenticazione di Active Directory (autenticazione Microsoft Entra) usa le identità gestite dall'ID Microsoft Entra. Autorizzazione concede agli utenti i privilegi minimi necessari.
Accesso all'applicazione	Sicurezza a livello di riga (tramite i criteri di sicurezza, al tempo stesso limitando l'accesso a livello di riga in base all'identità dell'utente, al ruolo o al contesto di esecuzione). Dynamic Data Masking (tramite Autorizzazione e Politica, limita l'esposizione dei dati sensibili, nascondendoli agli utenti senza privilegi)
Monitoraggio proattivo
Monitoraggio e rilevamento	Il Controllo tiene traccia degli eventi che si verificano nel database e li registra in un log di controllo/log di attività nell'account di Archiviazione di Azure. Tenere traccia dell'integrità del database di Azure tramite i log attività di Monitoraggio di Azure. La funzionalità di rilevamento delle minacce individua le attività di database che indicano la presenza di potenziali minacce alla sicurezza nel database.
Microsoft Defender for Cloud	Monitoraggio dei dati Usare Microsoft Defender per il cloud come soluzione di monitoraggio della sicurezza centralizzata per SQL e altri servizi di Azure.

Conclusione

Il database di Azure è una piattaforma di database affidabile, con una gamma completa di funzionalità di sicurezza che soddisfano molti requisiti normativi e aziendali. È possibile proteggere facilmente i dati controllando l'accesso fisico ai dati e usando varie opzioni per la sicurezza dei dati a livello di file, colonna o riga con Transparent Data Encryption, Crittografia a livello di cella o Sicurezza a livello di riga. Always Encrypted consente anche operazioni sui dati crittografati, semplificando il processo di aggiornamenti dell'applicazione. A sua volta, l'accesso ai log di controllo dell'attività del database SQL fornisce le informazioni necessarie, consentendo di sapere come e quando viene eseguito l'accesso ai dati.

Passaggi successivi

È possibile migliorare la protezione del database contro utenti malintenzionati o accessi non autorizzati con pochi semplici passaggi. In questa esercitazione si apprenderà come:

• Configurare regole del firewall per il server e/o il database.
• Proteggere i dati con la crittografia.
• Abilitare il controllo del database SQL.