Säkerhetschecklista för Azure Database

För att förbättra säkerheten innehåller Azure SQL Database och Azure SQL Managed Instance inbyggda säkerhetskontroller som du kan använda för att begränsa och kontrollera åtkomst, skydda data och övervaka hot.

Säkerhetskontroller omfattar:

• Brandväggsregler som begränsar anslutningen efter IP-adress och virtuellt nätverk
• Microsoft Entra-autentisering för centraliserad identitetshantering
• Säker anslutning med TLS-kryptering
• Åtkomsthantering och auktorisering
• Datakryptering i vila och under överföring
• Databasgranskning och hotidentifiering
• Avancerade datasäkerhetsfunktioner

Introduktion

Molnbaserad databehandling kräver nya säkerhetsparadigm som kan vara obekanta för många programanvändare, databasadministratörer och programmerare. Organisationer kan använda Azure SQL:s omfattande säkerhetsfunktioner för att skydda känsliga data och uppfylla regelefterlevnadskrav.

Checklista

Vi rekommenderar att du läser artikeln metodtips för Azure SQL Database-säkerhet innan du granskar den här checklistan. Genom att förstå metodtipsen får du ut mesta möjliga av den här checklistan. Använd den här checklistan för att kontrollera att du har åtgärdat de viktiga säkerhetskontrollerna i Azure Database Security.

Kategori för checklista	beskrivning
Skydda data
Kryptering vid överföring	TLS (Transport Layer Security) krypterar data i rörelse mellan klienter och databaser. Azure SQL kräver TLS 1.2 eller senare för säkra anslutningar. Databasen kräver säker kommunikation från klienter baserat på TDS-protokollet (Tabular Data Stream) via TLS.
Kryptering i vila	Transparent datakryptering (TDE) krypterar data och loggfiler i vila. TDE är aktiverat som standard för alla nya Azure SQL-databaser. Med Byok (Bring Your Own Key) kan du hantera TDE-krypteringsnycklar i Azure Key Vault.
Kryptering som används	Always Encrypted skyddar känsliga data genom att kryptera dem i klientprogram. Krypteringsnycklar når aldrig databasmotorn, vilket säkerställer separation mellan dataägare och datahanterare. Column-Level Kryptering (CLE) krypterar specifika kolumner med symmetrisk kryptering för ytterligare skydd av känsliga data.
Kontrollera åtkomst
Databasåtkomst	Microsoft Entra-autentisering ger centraliserad identitetshantering med funktioner för enkel inloggning (SSO). SQL-autentisering med starka lösenord ger en alternativ autentiseringsmetod. Auktorisering ger användarna de minsta behörigheter som krävs med hjälp av rollbaserad åtkomstkontroll.
Åtkomstkontroll för nätverk	IP-brandväggsregler på servernivå begränsar åtkomsten baserat på ursprungliga IP-adresser. IP-brandväggsregler på databasnivå ger detaljerad åtkomstkontroll per databas. Tjänstslutpunkter för virtuellt nätverk tillåter anslutning från specifika virtuella Azure-nätverk. Private Link tillhandahåller privat anslutning till Azure SQL Database med hjälp av en privat IP-adress i ditt virtuella nätverk.
Åtkomstkontroll för program	Row-Level Security (RLS) begränsar åtkomst på radnivå baserat på en användares identitet, roll eller körningskontext. Dynamisk datamaskering begränsar exponeringen av känsliga data genom att maskera den till icke-privilegierade användare utan att ändra underliggande data. Dataidentifiering och -klassificering identifierar, klassificerar och etiketterar känsliga data för bättre skydd och efterlevnad.
Proaktiv övervakning
Granskning och identifiering	Granskning spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, Log Analytics-arbetsyta eller Event Hubs. Spåra Azure SQL Database-hälsotillstånd med hjälp av Azure Monitor och diagnostikinställningar. Microsoft Defender för SQL identifierar avvikande databasaktiviteter som indikerar potentiella säkerhetshot, inklusive SQL-inmatning, råstyrkeattacker och sårbarhetsexploateringar.
Sårbarhetsbedömning	Sårbarhetsbedömning identifierar, spårar och hjälper till att åtgärda potentiella sårbarheter i databasen. Tillhandahåller åtgärdsbara säkerhetsrekommendationer och riskrapporter för efterlevnad.
Centraliserad säkerhetshantering	Microsoft Defender för molnet tillhandahåller centraliserad säkerhetsövervakning och hantering för Azure SQL Database och andra Azure-tjänster. Säkerhetsrekommendationer baserade på Microsofts prestandamått för molnsäkerhet.
Dataintegritet
Transaktionsregisterfunktion	Ledger tillhandahåller manipuleringssäkra egenskaper genom att skapa en oföränderlig logg av databastransaktioner. Hjälper till att uppfylla efterlevnadskraven för verifiering av dataintegritet.

Slutsats

Azure SQL Database och Azure SQL Managed Instance tillhandahåller robusta databasplattformar med omfattande säkerhetsfunktioner som uppfyller organisationens och regelefterlevnadskraven. Du kan skydda data under hela livscykeln – i vila, under överföring och i användning – med transparent datakryptering, Always Encrypted och TLS. Detaljerade åtkomstkontroller, inklusive Row-Level Security, Dynamic Data Masking och Microsoft Entra-autentisering, säkerställer att endast behöriga användare får åtkomst till känsliga data. Kontinuerlig övervakning via granskning, Microsoft Defender för SQL och sårbarhetsbedömning hjälper till att identifiera och åtgärda säkerhetshot proaktivt.

Nästa steg

Du kan förbättra skyddet av databasen mot skadliga användare eller obehörig åtkomst med några enkla steg:

• Konfigurera brandväggsregler för servern och databaserna
• Skydda dina data med kryptering
• Aktivera SQL Database-granskning
• Aktivera Microsoft Defender för SQL för hotidentifiering
• Granska metodtips för säkerhet