Aanbevolen procedures voor het beveiligen van PaaS-databases in Azure

In dit artikel bespreken we een verzameling best practices voor beveiliging van Azure SQL Database en Azure Synapse Analytics voor het beveiligen van uw PaaS-webtoepassingen (Platform-as-a-Service). Deze best practices zijn afgeleid van onze ervaring met Azure en de ervaringen van klanten zoals uzelf.

Azure SQL Database en Azure Synapse Analytics bieden een relationele databaseservice voor uw internettoepassingen. Laten we eens kijken naar services waarmee u uw toepassingen en gegevens kunt beveiligen bij het gebruik van Azure SQL Database en Azure Synapse Analytics in een PaaS-implementatie:

• Microsoft Entra-verificatie (in plaats van SQL Server-verificatie)
• Azure SQL-firewall
• TDE (Transparent Data Encryption)

Een gecentraliseerde identiteitsopslagplaats gebruiken

Azure SQL Database kan worden geconfigureerd voor het gebruik van een van de twee typen verificatie:

• SQL-verificatie maakt gebruik van een gebruikersnaam en wachtwoord. Toen u de server voor uw database hebt gemaakt, hebt u een 'serverbeheerder'-aanmelding met een gebruikersnaam en wachtwoord opgegeven. Met behulp van deze referenties kunt u zich verifiëren bij elke database op die server als de eigenaar van de database.

• Microsoft Entra-verificatie maakt gebruik van identiteiten die worden beheerd door Microsoft Entra ID en wordt ondersteund voor beheerde en geïntegreerde domeinen. Als u Microsoft Entra-verificatie wilt gebruiken, moet u een andere serverbeheerder maken met de naam Microsoft Entra-beheerder, die Microsoft Entra-gebruikers en -groepen mag beheren. Deze beheerder kan ook alle bewerkingen uitvoeren die reguliere serverbeheerders kunnen uitvoeren.

Microsoft Entra-verificatie is een mechanisme om verbinding te maken met Azure SQL Database en Azure Synapse Analytics met behulp van identiteiten in Microsoft Entra-id. Microsoft Entra ID biedt een alternatief voor SQL Server-verificatie, zodat u de verspreiding van gebruikersidentiteiten tussen databaseservers kunt stoppen. Met Microsoft Entra-verificatie kunt u de identiteiten van databasegebruikers en andere Microsoft-services centraal beheren op één centrale locatie. Centraal identiteitsbeheer biedt één plek voor het beheren van databasegebruikers en vereenvoudigt het machtigingenbeheer.

Voordelen van het gebruik van Microsoft Entra-id in plaats van SQL-verificatie

• Maakt rotatie van wachtwoorden op één plek mogelijk.
• Beheert databasemachtigingen met behulp van externe Microsoft Entra-groepen.
• Elimineert het opslaan van wachtwoorden door geïntegreerde Windows-verificatie en andere vormen van verificatie in te schakelen die worden ondersteund door Microsoft Entra ID.
• Maakt gebruik van ingesloten databasegebruikers om identiteiten op databaseniveau te verifiëren.
• Ondersteunt verificatie op basis van tokens voor toepassingen die verbinding maken met SQL Database.
• Ondersteunt domeinfederatie met ADFS (Active Directory Federation Services) of systeemeigen gebruikers-/wachtwoordverificatie voor een lokale Microsoft Entra-id zonder domeinsynchronisatie.
• Ondersteunt verbindingen van SQL Server Management Studio die gebruikmaken van Active Directory Universal Authentication, waaronder Multi-Factor Authentication (MFA). MFA bevat sterke verificatie met een scala aan eenvoudige verificatieopties. Verificatieopties zijn telefoongesprekken, sms-berichten, smartcards met pincode of mobiele app-melding. Zie Universal Authentication met SQL Database en Azure Synapse Analytics voor meer informatie.

Zie voor meer informatie over Microsoft Entra-verificatie:

• Microsoft Entra-verificatie gebruiken voor verificatie met SQL Database, Managed Instance of Azure Synapse Analytics
• Verificatie voor Azure Synapse Analytics
• Verificatieondersteuning op basis van tokens voor Azure SQL Database met behulp van Microsoft Entra-verificatie

Notitie

Zie de functies en beperkingen van Microsoft Entra om ervoor te zorgen dat Microsoft Entra-id geschikt is voor uw omgeving.

