Implementați securitatea pentru a proteja Azure SQL

  • 9 minute

Înțelegerea și gestionarea eficientă a regulilor pentru firewallul de server și bază de date, precum și a Microsoft Defender pentru SQL, este esențială pentru a asigura protecția resurselor SQL Azure în timpul migrării și dincolo de aceasta.

Configurarea regulilor pentru firewallul de server și bază de date

În baza de date Azure SQL, puteți configura reguli de firewall atât la nivel de server, cât și la nivel de bază de date.

Reguli de firewall la nivel de server

Regulile paravanului de protecție la nivel de server controla accesul la baza de date SQL Azure la un nivel mai larg, determinând ce adrese IP se pot conecta la server. În schimb,

Captură de ecran a gestionării regulilor de server prin portalul Azure.

Regulile paravanului de protecție la nivel de server le permit utilizatorilor să se conecteze la toate bazele de date, în timp ce firewallurile la nivel de bază de date controlează accesul pentru anumite adrese IP la baze de date individuale.

Puteți configura regulile paravanului de protecție la nivel de server prin portalul Azure sau utilizând procedura stocată sp_set_firewall_rule din baza de date coordonatoare.

Notă

Permiteți serviciilor și resurselor Azure să acceseze acest server setările serverului numără ca o singură regulă de firewall atunci când este activată. În mod implicit, blocați accesul și deschideți-l doar atunci când este necesar.

Reguli firewall la nivel de bază de date

Regulile la nivel de bază de date oferă un control mai specific în cadrul bazelor de date individuale. Puteți configura regulile paravanului de protecție la nivel de bază de date prin T-SQL doar utilizând procedura stocată sp_set_database_firewall_rule din cadrul bazei de date utilizator.

Atunci când vă conectați, baza de date Azure SQL verifică dacă există o regulă de firewall la nivel de bază de date specifică numelui bazei de date furnizate. Dacă regula nu este găsită, aceasta verifică regulile firewallului IP la nivel de server, care se aplică tuturor bazelor de date de pe server. Dacă există oricare dintre reguli, se stabilește conexiunea.

Dacă niciuna dintre reguli nu există și utilizatorul folosește SQL Server Management Studio pentru a se conecta, i se va cere să creeze o regulă de firewall.

Captură de ecran care arată noul dialog de regulă firewall din SQL Server Management Studio.

Pentru a afla mai multe despre regulile paravanului de protecție la nivel de server și regulile paravanului de protecție la nivel de bază de date, consultați Azure SQL Database și Reguli firewall IP Azure Synapse.

Microsoft Defender pentru SQL

Microsoft Defender pentru SQL este o soluție cuprinzătoare de securitate pentru baza de date SQL Azure, instanța azure sql gestionată și SQL Server pe Azure VM. Monitorizează și evaluează permanent securitatea bazei de date, oferind recomandări particularizate pentru a o consolida.

De asemenea, oferă capacități avansate de securitate, inclusiv evaluarea vulnerabilităților SQL și Protecție avansată împotriva amenințărilor, pentru a vă proteja proactiv starea datelor. Această soluție all-in-one vă ajută să mențineți un nivel înalt de securitate în mediul SQL.

Există două modalități diferite de a activa Microsoft Defender pentru SQL.

Metodă Descriere
nivel de abonament (recomandat) Permiteți-l la nivel de abonament pentru o protecție cuprinzătoare a tuturor bazelor de date din baza de date SQL Azure și Instanța gestionată Azure SQL. Le puteți dezactiva individual, dacă este necesar.
nivel de resurse Ca alternativă, o puteți activa la nivel de resursă dacă preferați să gestionați manual protecția pentru anumite baze de date.

Evaluare vulnerabilitate SQL

evaluarea vulnerabilităților SQL utilizează o bază de cunoștințe de reguli bazate pe cele mai bune practici Microsoft. Acesta semnalizează vulnerabilități de securitate, configurații greșite, permisiuni excesive și date sensibile neprotejate.

Aveți două opțiuni de configurare pentru evaluarea vulnerabilităților SQL:

  1. Configurare expresă: este opțiunea implicită și nu necesită spațiu de stocare extern pentru rezultatele de referință și scanare.

  2. configurație clasică: trebuie să gestionați un cont de stocare Azure pentru stocarea datelor de referință și de scanare a rezultatelor.

Captură de ecran care afișează tabloul de bord de evaluare a vulnerabilităților SQL în portalul Azure.

Protecție avansată împotriva amenințărilor

protecție avansată împotriva amenințărilor îmbunătățește securitatea Azure SQL, detectând și răspunzând la încercări neobișnuite sau potențial dăunătoare de acces la bazele de date.

Oferă avertizări de securitate pentru activitățile suspecte ale bazei de date, vulnerabilitățile potențiale, atacurile de injectare SQL și modelele de acces anormale, integrate cu Microsoft Defender pentru cloud. Această integrare oferă detalii și acțiuni recomandate pentru investigarea și atenuarea amenințărilor, făcându-l accesibil experților nelegați.

Captură de ecran care afișează lista avansată de recomandări de protecție împotriva amenințărilor în portalul Azure.

Pentru o listă de avertizări, consultați avertizările pentru baza de date SQL și Azure Synapse Analytics în Microsoft Defender pentru cloud.