Azure SQL Edge beveiligen
Belangrijk
Azure SQL Edge biedt geen ondersteuning meer voor het ARM64-platform.
Met de toename van de acceptatie van IoT- en Edge-computing in verschillende branches is er een toename van het aantal apparaten en de gegevens die op deze apparaten worden gegenereerd. Het toegenomen aantal gegevens en het aantal apparaateindpunten vormt een belangrijke uitdaging met betrekking tot de beveiliging van gegevens en de apparaten.
Azure SQL Edge biedt meerdere functies en mogelijkheden waarmee het relatief eenvoudiger is om de IoT-gegevens in de SQL Server-databases te beveiligen. Azure SQL Edge is gebouwd met behulp van dezelfde database-engine die Microsoft SQL Server en Azure SQL mogelijk maakt, waarbij dezelfde beveiligingsmogelijkheden worden gedeeld, waardoor het eenvoudiger is om hetzelfde beveiligingsbeleid en dezelfde procedures uit te breiden van de cloud naar de rand.
Net als Bij Microsoft SQL Server en Azure SQL kunt u Azure SQL Edge-implementaties beveiligen als een reeks stappen die betrekking hebben op vier gebieden: het platform, de verificatie, objecten (inclusief gegevens) en toepassingen die toegang hebben tot het systeem.
Platform- en systeembeveiliging
Het platform voor Azure SQL Edge bevat de fysieke Docker-host, het besturingssysteem op de host en de netwerksystemen die het fysieke apparaat verbinden met toepassingen en clients.
Het implementeren van platformbeveiliging begint met het buiten het netwerk houden van onbevoegde gebruikers. Enkele van de aanbevolen procedures zijn, maar zijn niet beperkt tot:
- Firewallregels implementeren om ervoor te zorgen dat het beveiligingsbeleid van de organisatie wordt gegarandeerd.
- Zorg ervoor dat het besturingssysteem op het fysieke apparaat alle meest recente beveiligingsupdates heeft toegepast.
- Hostpoorten opgeven en beperken die worden gebruikt voor Azure SQL Edge
- Ervoor zorgen dat het juiste toegangsbeheer wordt toegepast op alle gegevensvolumes die Azure SQL Edge-gegevens hosten.
Raadpleeg netwerkprotocollen en TDS-eindpunten voor meer informatie over Azure SQL Edge-netwerkprotocollen en TDS-eindpunten.
Verificatie en autorisatie
Verificatie
Verificatie is het proces waarmee kan worden bewezen dat de gebruiker is wie hij of zij beweert te zijn. Azure SQL Edge ondersteunt momenteel alleen het SQL Authentication mechanisme.
SQL-verificatie:
SQL-verificatie verwijst naar de verificatie van een gebruiker bij het maken van verbinding met Azure SQL Edge met behulp van een gebruikersnaam en wachtwoord. Het aanmeldingswachtwoord voor SQL sa moet worden opgegeven tijdens de SQL Edge-implementatie. Daarna kunnen extra SQL-aanmeldingen en -gebruikers worden gemaakt door de serverbeheerder, zodat gebruikers verbinding kunnen maken met behulp van gebruikersnaam en wachtwoord.
Zie Een aanmeldings- en databasegebruiker maken voor meer informatie over het maken en beheren van aanmeldingen en gebruikers in SQL Edge.
Autorisatie
Autorisatie verwijst naar de machtigingen die zijn toegewezen aan een gebruiker in een database in Azure SQL Edge en bepaalt wat de gebruiker mag doen. Machtigingen worden beheerd door gebruikersaccounts toe te voegen aan databaserollen en machtigingen op databaseniveau toe te wijzen aan deze rollen of door de gebruiker bepaalde machtigingen op objectniveau te verlenen. Zie Aanmeldingen en gebruikers voor meer informatie.