Toegang beperken op basis van IP-adres

U kunt firewallregels maken waarmee bereiken van acceptabele IP-adressen worden opgegeven. Deze regels kunnen zowel op server- als databaseniveau worden gericht. We raden u aan waar mogelijk firewallregels op databaseniveau te gebruiken om de beveiliging te verbeteren en uw database draagbaarder te maken. Firewallregels op serverniveau worden het beste gebruikt voor beheerders en wanneer u veel databases hebt die dezelfde toegangsvereisten hebben, maar u geen tijd wilt besteden aan het afzonderlijk configureren van elke database.

Standaard-IP-adresbeperkingen van SQL Database bieden toegang vanaf elk Azure-adres, inclusief andere abonnementen en tenants. U kunt dit beperken zodat alleen uw IP-adressen toegang hebben tot het exemplaar. Zelfs met uw SQL-firewall en IP-adresbeperkingen is sterke verificatie nog steeds nodig. Zie de aanbevelingen die eerder in dit artikel zijn gedaan.

Zie voor meer informatie over Azure SQL Firewall- en IP-beperkingen:

• Toegangsbeheer voor Azure SQL Database en Azure Synapse Analytics
• Firewallregels voor Azure SQL Database en Azure Synapse Analytics

Data-at-rest versleutelen

Transparent Data Encryption (TDE) is standaard ingeschakeld. TDE versleutelt op transparante wijze SQL Server-, Azure SQL Database- en Azure Synapse Analytics-gegevens en logboekbestanden. TDE beschermt tegen een inbreuk op directe toegang tot de bestanden of hun back-up. Hierdoor kunt u data-at-rest versleutelen zonder bestaande toepassingen te wijzigen. TDE moet altijd ingeschakeld blijven; Dit stopt echter niet dat een aanvaller het normale toegangspad gebruikt. TDE biedt de mogelijkheid om te voldoen aan veel wetten, voorschriften en richtlijnen die in verschillende branches zijn vastgesteld.

Azure SQL beheert belangrijke problemen met betrekking tot TDE. Net als bij TDE moet er speciale aandacht worden besteed aan on-premises herstelmogelijkheden en bij het verplaatsen van databases. In meer geavanceerde scenario's kunnen de sleutels expliciet worden beheerd in Azure Key Vault via uitbreidbaar sleutelbeheer. Zie TDE inschakelen op SQL Server met behulp van EKM. Hierdoor kunt u byok (Bring Your Own Key) ook gebruiken via de BYOK-functie van Azure Key Vaults.

Azure SQL biedt versleuteling voor kolommen via Always Encrypted. Hierdoor hebben alleen geautoriseerde toepassingen toegang tot gevoelige kolommen. Met dit type versleuteling worden SQL-query's voor versleutelde kolommen beperkt tot op gelijkheid gebaseerde waarden.

Versleuteling op toepassingsniveau moet ook worden gebruikt voor selectieve gegevens. Problemen met gegevenssoevereine kunnen soms worden verholpen door gegevens te versleutelen met een sleutel die in het juiste land/de juiste regio wordt bewaard. Dit voorkomt zelfs dat onbedoelde gegevensoverdracht een probleem veroorzaakt, omdat het onmogelijk is om de gegevens zonder de sleutel te ontsleutelen, ervan uitgaande dat een sterk algoritme wordt gebruikt (zoals AES 256).

U kunt aanvullende voorzorgsmaatregelen gebruiken om de database te beveiligen, zoals het ontwerpen van een beveiligd systeem, het versleutelen van vertrouwelijke assets en het bouwen van een firewall rond de databaseservers.

Volgende stappen

In dit artikel hebt u kennisgemaakt met een verzameling best practices voor BEVEILIGING van SQL Database en Azure Synapse Analytics voor het beveiligen van uw PaaS-web- en mobiele toepassingen. Zie voor meer informatie over het beveiligen van uw PaaS-implementaties:

• PaaS-implementaties beveiligen
• PaaS-web- en mobiele toepassingen beveiligen met Azure-app Services