Säkerhetschecklista för Azure Database

För att förbättra säkerheten innehåller Azure Database många inbyggda säkerhetskontroller som du kan använda för att begränsa och kontrollera åtkomsten.

Säkerhetskontroller omfattar:

• En brandvägg som gör att du kan skapa brandväggsregler som begränsar anslutningen efter IP-adress,
• Brandvägg på servernivå som är tillgänglig från Azure Portal
• Brandväggsregler på databasnivå som är tillgängliga från SSMS
• Säker anslutning till databasen med hjälp av säkra anslutningssträng
• Använda åtkomsthantering
• Datakryptering
• Granskning av SQL Database
• Hotidentifiering av SQL Database

Introduktion

Molnbaserad databehandling kräver nya säkerhetsparadigm som inte är bekanta för många programanvändare, databasadministratörer och programmerare. Därför är vissa organisationer tveksama till att implementera en molninfrastruktur för datahantering på grund av upplevda säkerhetsrisker. En stor del av det här problemet kan dock lindras genom en bättre förståelse av säkerhetsfunktionerna som är inbyggda i Microsoft Azure och Microsoft Azure SQL Database.

Checklista

Vi rekommenderar att du läser artikeln Metodtips för Azure Database-säkerhet innan du granskar den här checklistan. Du kommer att kunna få ut mesta möjliga av den här checklistan när du har förstått metodtipsen. Du kan sedan använda den här checklistan för att se till att du har åtgärdat de viktiga problemen i Azure Database Security.

Kategori för checklista	beskrivning
Skydda data
Kryptering i rörelse/överföring	Transport Layer Security för datakryptering när data flyttas till nätverken. Databasen kräver säker kommunikation från klienter baserat på TDS-protokollet (Tabular Data Stream) via TLS (Transport Layer Security).
Kryptering i vila	transparent datakryptering, när inaktiva data lagras fysiskt i valfri digital form.
Kontrollera åtkomst
Åtkomst till databasen	Autentisering (Microsoft Entra-autentisering) AD-autentisering använder identiteter som hanteras av Microsoft Entra-ID. Auktorisering ger användarna de minsta behörigheter som krävs.
Programåtkomst	Säkerhet på radnivå (Med säkerhetsprincip begränsar du samtidigt åtkomst på radnivå baserat på en användares identitet, roll eller körningskontext). Dynamisk datamaskering (med hjälp av behörighet och princip begränsar exponeringen av känsliga data genom att maskera den för icke-privilegierade användare)
Proaktiv övervakning
Spåra och identifiera	Granskning spårar databashändelser och skriver dem till en granskningslogg/aktivitetslogg i ditt Azure Storage-konto. Spåra Azure Database-hälsa med hjälp av Azure Monitor-aktivitetsloggar. Hotidentifiering identifierar avvikande databasaktiviteter som indikerar potentiella säkerhetshot mot databasen.
Microsoft Defender for Cloud	Dataövervakning Använd Microsoft Defender för molnet som en centraliserad säkerhetsövervakningslösning för SQL och andra Azure-tjänster.

Slutsats

Azure Database är en robust databasplattform med ett komplett utbud av säkerhetsfunktioner som uppfyller många krav på organisations- och regelefterlevnad. Du kan enkelt skydda data genom att styra den fysiska åtkomsten till dina data och använda olika alternativ för datasäkerhet på fil-, kolumn- eller radnivå med transparent datakryptering, cellnivåkryptering eller säkerhet på radnivå. Always Encrypted möjliggör även åtgärder mot krypterade data, vilket förenklar processen för programuppdateringar. I sin tur ger åtkomst till granskningsloggar för SQL Database-aktivitet dig den information du behöver, så att du kan veta hur och när data används.

Nästa steg

Med några få enkla steg kan du förbättra databasens skydd mot obehöriga användare och obehörig åtkomst. I den här självstudien får du lära du dig att:

• Konfigurera brandväggsregler för din server och eller databas.
• Skydda dina data med kryptering.
• Aktivera SQL Database-granskning.