Контрольный список для обеспечения безопасности баз данных

  • Статья

Для повышения безопасности База данных Azure включает в себя множество встроенных элементов управления безопасностью, которые можно использовать для ограничения и управления доступом.

К элементам управления безопасностью относятся:

  • брандмауэр, который позволяет создавать правила брандмауэра, ограничивающие подключение по IP-адресу;
  • брандмауэр на уровне сервера, доступны на портале Azure;
  • правила брандмауэра уровня базы данных, доступные в SSMS;
  • защищенное подключение к базе данных с помощью безопасных строк подключения;
  • управление доступом;
  • Шифрование данных
  • Аудит Баз данных SQL
  • обнаружение угроз для баз данных SQL.

Введение

Для облачных вычислений требуются новые принципы обеспечения безопасности, незнакомые многим пользователям приложений, администраторам базы данных и программистам. Поэтому в некоторых организациях не решаются реализовать облачную инфраструктуру для управления данными из-за предполагаемых угроз безопасности. Однако большую часть этой проблемы можно устранить, лучше изучив возможности безопасности, встроенные в Microsoft Azure и Базу данных SQL Microsoft Azure.

Контрольный список

Прежде чем приступить к изучению данного контрольного списка, рекомендуем ознакомиться с рекомендациями по обеспечению безопасности базы данных Azure. После ознакомления с рекомендациями вы сможете максимально эффективно использовать этот контрольный список. Затем вы сможете использовать этот контрольный список для решения важных проблем безопасности базы данных SQL Azure.

Категория контрольного списка Описание
Защита данных

Шифрование данных при передаче

Шифрование при хранении
Контроль доступа

Доступ к базе данных
  • Аутентификация (Аутентификация Azure Active Directory). Используются удостоверения, управляемые Azure Active Directory.
  • Авторизация позволяет предоставлять пользователям минимальные необходимые привилегии.

Доступ к приложениям
  • Безопасность на уровне строк (используется политика безопасности и ограничение доступа на уровне строк на основе удостоверения пользователя, его роли или контекста выполнения).
  • Динамическое маскирование данных(с помощью разрешения и политики ограничивается возможность раскрытия конфиденциальных данных путем их маскировки для обычных пользователей без соответствующих привилегий)
Упреждающий мониторинг

Отслеживание и обнаружение

Microsoft Defender для облака
  • Мониторинг данных. Используйте Microsoft Defender для облака как централизованное решение для мониторинга безопасности для SQL и других служб Azure.

Заключение

База данных Azure — это надежная платформа базы данных с полным набором функций безопасности, которые удовлетворяют многим организационным и нормативным требованиям. Вы можете легко защитить данные, контролируя физический доступ к данным и используя различные варианты защиты данных на уровне файлов, столбцов или строк с помощью прозрачного шифрования данных, шифрования Cell-Level или Row-Level Security. Always Encrypted также позволяет выполнять операции с зашифрованными данными, что упрощает процесс обновления приложений. В свою очередь, благодаря доступу к журналам аудита действий базы данных SQL вы получаете необходимые сведения о способе и времени доступа к данным.

Дальнейшие действия

Выполнив всего несколько простых действий, можно значительно повысить уровень защиты базы данных от пользователей-злоумышленников или несанкционированного доступа. Из этого руководства вы узнаете, как выполнять такие задачи.