Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
SQL Server är ett relationsdatabashanteringssystem (RDBMS) som lagrar och hanterar kritiska affärsdata för program, analys och rapportering. Eftersom den ofta innehåller känslig information, till exempel kundposter, finansiella data och immateriella rättigheter, är det viktigt att skydda SQL Server för att skydda din organisation mot dataintrång, obehörig åtkomst och efterlevnadsrisker.
Den här artikeln innehåller vägledning om hur du bäst skyddar DIN SQL Server.
Nätverkssäkerhet
Genom att skydda nätverksåtkomsten till SQL Server kan du förhindra obehöriga anslutningar, minska exponeringen för attacker och se till att endast betrodda källor kan nå dina databaser.
Begränsa inkommande trafik med brandväggar och NSG:er: Begränsa nätverksåtkomsten till SQL Server genom att konfigurera Windows-brandväggen för databasmotoråtkomst. För SQL Server på virtuella Azure-datorer använder du Azure Firewall och nätverkssäkerhetsgrupper (NSG:er) för att tillämpa dessa begränsningar.
Kryptera anslutningar till SQL Server: Konfigurera SQL Server Database Engine för att kryptera anslutningar med hjälp av ett certifikat. Detta säkerställer att data under överföring skyddas från avlyssning och manipulering. Mer information finns i Kryptera anslutningar till SQL Server Database Engine.
Säker fjärrhantering: Använd krypterade protokoll (till exempel TLS 1.3) för alla fjärranslutningar. Mer information finns i Konfigurera TLS 1.3.
Anslut till SQL Server med strikt kryptering: SQL Server 2022 introducerade krypteringsalternativet
strict, som kräver att alla anslutningar använder kryptering. Detta säkerställer att alla data under överföring skyddas. Mer information finns i Ansluta till SQL Server med strikt kryptering.
Identitetshantering
Starka identitets- och autentiseringskontroller hjälper till att säkerställa att endast behöriga användare och program kan komma åt SQL Server-resurser.
Använd Windows-autentisering eller Microsoft Entra-autentisering: Föredrar Windows-autentisering eller Microsoft Entra-autentisering framför SQL-autentisering för centraliserad identitetshantering och enklare livscykelkontroll för konton. Mer information finns i Välja ett autentiseringsläge.
Använd grupphanterade tjänstkonton (gMSA) för tjänster: Använd gMSA för att hantera autentiseringsuppgifter för tjänstkonton automatiskt och säkert. Mer information finns i översikten överGroup-Managed-tjänstkonton.
Framtvinga starka lösenordsprinciper: Om du använder SQL-autentisering kräver du komplexa lösenord som inte är lätta att gissa och som inte används för andra konton. Uppdatera regelbundet lösenord och tillämpa Active Directory-principer. Mer information finns i Starka lösenord.
Använd oberoende databasanvändare när det är lämpligt: Överväg oberoende databasanvändare för program som behöver autentisering på databasnivå utan att kräva inloggningar på servernivå. Mer information finns i Inneslutna databasanvändare.
Privilegierad åtkomst
Att begränsa och övervaka privilegierad åtkomst hjälper till att förhindra obehöriga ändringar och minskar effekten av komprometterade konton.
Bevilja de minsta behörigheter som krävs: Tilldela den lägsta behörighetsnivån som krävs för varje användare eller tjänst. Granska och justera behörigheter regelbundet för att behålla minsta möjliga behörighet. Mer information finns i Komma igång med behörigheter för databasmotorn.
Separata databasadministratörer (DBA) och
sysadminroller: Undvik attsysadminbevilja rättigheter till alla DBA:er. Använd behörigheten CONTROL SERVER när det är möjligt, eftersom den respekterar behörigheterDENYoch ger mer detaljerad kontroll. Överväg en uppdelning av uppgifter som begränsar åtkomsten till den virtuella datorn, möjligheten att logga in på operativsystemet, möjligheten att ändra fel- och granskningsloggar samt möjligheten att installera program och/eller funktioner. Mer information finns i Behörigheter (databasmotor).Övervaka och granska privilegierade aktiviteter: Aktivera granskning för att spåra ändringar som gjorts av privilegierade konton och granska loggar regelbundet för misstänkt aktivitet. Mer information finns i SQL Server-granskning (databasmotor).
Implementera rollavgränsning: Placera Active Directory-användare i AD-grupper, mappa AD-grupper till SQL Server-roller och ge SQL Server-roller de minsta behörigheter som krävs av program. Mer information finns i Komma igång med behörigheter för databasmotorn.
Dataskydd
Att skydda vilande data och under överföring är viktigt för att förhindra obehörigt avslöjande eller manipulering.
Kryptera känslig information med Always Encrypted: Använd Always Encrypted och Always Encrypted med säkra enklaver för att skydda känsliga data i SQL Server. Föredrar randomiserad kryptering för starkare säkerhet. Mer information finns i Always Encrypted.
Använd transparent datakryptering (TDE) för databasfiler: Aktivera TDE för att kryptera databas-, säkerhetskopierings- och tempdb-filer och skydda data om fysiska medier komprometteras. Mer information finns i transparent datakryptering (TDE).
Maskera känsliga data med DDM (Dynamic Data Masking): Använd DDM för att dölja känsliga data i frågeresultat när kryptering inte är möjligt. Mer information finns i Dynamisk datamaskering.
Bevilja behörigheter på kolumnnivå: Begränsa åtkomsten till känsliga kolumner genom att
SELECTendast bevilja ,REFERENCESellerUPDATEbehörigheter till behöriga användare. Vill du ha mer information, se TILLDELA behörigheter.Använd Row-Level Security (RLS) för att begränsa dataåtkomsten: Implementera RLS för att säkerställa att användarna endast ser data som är relevanta för dem. Används
SESSION_CONTEXTför mellannivåprogram där användare delar SQL-konton. Mer information finns iRow-Level Security.Kombinera säkerhetsfunktioner för maximalt skydd: Använd Row-Level Security tillsammans med Always Encrypted eller Dynamic Data Masking för att maximera organisationens säkerhetsstatus. Mer information finns i bästa praxis förRow-Level Säkerhet.
Logghantering och hotidentifiering
Omfattande loggning och övervakning hjälper dig att identifiera hot, undersöka incidenter och uppfylla efterlevnadskrav.
Aktivera och konfigurera SQL Server-granskning: Granska åtkomst och ändringar av känsliga data och konfigurationer på både server- och databasnivå. Överväg att granska tabeller och kolumner med känsliga data som har säkerhetsåtgärder som tillämpas på dem. Granska granskningsloggar regelbundet, särskilt för tabeller som innehåller känslig information där fullständiga säkerhetsåtgärder inte är möjliga. Mer information finns i SQL Server-granskning (databasmotor).
Använd ledger i SQL Server: Aktivera ledger för att skapa en oföränderlig post över ändringar i känslig data, vilket ger manipulationssäker loggning. Mer information finns i Konfigurera en transaktionsregisterdatabas.
Säkerhetskopiering och återställning
Tillförlitliga säkerhetskopierings- och återställningsprocesser skyddar dina data från förlust på grund av fel, katastrofer eller attacker.
Automatisera regelbundna säkerhetskopieringar: Schemalägg automatiserade säkerhetskopieringar för databaser, systemkonfigurationer och transaktionsloggar. Använd inbyggda Azure Backup- eller SQL Server-verktyg. Mer information finns i Säkerhetskopiera och återställa en SQL Server-databas med SSMS och Säkerhetskopiering och återställning för SQL Server på virtuella Azure-datorer.
Kryptera säkerhetskopierade data: Skydda säkerhetskopierade filer med transparent datakryptering (TDE).
Testa återställningsprocedurer regelbundet: Återställ säkerhetskopior regelbundet för att verifiera återställningsprocessen och se till att du kan uppfylla återställningstids- och punktmål. Mer information finns i Återställa filer från säkerhetskopiering av virtuella datorer.
Säkerhetsbedömning och hotreducering
Genom att regelbundet utvärdera DIN SQL Server-miljö kan du identifiera sårbarheter och förbättra din säkerhetsstatus.
Begränsa aktiverade funktioner för att minska attackytan: Aktivera endast de SQL Server-funktioner som krävs för din miljö. Mer information finns i Ytkonfiguration.
Kör sårbarhetsbedömningar: Använd SQL Vulnerability Assessment i SSMS för att identifiera och åtgärda potentiella sårbarheter i databasen. Mer information finns i SQL Vulnerability Assessment.
Klassificera och märka känsliga data: Använd SQL Data Discovery and Classification för att identifiera och märka känsliga data för bättre skydd och efterlevnad. Mer information finns i SQL Data Discovery and Classification (Identifiering och klassificering av SQL Data).
Granska och minimera vanliga hot: Skydda mot SQL-inmatning, sidokanalattacker, råstyrkeattacker, lösenordsspray och utpressningstrojaner genom att följa rekommenderade metoder för validering, korrigering och åtkomstkontroll av indata. Mer information finns i SQL-injektion och Ransomware-attacker.
Implementera djupskyddssäkerhet: Använd flera säkerhetsfunktioner som är riktade mot olika säkerhetsomfattningar för att ge ett omfattande skydd mot olika hot. Mer information finns i Metodtips för SQL Server-säkerhet.