Als best practice kunt u zo nodig aangepaste rollen maken. Voeg gebruikers toe aan de rol met de minste bevoegdheden die nodig zijn om hun taakfunctie uit te voeren. Wijs geen machtigingen rechtstreeks toe aan gebruikers. Het serverbeheerdersaccount is lid van de ingebouwde db_owner-rol, die uitgebreide machtigingen heeft en slechts aan enkele gebruikers met beheerdersrechten mag worden verleend. Gebruik voor toepassingen de EXECUTE AS om de uitvoeringscontext van de aangeroepen module op te geven of toepassingsrollen met beperkte machtigingen te gebruiken. Deze procedure zorgt ervoor dat de toepassing die verbinding maakt met de database de minste bevoegdheden heeft die de toepassing nodig heeft. Het volgen van deze best practices bevordert ook de scheiding van taken.
Beveiliging van databaseobjecten
Principals zijn de personen, groepen en processen die toegang krijgen tot SQL Edge. 'Beveiligbare objecten' zijn de server, database en objecten die de database bevat. Elk heeft een set machtigingen die kunnen worden geconfigureerd om het oppervlak te verminderen. De volgende tabel bevat informatie over principals en beveiligbare items.
| Voor informatie over | Raadpleeg |
|---|---|
| Server- en databasegebruikers, -rollen en -processen | Principals-database-engine |
| Beveiliging van server- en databaseobjecten | Beveiligbare objecten |
Versleuteling en certificaten
Versleuteling lost geen problemen met toegangsbeheer op. Het verbetert de beveiliging echter door gegevensverlies te beperken, zelfs in het zeldzame geval dat toegangsbeheer wordt overgeslagen. Als de databasehostcomputer bijvoorbeeld onjuist is geconfigureerd en een kwaadwillende gebruiker gevoelige gegevens verkrijgt, zoals creditcardnummers, kan die gestolen informatie nutteloos zijn als deze is versleuteld. De volgende tabel bevat meer informatie over versleuteling in Azure SQL Edge.
| Voor informatie over | Raadpleeg |
|---|---|
| Beveiligde verbindingen implementeren | Verbinding maken ionen versleutelen |
| Versleutelingsfuncties | Cryptografische functies (Transact-SQL) |
| Data Encryption at rest | Transparante gegevensversleuteling |
| Altijd versleuteld | Altijd versleuteld |
Notitie
De beveiligingsbeperkingen die worden beschreven voor SQL Server in Linux zijn ook van toepassing op Azure SQL Edge.
Notitie
Azure SQL Edge bevat niet het hulpprogramma mssql-conf . Alle configuraties, inclusief configuratie met betrekking tot versleuteling, moeten worden uitgevoerd via het bestand mssql.conf of omgevingsvariabelen.
Net als bij Azure SQL en Microsoft SQL Server biedt Azure SQL Edge hetzelfde mechanisme voor het maken en gebruiken van certificaten om de beveiliging van objecten en verbindingen te verbeteren. Zie CREATE CERTIFICATE (TRANSACT-SQL) voor meer informatie.
Toepassingsbeveiliging
Clientprogramma's
Aanbevolen procedures voor Azure SQL Edge-beveiliging omvatten het schrijven van beveiligde clienttoepassingen. Zie Clientnetwerkconfiguratie voor meer informatie over het beveiligen van clienttoepassingen op de netwerklaag.
Weergaven en functies van beveiligingscatalogus
Beveiligingsgegevens worden weergegeven in verschillende weergaven en functies die zijn geoptimaliseerd voor prestaties en hulpprogramma's. De volgende tabel bevat informatie over beveiligingsweergaven en -functies in Azure SQL Edge.
| Functies en weergaven | Koppelingen |
|---|---|
| Weergaven van beveiligingscatalogus, die informatie retourneren over machtigingen op databaseniveau en serverniveau, principals, rollen enzovoort. Daarnaast zijn er catalogusweergaven die informatie bieden over versleutelingssleutels, certificaten en referenties. | Weergaven van beveiligingscatalogus (Transact-SQL) |
| Beveiligingsfuncties, die informatie retourneren over de huidige gebruiker, machtigingen en schema's. | Beveiligingsfuncties (Transact-SQL) |
| Dynamische beveiligingsbeheerweergaven. | Beveiligingsgerelateerde dynamische beheerweergaven en -functies (Transact-SQL) |
Controle
Azure SQL Edge biedt dezelfde controlemechanismen als SQL Server. Zie SQL Server Audit (Database Engine) voor meer informatie.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor