Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
Azure SQL Managed Instance
Azure SQL Managed Instance är en fullständigt hanterad paaS-databasmotor (plattform som en tjänst) som ger nästan 100% kompatibilitet med den senaste SQL Server Database Engine. Den kombinerar det bästa av SQL Server med driftfördelarna med en fullständigt hanterad tjänst. Eftersom den ofta lagrar viktiga affärsdata, inklusive kundposter, finansiell information och immateriell egendom, är det viktigt att skydda din SQL Managed Instance för att skydda mot dataintrång, obehörig åtkomst och efterlevnadsöverträdelser.
Den här artikeln innehåller vägledning om hur du bäst skyddar distributionen av azure SQL Managed Instance.
Nätverkssäkerhet
Nätverkssäkerhet för SQL Managed Instance hjälper till att förhindra obehöriga anslutningar, minskar exponeringen för attacker och säkerställer att endast betrodda källor kan nå dina databaser genom korrekt nätverksisolering och åtkomstkontroller.
Distribuera i ett dedikerat virtuellt nätverk: Placera din hanterade instans i ett dedikerat undernät i det virtuella nätverket för att tillhandahålla nätverksisolering och kontrollera trafikflödet. Detta säkerställer att databasen är isolerad från andra resurser och skyddas av nätverksgränser. Mer information finns i Krav för virtuellt nätverk.
Konfigurera nätverkssäkerhetsgrupper (NSG:er): Använd NSG:er för ditt SQL-hanterade instansundernät för att styra inkommande och utgående trafik. Begränsa åtkomsten till endast nödvändiga portar och källor för att minimera attackytan. Mer information finns i Nätverkssäkerhetsgrupper.
Använd privata slutpunkter när det är möjligt: Anslut till din SQL-hanterade instans via privata IP-adresser för att undvika att exponera databasen för det offentliga Internet. Privat anslutning minskar risken för externa attacker och dataexfiltrering. Mer information finns i Privat slutpunktsanslutning.
Inaktivera offentliga slutpunkter som standard: Aktivera endast offentliga slutpunkter om det är absolut nödvändigt för din arkitektur. När du är aktiverad använder du strikta brandväggsregler för att begränsa åtkomsten till endast auktoriserade IP-adresser. Mer information finns i Översikt över offentlig slutpunkt.
Implementera ExpressRoute eller VPN för hybridanslutning: Använd Azure ExpressRoute eller plats-till-plats-VPN för säkra, privata anslutningar mellan ditt lokala nätverk och Azure. Detta säkerställer att data inte passerar det offentliga Internet. Mer information finns i Anslutningsarkitektur.
Aktivera anslutningskryptering: Konfigurera alla klientanslutningar för att använda kryptering under överföring. SQL Managed Instance stöder TLS 1.2 som standard, vilket säkerställer att data skyddas vid flytt mellan klienter och databasen. TLS 1.3 är också tillgängligt för SQL Managed Instance. Mer information finns i Anslutningssäkerhet.
Identitetshantering
Starka identitets- och autentiseringskontroller säkerställer att endast behöriga användare och program kan komma åt dina SQL Managed Instance-resurser, samtidigt som centraliserad identitetshantering och enklare kontolivscykelkontroll tillhandahålls.
Konfigurera en Microsoft Entra-administratör: Utse en Microsoft Entra-administratör för din SQL-hanterade instans för att aktivera centraliserad identitetshantering och avancerade säkerhetsfunktioner. Den här administratören kan hantera åtkomst- och autentiseringsprinciper. Mer information finns i Microsoft Entra-administratör.
Använd Microsoft Entra-autentisering: Föredrar Microsoft Entra-autentisering framför SQL-autentisering för centraliserad identitetshantering och enklare livscykelkontroll för konton. Microsoft Entra ID ger överlägsen säkerhet och möjliggör avancerade funktioner som villkorlig åtkomst. Mer information finns i Konfigurera Microsoft Entra-autentisering.
Skapa oberoende databasanvändare: Använd oberoende databasanvändare som mappar till Microsoft Entra-grupper i stället för inloggningar på servernivå när det är möjligt. Detta förenklar behörighetshanteringen och förbättrar säkerheten genom att eliminera behovet av åtkomst på servernivå. Mer information finns i Gör databasen portabel med hjälp av inneslutna databaser.
Aktivera multifaktorautentisering: Kräv multifaktorautentisering för administrativa konton och privilegierade användare för att lägga till ett extra säkerhetslager utöver lösenord. Mer information finns i Multifaktorautentisering (MFA).
Använd hanterade identiteter för program: Aktivera hanterade identiteter för Azure-resurser så att program kan autentisera utan att lagra autentiseringsuppgifter. Detta eliminerar behovet av att hantera anslutningssträngar med inbäddade lösenord. Mer information finns i Hanterade identiteter för Azure-resurser.
Framtvinga starka lösenordsprinciper: Om du använder SQL-autentisering behöver du komplexa lösenord som inte är lätta att gissa. Implementera principer för lösenordsrotation och undvik att återanvända lösenord på olika konton. Mer information finns i Lösenordsprincip.
Privilegierad åtkomst
Att kontrollera privilegierad åtkomst förhindrar obehöriga ändringar, minskar effekten av komprometterade konton och säkerställer att administrativa åtgärder övervakas och kontrolleras korrekt.
Implementera åtkomst med lägsta behörighet: Bevilja endast användare de minsta behörigheter som krävs för att utföra sina jobbfunktioner. Granska och justera behörigheter regelbundet för att upprätthålla principen om lägsta behörighet. Mer information finns i Komma igång med behörigheter för databasmotorn.
Separata administrativa roller: Undvik att bevilja administratörsrättigheter till alla databasadministratörer. Använd mer detaljerade behörigheter som KONTROLLSERVER när det är möjligt och implementera uppdelning av uppgifter mellan olika administrativa funktioner. Mer information finns i Behörigheter.
Använd rollbaserad åtkomstkontroll i Azure (RBAC): Implementera Azure RBAC för att styra åtkomsten till hanteringsåtgärder för SQL-hanterade instanser. Skapa anpassade roller som endast ger de behörigheter som krävs för specifika administrativa uppgifter. Mer information finns i Azure RBAC för SQL Managed Instance.
Övervaka privilegierade aktiviteter: Aktivera granskning för att spåra alla åtgärder som utförs av privilegierade konton. Granska regelbundet granskningsloggar för misstänkta aktiviteter eller obehöriga ändringar. Mer information finns i SQL Managed Instance-granskning.
Använd serverroller för åtkomst på databasnivå: Utnyttja inbyggda serverroller och skapa anpassade roller för att implementera rollbaserad säkerhet. Tilldela användare till roller i stället för att bevilja enskilda behörigheter för att förenkla hanteringen och minska felen. Mer information finns i roller på servernivå.
Dataskydd
Dataskydd skyddar din information genom kryptering, åtkomstkontroller och dataklassificering för att förhindra obehörigt avslöjande, manipulering eller förlust av känslig information.
Aktivera transparent datakryptering (TDE): Använd TDE för att kryptera databas-, logg- och säkerhetskopieringsfiler i vila. Överväg att använda kundhanterade nycklar i Azure Key Vault för ytterligare kontroll över krypteringsnycklar. Mer information finns i Transparent datakryptering.
Implementera Always Encrypted för känsliga data: Använd Always Encrypted för att skydda mycket känsliga data som används, i vila och under överföring. Detta säkerställer att även databasadministratörer inte kan visa känsliga data i klartext. Mer information finns i Always Encrypted.
Använd ledger i SQL Managed Instance: Aktivera ledger för att skapa en oföränderlig post av ändringar i känsliga data, vilket ger förändringssynlig loggning. För mer information, se Huvudboksöversikt.
Använd dynamisk datamaskning: Använd dynamisk datamaskering för att dölja känsliga data för icke-privilegierade användare samtidigt som datafunktionerna bevaras för program. Detta förhindrar obehörig åtkomst till känslig information. Mer information finns i Dynamisk datamaskering.
Klassificera och märka känsliga data: Använd SQL Data Discovery and Classification för att identifiera, klassificera och märka känsliga data i dina databaser. Detta ger bättre skydd och efterlevnadsrapportering. Mer information finns i Dataidentifiering och -klassificering.
Implementera säkerhet på kolumnnivå: Bevilja behörigheter på kolumnnivå för att begränsa åtkomsten till känsliga data. Ange endast SELECT-, UPDATE- eller REFERENCES-behörigheter för användare som specifikt behöver åtkomst till känsliga kolumner. Mer information finns i Kryptera en datakolumn.
Använd Row-Level Security (RLS): Implementera RLS för att säkerställa att användarna bara kan komma åt datarader som är relevanta för dem. Detta ger säkerhet på programnivå utan att kräva betydande programändringar. För mer information, se Row-Level Security.
Säkerhetskopiering och återställning
Tillförlitliga säkerhetskopierings- och återställningsprocesser skyddar dina data från förlust på grund av fel, katastrofer eller attacker samtidigt som du kan uppfylla dina mål för återställningstid och tidpunkt.
Verifiera konfiguration av automatisk säkerhetskopiering: Kontrollera att automatiserade säkerhetskopieringar är korrekt konfigurerade och att kvarhållningsperioderna uppfyller dina affärskrav. Azure SQL Managed Instance tillhandahåller som standard automatiserade säkerhetskopieringar med konfigurerbara kvarhållningsperioder på upp till 35 dagar. Lagring av säkerhetskopior är oberoende av instanslagring och är inte begränsat i storlek. Mer information finns i Automatiserade säkerhetskopieringar.
