Azure SQL Veritabanı ve SQL Yönetilen Örneği güvenlik özelliklerine genel bakış

  • Makale

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu makalede Azure SQL Veritabanı,Azure SQL Yönetilen Örneği ve Azure Synapse Analytics kullanarak bir uygulamanın veri katmanının güvenliğini sağlamanın temelleri özetlenmiştir. Açıklanan güvenlik stratejisi, aşağıdaki resimde gösterildiği gibi katmanlı derinlemesine savunma yaklaşımını izler ve içinde dışarıdan hareket eder:

Katmanlı derinlemesine savunma diyagramı. Müşteri verileri ağ güvenliği, erişim yönetimi ve tehdit ve bilgi koruma katmanlarında yer alır.

Ağ güvenliği

Microsoft Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics, bulut ve kurumsal uygulamalar için ilişkisel bir veritabanı hizmeti sağlar. Müşteri verilerinin korunmasına yardımcı olmak için güvenlik duvarları IP adresine veya Azure Sanal ağ trafiği kaynağına göre erişim açıkça verilene kadar sunucuya ağ erişimini engeller.

IP güvenlik duvarı kuralları

IP güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre veritabanlarına erişim verir. Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics güvenlik duvarı kurallarına genel bakış.

Sanal ağ güvenlik duvarı kuralları

Sanal ağ hizmet uç noktaları, sanal ağ bağlantınızı Azure omurgası üzerinden genişletir ve trafiğin kaynaklandığı sanal ağ alt ağını belirlemek için Azure SQL Veritabanı'nı etkinleştirir. Trafiğin Azure SQL Veritabanına ulaşmasına izin vermek için SQL hizmet etiketlerini kullanarak Ağ Güvenlik Grupları aracılığıyla giden trafiğe izin verin.

Sanal ağ kuralları, Azure SQL Veritabanının yalnızca bir sanal ağ içindeki seçili alt ağlardan gönderilen iletişimleri kabul etmelerini sağlar.

Not

Güvenlik duvarı kurallarıyla erişimi denetlemek SQL Yönetilen Örneği için geçerli değildir. Gereken ağ yapılandırması hakkında daha fazla bilgi için bkz. Yönetilen örneğe bağlanma

Erişim yönetimi

Önemli

Azure'da veritabanlarını ve sunucuları yönetmek, portal kullanıcı hesabınızın rol atamaları tarafından denetlenmektedir. Bu makale hakkında daha fazla bilgi için Azure portal azure rol tabanlı erişim denetimi konusuna bakın.

Kimlik Doğrulaması

Kimlik doğrulaması , kullanıcının iddia ettiği kişi olduğunu kanıtlama işlemidir. Azure SQL Veritabanı ve SQL Yönetilen Örneği SQL kimlik doğrulama ve Azure AD kimlik doğrulamayı destekler. SQL Yönetilen örneği ayrıca Azure AD sorumluları için Windows Kimlik Doğrulamasını destekler.

  • SQL kimlik doğrulaması:

    SQL kimlik doğrulaması, Azure SQL Veritabanına bağlanırken veya kullanıcı adı ve parola kullanarak Azure SQL Yönetilen Örneği kullanıcının kimlik doğrulamasını ifade eder. Sunucu oluşturulurken kullanıcı adı ve parola ile bir sunucu yöneticisi oturum açma bilgileri belirtilmelidir. Bu kimlik bilgilerini kullanarak, bir sunucu yöneticisi o sunucudaki veya örnekteki herhangi bir veritabanında veritabanı sahibi olarak kimlik doğrulaması yapabilir. Bundan sonra, sunucu yöneticisi tarafından ek SQL oturum açma bilgileri ve kullanıcıları oluşturulabilir ve bu da kullanıcıların kullanıcı adı ve parola kullanarak bağlanmasına olanak tanır.

  • Azure Active Directory kimlik doğrulaması:

    Azure Active Directory kimlik doğrulaması, Azure Active Directory'de (Azure AD) kimlikleri kullanarak Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'e bağlanma mekanizmasıdır. Azure AD kimlik doğrulaması, yöneticilerin veritabanı kullanıcılarının kimliklerini ve izinlerini tek bir merkezi konumdaki diğer Azure hizmetleriyle birlikte merkezi olarak yönetmesine olanak tanır. Bu, parola depolamayı en aza indirir ve merkezi parola döndürme ilkelerini etkinleştirir.

    SQL Veritabanı ile Azure AD kimlik doğrulaması kullanmak için Active Directory yöneticisi adlı bir sunucu yöneticisi oluşturulmalıdır. Daha fazla bilgi için bkz. Azure Active Directory Kimlik Doğrulamasını Kullanarak SQL Veritabanı Bağlanma. Azure AD kimlik doğrulaması hem yönetilen hem de federasyon hesaplarını destekler. Federasyon hesapları, Azure AD ile birleştirilmiş bir müşteri etki alanı için Windows kullanıcılarını ve gruplarını destekler.

    Kullanılabilir ek Azure AD kimlik doğrulama seçenekleri, çok faktörlü kimlik doğrulaması ve Koşullu Erişim gibi SQL Server Management Studio bağlantılar için Active Directory Evrensel Kimlik Doğrulaması'dır.

  • Azure AD Sorumluları için Windows Kimlik Doğrulaması:

    Azure AD Sorumluları için Kerberos kimlik doğrulaması, Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulamasını etkinleştirir. Yönetilen örnekler için Windows Kimlik Doğrulaması, müşterilerin mevcut hizmetleri buluta taşımasını sağlarken sorunsuz bir kullanıcı deneyimi sağlar ve altyapı modernizasyonu için temel sağlar.

    Azure Active Directory (Azure AD) sorumlularında Windows Kimlik Doğrulaması'nı etkinleştirmek için, Azure AD kiracınızı bağımsız bir Kerberos alanına dönüştürür ve müşterinin etki alanında bir gelen güven oluşturursunuz. Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulaması'nın Azure Active Directory ve Kerberos ile nasıl uygulandığını öğrenin.

Önemli

Azure'da veritabanlarını ve sunucuları yönetmek, portal kullanıcı hesabınızın rol atamaları tarafından denetlenmektedir. Bu makale hakkında daha fazla bilgi için bkz. Azure portal'de Azure rol tabanlı erişim denetimi. Güvenlik duvarı kurallarıyla erişimi denetlemek SQL Yönetilen Örneği için geçerli değildir. Gerekli ağ yapılandırması hakkında daha fazla bilgi için yönetilen örneğe bağlanmayla ilgili aşağıdaki makaleye bakın.

Yetkilendirme

Yetkilendirme, bir veritabanı içindeki kaynaklara ve komutlara erişimi denetlemeyi ifade eder. Bu işlem, Azure SQL Veritabanında veya Azure SQL Yönetilen Örneği veritabanındaki bir kullanıcıya izinler atanarak yapılır. İzinler ideal olarak veritabanı rollerine kullanıcı hesapları eklenerek ve bu rollere veritabanı düzeyinde izinler atanarak yönetilir. Alternatif olarak, tek bir kullanıcıya belirli nesne düzeyinde izinler de verilebilir. Daha fazla bilgi için bkz . Oturum açma bilgileri ve kullanıcılar

En iyi uygulama olarak, gerektiğinde özel roller oluşturun. İş işlevlerini gerçekleştirmek için gereken en az ayrıcalıklara sahip olan kullanıcıları role ekleyin. İzinleri doğrudan kullanıcılara atamayın. Sunucu yönetici hesabı, kapsamlı izinlere sahip olan ve yalnızca yönetici görevleri olan birkaç kullanıcıya verilmesi gereken yerleşik db_owner rolünün bir üyesidir. Bir kullanıcının yapabileceklerinin kapsamını daha da sınırlamak için EXECUTE AS , çağrılan modülün yürütme bağlamını belirtmek için kullanılabilir. Bu en iyi yöntemlerin takip etmek, Görev Ayrımı yolunda da temel bir adımdır.

Satır düzeyinde güvenlik

Row-Level Güvenliği, müşterilerin bir sorguyu yürüten kullanıcının özelliklerine (örneğin, grup üyeliği veya yürütme bağlamı) göre veritabanı tablosundaki satırlara erişimi denetlemesini sağlar. Row-Level Güvenliği, özel Etiket tabanlı güvenlik kavramlarını uygulamak için de kullanılabilir. Daha fazla bilgi için bkz. Satır Düzeyi güvenlik.

Row-Level Güvenlik'in bir SQL veritabanının tek tek satırlarını bir istemci uygulaması aracılığıyla kullanıcıların erişimine karşı koruduğunu gösteren diyagram.

Tehdit koruması

Denetim ve tehdit algılama özellikleri sağlayarak müşteri verilerinin güvenliğini SQL Veritabanı ve SQL Yönetilen Örneği.

Azure İzleyici günlüklerinde ve Event Hubs'da SQL denetimi

SQL Veritabanı ve SQL Yönetilen Örneği denetimi, veritabanı etkinliklerini izler ve veritabanı olaylarını müşteriye ait Azure depolama hesabındaki bir denetim günlüğüne kaydederek güvenlik standartlarıyla uyumluluğun korunmasına yardımcı olur. Denetim, kullanıcıların devam eden veritabanı etkinliklerini izlemesine ve olası tehditleri veya şüpheli kötüye kullanım ve güvenlik ihlallerini belirlemek için geçmiş etkinlikleri analiz etmesine ve araştırmasına olanak tanır. Daha fazla bilgi için bkz. SQL Veritabanı Denetimi kullanmaya başlama.

Gelişmiş Tehdit Koruması

Gelişmiş Tehdit Koruması, olağan dışı davranışları ve veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik zararlı olabilecek girişimleri algılamak için günlüklerinizi analiz eder. SQL ekleme, olası veri sızıntısı ve deneme yanılma saldırıları gibi şüpheli etkinlikler veya ayrıcalık yükseltmelerini ve ihlal edilen kimlik bilgilerinin kullanımını yakalamak için erişim desenlerindeki anomaliler için uyarılar oluşturulur. Uyarılar, şüpheli etkinliklerin ayrıntılarının sağlandığı bulut Microsoft Defender ve daha fazla araştırma önerilerinin yanı sıra tehdidi azaltmaya yönelik eylemlerle birlikte görüntülenir. Gelişmiş Tehdit Koruması ek bir ücret karşılığında sunucu başına etkinleştirilebilir. Daha fazla bilgi için bkz. gelişmiş tehdit koruması SQL Veritabanı kullanmaya başlama.

Sql Tehdit Algılama'nın dış saldırgandan ve kötü amaçlı insider'dan bir web uygulaması için SQL veritabanına erişimini izlemesini gösteren diyagram.

Bilgi koruması ve şifreleme

Aktarım Katmanı Güvenliği (Aktarım sırasında şifreleme)

SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics, Aktarım Katmanı Güvenliği (TLS) ile hareket halindeki verileri şifreleyerek müşteri verilerinin güvenliğini sağlar.

SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics tüm bağlantılar için şifrelemeyi (SSL/TLS) her zaman zorunlu kıldı. Bu, bağlantı dizesindeki Encrypt veya TrustServerCertificate ayarından bağımsız olarak istemci ile sunucu arasında "aktarımda" tüm verilerin şifrelenmesini sağlar.

En iyi uygulama olarak, uygulama tarafından kullanılan bağlantı dizesinde şifrelenmiş bir bağlantı belirtmenizi ve sunucu sertifikasına güvenmemenizi öneririz. Bu, uygulamanızı sunucu sertifikasını doğrulamaya zorlar ve böylece uygulamanızın ortadaki adam saldırılarına karşı savunmasız kalmasını önler.

Örneğin, ADO.NET sürücüsü kullanılırken bu, Encrypt=True ve TrustServerCertificate=False aracılığıyla gerçekleştirilir. Bağlantı dizenizi Azure portaldan alırsanız doğru ayarlara sahip olacaktır.

Önemli

Bazı Microsoft dışı sürücülerin, çalışması için varsayılan olarak TLS kullanmayabileceğini veya eski bir TLS (<1.2) sürümünü kullanamadığını unutmayın. Bu durumda sunucu yine de veritabanınıza bağlanmanıza izin verir. Ancak, özellikle hassas verileri depolarsanız, bu tür sürücülerin ve uygulamaların SQL Veritabanı bağlanmasına izin vermenin güvenlik risklerini değerlendirmenizi öneririz.

TLS ve bağlantı hakkında daha fazla bilgi için bkz. TLS ile ilgili dikkat edilmesi gerekenler

Saydam Veri Şifrelemesi (Bekleyen şifreleme)

SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi (TDE), bekleyen verilerin ham dosyalara veya yedeklemelere yetkisiz veya çevrimdışı erişimden korunmasına yardımcı olacak bir güvenlik katmanı ekler. Yaygın senaryolar arasında veri merkezi hırsızlığı veya disk sürücüleri ve yedekleme bantları gibi donanım veya medyanın güvenli olmayan şekilde atılması sayılabilir. TDE, tüm veritabanını bir AES şifreleme algoritması kullanarak şifreler ve bu algoritma, uygulama geliştiricilerinin mevcut uygulamalarda herhangi bir değişiklik yapmasını gerektirmez.

Azure'da yeni oluşturulan tüm veritabanları varsayılan olarak şifrelenir ve veritabanı şifreleme anahtarı yerleşik bir sunucu sertifikasıyla korunur. Sertifika bakımı ve döndürme hizmeti tarafından yönetilir ve kullanıcıdan hiçbir giriş gerektirmez. Şifreleme anahtarlarının denetimini almayı tercih eden müşteriler Azure Key Vault'te anahtarları yönetebilir.

Azure Key Vault ile anahtar yönetimi

Saydam Veri Şifrelemesi (TDE) için Kendi Anahtarını Getir (BYOK) desteği, müşterilerin Azure'ın bulut tabanlı dış anahtar yönetim sistemi olan Azure Key Vault kullanarak anahtar yönetimi ve döndürme sahipliğini almasını sağlar. Veritabanının anahtar kasasına erişimi iptal edilirse, veritabanının şifresi çözülemez ve belleğe okunamaz. Azure Key Vault merkezi bir anahtar yönetim platformu sağlar, sıkı bir şekilde izlenen donanım güvenlik modüllerinden (HSM' ler) yararlanılır ve güvenlik uyumluluk gereksinimlerini karşılamaya yardımcı olmak için anahtarların ve verilerin yönetimi arasında görev ayrımı sağlar.

Always Encrypted (Kullanımda şifreleme)

Always Encrypted özelliğinin temellerini gösteren diyagram. Kilidi olan bir SQL veritabanına yalnızca anahtar içeren bir uygulama tarafından erişilir.

Always Encrypted, belirli veritabanı sütunlarında depolanan hassas verileri erişimden korumak için tasarlanmış bir özelliktir (örneğin, kredi kartı numaraları, ulusal/bölgesel kimlik numaraları veya bilmeniz gereken veriler). Bu, yönetim görevlerini gerçekleştirmek için veritabanına erişme yetkisine sahip olan ancak şifrelenmiş sütunlardaki belirli verilere erişmeye gerek duymayan veritabanı yöneticilerini veya diğer ayrıcalıklı kullanıcıları içerir. Veriler her zaman şifrelenir, yani şifrelenmiş verilerin şifresi yalnızca şifreleme anahtarına erişimi olan istemci uygulamaları tarafından işlenmek üzere çözülür. Şifreleme anahtarı hiçbir zaman SQL Veritabanı veya SQL Yönetilen Örneği kullanıma sunulmaz ve Windows Sertifika Deposu'nda veya Azure Key Vault'nde depolanabilir.

Dinamik veri maskeleme

Dinamik veri maskele işlemini gösteren diyagram. İş uygulaması, verileri iş uygulamasına geri göndermeden önce maskeleyen bir SQL veritabanına veri gönderir.

Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler. Dinamik veri maskeleme, Azure SQL Veritabanındaki ve SQL Yönetilen Örneği hassas olabilecek verileri otomatik olarak bulur ve uygulama katmanını en az etkileyerek bu alanları maskelemeye yönelik eyleme dönüştürülebilir öneriler sağlar. Bu özellik, hassas verileri belirlenen veritabanı alanlarına yapılan sorgunun sonuç kümesinde karartır ancak veritabanındaki veriler değişmez. Daha fazla bilgi için bkz. SQL Veritabanı kullanmaya başlama ve dinamik veri maskeleme SQL Yönetilen Örneği.

Güvenlik yönetimi

Güvenlik açığı değerlendirmesi

Güvenlik açığı değerlendirmesi , genel veritabanı güvenliğini proaktif olarak geliştirme hedefiyle olası veritabanı güvenlik açıklarını bulabilen, izleyebilen ve düzeltmeye yardımcı olabilecek, yapılandırması kolay bir hizmettir. Güvenlik açığı değerlendirmesi (VA), gelişmiş SQL güvenlik özelliklerine yönelik birleşik bir paket olan SQL teklifinin Microsoft Defender bir parçasıdır. Güvenlik açığı değerlendirmesine merkezi SQL için Microsoft Defender portalı üzerinden erişilebilir ve buradan yönetilebilir.

Veri bulma ve sınıflandırma

Veri bulma ve sınıflandırma (şu anda önizleme aşamasındadır) Azure SQL Veritabanı'nda yerleşik olarak bulunan temel özelliklerin yanı sıra veritabanlarınızdaki hassas verileri bulmak, sınıflandırmak ve etiketlemek için SQL Yönetilen Örneği sağlar. En önemli hassas verilerinizi (iş/finansal, sağlık, kişisel veriler vb.) keşfetmek ve sınıflandırmak, kurumsal Bilgi koruma durumunuzda önemli bir rol oynayabilir. Şunlara altyapı sağlayabilir:

  • Hassas verilere anormal erişimde izleme (denetim) ve uyarı verme gibi çeşitli güvenlik senaryoları.
  • Son derece hassas veriler içeren veritabanlarına erişimi denetleme ve bu veritabanlarının güvenliğini sağlamlaştırma.
  • Veri gizliliği standartlarına uymaya ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.

Daha fazla bilgi için bkz. Veri bulma ve sınıflandırmayı kullanmaya başlama.

Uyumluluk

Uygulamanızın çeşitli güvenlik gereksinimlerini karşılamasına yardımcı olabilecek yukarıdaki özelliklere ve işlevlere ek olarak, Azure SQL Veritabanı düzenli denetimlere de katılır ve bir dizi uyumluluk standardına göre sertifikalanmıştır. Daha fazla bilgi için SQL Veritabanı uyumluluk sertifikalarının en güncel listesini bulabileceğiniz Microsoft Azure Güven Merkezi'ne bakın.

Sonraki adımlar