Övervaka säkerhetskopieringsaktivitet: Spåra när automatiserade säkerhetskopieringar utförs på din SQL-hanterade instans för att säkerställa att säkerhetskopieringsåtgärderna slutförs. Mer information finns i Övervaka säkerhetskopieringsaktivitet.
Använd geo-redundant lagring för säkerhetskopiering: Konfigurera geo-redundant lagring för säkerhetskopior för att skydda mot regionala katastrofer. Detta säkerställer att dina data kan återställas även om din primära region blir otillgänglig. Mer information finns i Redundans för säkerhetskopiering av lagring.
Testa säkerhetskopierings- och återställningsprocedurer: Testa regelbundet dina säkerhetskopierings- och återställningsprocedurer för att säkerställa att de fungerar korrekt och uppfyller dina mål för återställningstid. Kontrollera att återställde databaser är fullt funktionella och att dataintegriteten bibehålls. Mer information finns i Återställning till tidpunkt.
Använd inbyggda funktioner för säkerhetskopiering och återställning: Dra nytta av intern säkerhetskopiering och återställning från Azure Blob Storage för migreringsscenarier. Du kan skapa fullständiga säkerhetskopior och återställa från .bak filer (SQL Server 2005+). Kopieringsbara säkerhetskopior är inte möjliga om databasen är krypterad med service-managed TDE. Mer information finns i intern återställning från URL-.
Implementera långsiktiga kvarhållningsprinciper: Konfigurera långsiktig kvarhållning av säkerhetskopior för efterlevnadskrav som överskrider standardkvarhållningsperioden. Detta säkerställer att du kan uppfylla regelkraven för datakvarhållning. Mer information finns i Långsiktig kvarhållning av säkerhetskopior.
Övervakning och hotidentifiering
Omfattande övervakning och hotidentifiering hjälper dig att identifiera säkerhetsproblem, identifiera avvikande aktiviteter och snabbt svara på potentiella hot mot din SQL-hanterade instans.
Aktivera Microsoft Defender för SQL: Konfigurera Microsoft Defender för SQL för att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina databaser. Detta ger avancerade funktioner för skydd mot hot, inklusive sårbarhetsbedömning och hotidentifiering. Mer information finns i Microsoft Defender för SQL.
Konfigurera Advanced Threat Protection: Konfigurera Advanced Threat Protection för att identifiera specifika hot, inklusive potentiell SQL-inmatning, åtkomst från ovanliga platser eller datacenter, åtkomst från okända huvudnamn och råstyrkeautentiseringsuppgifter för SQL. Konfigurera e-postmeddelanden och lagringskonton för hotaviseringar. Mer information finns i Konfigurera Advanced Threat Protection.
Konfigurera SQL-granskning: Aktivera omfattande granskning för att spåra databashändelser och skriva dem till Azure Storage, Log Analytics eller Event Hubs. Detta ger detaljerade loggar för säkerhetsanalys och efterlevnadsrapportering. Mer information finns i SQL Managed Instance-granskning.
Konfigurera Azure Monitor: Använd Azure Monitor för att samla in plattformsmått, diagnostikloggar och skapa anpassade aviseringar för din SQL-hanterade instans. Övervaka resursförbrukning, prestandamått och säkerhetshändelser på en central plats. Mer information finns i Övervaka Azure SQL Managed Instance.
Skapa måttaviseringar: Konfigurera aviseringar för misstänkta aktiviteter, misslyckade inloggningsförsök, ovanliga databasåtkomstmönster och tröskelvärden för resursförbrukning. Aviseringsmått är tillgängliga för sql-hanterad instansnivå, inte enskilda databaser. Mer information finns i Skapa aviseringar för SQL Managed Instance.
Använd SQL Vulnerability Assessment: Kör regelbundna sårbarhetsbedömningar för att identifiera säkerhetsfelkonfigurationer och potentiella sårbarheter i databasen. Åtgärda identifierade problem snabbt för att upprätthålla en stark säkerhetsstatus. Mer information finns i SQL Vulnerability Assessment.
Övervaka med dynamiska hanteringsvyer (DMV:er): Använd DMV:er för att övervaka prestanda, identifiera blockerade frågor, resursflaskhalsar och säkerhetsrelaterade aktiviteter. DMVs ger detaljerade insikter i databasmotorns operationer och säkerhetshändelser. Mer information finns i Övervaka prestanda för Azure SQL Managed Instance med dynamiska hanteringsvyer.
Implementera query store-övervakning: Aktivera Query Store för att spåra frågeprestanda över tid, identifiera prestandaregressioner och övervaka frågekörningsmönster. Detta hjälper till att identifiera ovanliga frågebeteenden som kan tyda på säkerhetsproblem. Mer information finns i Övervaka prestanda med hjälp av Query Store.
Använd Utökade händelser för detaljerad övervakning: Implementera utökade händelser (XEvents) för låg overhead, detaljerad övervakning av databasaktiviteter, inklusive säkerhetshändelser och prestandaproblem. XEvents ger mer detaljerad övervakning än SQL Profiler med mindre prestandapåverkan. Mer information finns i Extended Events.
Konfigurera Database Watcher (förhandsversion): Överväg att använda Database Watcher för djupgående arbetsbelastningsövervakning med centraliserade instrumentpaneler och detaljerade prestandainsikter i din Azure SQL-egendom. Mer information finns i Övervaka Azure SQL-arbetsbelastningar med databasövervakare (förhandsversion).
Efterlevnad och styrning
Att upprätthålla efterlevnad och styrning säkerställer att din SQL Managed Instance-distribution uppfyller regelkrav och organisationens säkerhetsprinciper genom rätt kontroller och dokumentation.
Tillämpa Azure Policy för styrning: Använd Azure Policy för att framtvinga organisationens säkerhetsstandarder och säkerställa konsekvent konfiguration för alla SQL-hanterade instanser. Skapa anpassade principer för specifika efterlevnadskrav. Överväg principer för att framtvinga endast Microsoft Entra-autentisering, redundans för lagring av säkerhetskopior och krav på datahemvist. Mer information finns i Azure Policy för SQL Managed Instance.
Framtvinga endast Microsoft Entra-autentisering: Använd Azure Policy för att kräva Microsoft Entra-endast autentisering för nya SQL-hanterade instanser, vilket säkerställer att SQL-autentisering är inaktiverat för förbättrad säkerhet. Detta ger centraliserad identitetshantering och eliminerar lösenordsbaserade autentiseringsproblem. Mer information finns i Använda Azure Policy för att framtvinga autentisering endast för Microsoft Entra.
Implementera en strategi för resurstaggning: Använd konsekventa Azure-taggar för att identifiera resursägarskap, miljöklassificering, kostnadsställen och efterlevnadskrav. Använd taggar för automatiserad styrning, kostnadsspårning och resurshantering. Mer information finns i Utveckla din namngivnings- och taggningsstrategi för Azure-resurser.
Använd Microsoft Purview för datastyrning: Integrera med Microsoft Purview för dataklassificering, ursprungsspårning och enhetlig datastyrning i din dataegendom. Använd känslighetsetiketter och principer för dataförlustskydd för att skydda klassificerade data. Mer information finns i Microsoft Purview Information Protection.
Dokumentsäkerhetsprocedurer: Underhålla omfattande dokumentation om dina säkerhetsprocedurer, planer för incidenthantering och åtkomstkontrollprinciper. Granska och uppdatera dokumentationen regelbundet för att återspegla aktuella metoder och efterlevnadskrav. Mer information finns i Metodtips för säkerhet.
Utför regelbundna säkerhetsutvärderingar: Utför regelbundna säkerhetsutvärderingar för att utvärdera din säkerhetsstatus och identifiera förbättringsområden. Inkludera intrångstestning och sårbarhetsbedömningar i ditt säkerhetsprogram. Dokumentreparationsarbete för efterlevnadsrapportering. Mer information finns i SQL-sårbarhetsbedömning.
Underhåll spårningsloggar: Se till att alla administrativa åtgärder och dataåtkomst loggas korrekt och att spårningsloggar underhålls under den kvarhållningsperiod som krävs. Skydda granskningsloggar från manipulering eller obehörig åtkomst. Konfigurera kvarhållning av granskningsloggar baserat på regelkrav (SOX, PCI DSS). Mer information finns i Granskningsöversikt.
Uppfylla standarder för regelefterlevnad: Azure SQL Managed Instance stöder efterlevnad med olika regelverk, inklusive ISO 27001, PCI DSS, FedRAMP och SOX. Granska och implementera kontroller som är specifika för dina branschkrav. Mer information finns i Dokumentation om Azure-efterlevnad.
Använd resurslås: Använd resurslås för att förhindra oavsiktlig borttagning eller ändring av viktiga SQL-hanterade instansresurser. Detta bidrar till att upprätthålla konfigurationsintegriteten och förhindrar obehöriga ändringar som kan påverka efterlevnaden. Mer information finns i Resurslås.
Övervaka med Azure Advisor: Använd Azure Advisor för att få anpassade rekommendationer för säkerhet, kostnadsoptimering, prestanda och driftseffektivitet. Granska och implementera regelbundet rekommendationerna för rådgivare för att upprätthålla bästa praxis. Mer information finns i Azure Advisor.
Relaterat innehåll
Omfattande säkerhetsvägledning finns i Metodtips för Azure SQL Managed Instance-säkerhet och Översikt över säkerhetsfunktioner i Azure SQL Managed Instance.