SQL Server on Azure Virtual Machines için güvenlikle ilgili dikkat edilmesi gerekenler

Şunlar için geçerlidir:Azure VM Üzerinde SQL Server

Bu makale, bir Azure sanal makinesindeki (VM) SQL Server örneklerine güvenli erişim sağlamaya yardımcı olan genel güvenlik yönergelerini içerir.

Azure, bir sanal makinede çalışan SQL Server uyumlu bir çözüm oluşturmanıza olanak tanıyan çeşitli sektör düzenlemelerine ve standartlarına uygundur. Azure ile mevzuat uyumluluğu hakkında bilgi için bkz. Azure Güven Merkezi.

öncelikle SQL Server ve Azure VM'ler için en iyi güvenlik yöntemlerini gözden geçirin ve ardından özellikle Azure VM'lerde SQL Server için geçerli olan en iyi yöntemler için bu makaleyi gözden geçirin.

SQL Server VM en iyi yöntemleri hakkında daha fazla bilgi edinmek için, bu serideki diğer makalelere bakın: Checklist, VM boyutu, HADR yapılandırması ve Collect baseline.

Denetim listesi

Makalenin geri kalanında daha ayrıntılı olarak ele alınan en iyi güvenlik uygulamalarına kısa bir genel bakış için bu bölümdeki aşağıdaki denetim listesini gözden geçirin.

SQL Server özellikleri ve özellikleri, altyapı düzeyindeki güvenlik özellikleriyle birleştirilebilen veritabanı düzeyinde verilerin güvenliğini sağlama yöntemleri sağlar. Bu özellikler birlikte bulut tabanlı ve hibrit çözümler için altyapı düzeyinde derinlemesine savunma sağlar. Ayrıca, Azure güvenlik önlemleriyle hassas verilerinizi şifrelemek, sanal makineleri virüslerden ve kötü amaçlı yazılımlardan korumak, ağ trafiğini güvenli hale getirmek, tehditleri tanımlayıp algılamak, uyumluluk gereksinimlerini karşılamak ve hibrit buluttaki tüm güvenlik gereksinimleri için tek bir yönetim ve raporlama yöntemi sağlamak mümkündür.

• Microsoft Defender for Cloud kullanarak veri ortamınızın güvenlik duruşunu geliştirmek için değerlendirme yapın ve işlem yapın. Azure Advanced Threat Protection (ATP) gibi özellikler, güvenlik değerlendirmesini geliştirmek ve risklere tepki verme olanağı sağlamak için karma iş yüklerinizde kullanılabilir. SQL Server VM'nizi SQL IaaS Aracısı uzantısına kaydetmek, Microsoft Defender for Cloud değerlendirmelerinin Azure portalında SQL sanal makine kaynağı içinde sunulmasını sağlar.
• Sql için Microsoft Defender kullanarak olası veritabanı güvenlik açıklarını bulun ve azaltın, ayrıca SQL Server örneğiniz ve veritabanı katmanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılayın.
• Vulnerability Assessment, SQL Server ortamınızdaki olası riskleri keşfedebilen ve bunları düzeltmeye yardımcı olabilen Microsoft Defender for SQL'nin bir parçasıdır. Güvenlik durumunuz hakkında görünürlük sağlar ve güvenlik sorunlarını çözmek için eyleme dönüştürülebilir adımlar içerir.
• Azure gizli VM'leri kullanarak kullanımdaki verilerinizin ve bekleyen verilerin konak operatörü erişimine karşı korunmasını güçlendirin. gizli VM'ler Azure hassas verilerinizi bulutta güvenle depolamanıza ve katı uyumluluk gereksinimlerini karşılamanıza olanak sağlar.
• SQL Server 2022 kullanıyorsanız SQL Server örneğine bağlanmak için Microsoft Entra kimlik doğrulaması kullanmayı göz önünde bulundurun.
• Azure Advisor kaynak yapılandırmanızı ve kullanım telemetrinizi analiz eder ve ardından Azure kaynaklarınızın maliyet verimliliğini, performansını, yüksek kullanılabilirliğini ve güvenliğini artırmanıza yardımcı olabilecek çözümler önerir. Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri belirlemenize ve uygulamanıza yardımcı olması için sanal makine, kaynak grubu veya abonelik düzeyinde Azure Advisor kullanın.
• Uyumluluk ve güvenlik gereksinimleriniz kısa ömürlü (yerel olarak eklenmiş geçici) diskin şifrelenmesi de dahil olmak üzere şifreleme anahtarlarınızı kullanarak verileri uçtan uca şifrelemenizi gerektirdiğinde Azure Disk Encryption kullanın.
• Managed Disks varsayılan olarak Azure Storage Hizmet Şifrelemesi kullanılarak şifrelenir ve burada şifreleme anahtarları Azure'de depolanan Microsoft tarafından yönetilen anahtarlardır.
• Yönetilen disk şifreleme seçeneklerinin karşılaştırması için yönetilen disk şifrelemesi karşılaştırma grafiğini gözden geçirin.
• Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır- Açık uzaktan yönetim bağlantı noktaları, sanal makinenizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz bırakır. Bu saldırılar, makineye yönetici erişimi sağlamak için kimlik bilgilerini brute force saldırısı ile denemeye çalışır.
• Azure sanal makineler için Just-in-time (JIT) erişimini açın.
• Remote Desktop Protokolü (RDP) üzerinden Azure Bastion kullanın.
• Bağlantı noktalarını kilitleyin ve yalnızca kaynak IP adresine göre sunucu erişimi veren/reddeden yönetilen bir Hizmet Olarak Güvenlik Duvarı (FaaS) olan Azure Firewall kullanarak gerekli uygulama trafiğine izin verin.
• Azure Sanal Ağlardaki kaynaklara gelen ve bu kaynaklardan giden ağ trafiğini filtrelemek için Network Güvenlik Grupları (NSG) kullanın.
• Sunucuları, web sunucuları ve veritabanı sunucuları gibi benzer işlevlere sahip benzer bağlantı noktası filtreleme gereksinimleriyle birlikte gruplandırmak için Uygulama Güvenlik Grupları'ndan faydalanabilirsiniz.
• Web ve uygulama sunucuları için Azure Dağıtılmış Hizmet Reddi (DDoS) koruması kullanın. DDoS saldırıları, ağ kaynaklarını bunaltacak ve tüketecek şekilde tasarlanmıştır ve bu da uygulamaların yavaş veya yanıt vermemeye başlamasına neden olur. Kullanıcı arabirimlerini hedeflemek için DDoS saldırılarında yaygın olarak görülür. Azure DDoS koruması, istenmeyen ağ trafiğini hizmet kullanılabilirliğini etkilemeden önce temizler.
• İşletim sistemi, makine ve ağ düzeylerindeki tehditleri ele almak için kötü amaçlı yazılımdan koruma, istenen durum, tehdit algılama, önleme ve düzeltmeye yardımcı olması için VM uzantılarını kullanın:
  • Konuk Yapılandırma uzantısı , sanal makineler içinde denetim ve yapılandırma işlemleri gerçekleştirir.
  • Windows ve Linux için Network Watcher Agent sanal makine uzantısı Azure ağlarının izlenmesine olanak tanıyan ağ performansını, tanılamayı ve analiz hizmetini izler.
  • Microsoft Windows yapılandırılabilir uyarılarla virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olur.
  • VM Windows için Symantec Endpoint Protection (/azure/virtual-machines/extensions/symantec) gibi üçüncü taraf uzantılarını değerlendirme.
• Ortamınıza uygulanabilecek iş kuralları oluşturmak için Azure Policy kullanın. Azure İlkeleri, bu kaynakların özelliklerini JSON biçiminde tanımlanan kurallarla karşılaştırarak Azure kaynakları değerlendirir.
• Azure Blueprints, bulut mimarlarının ve merkezi bilgi teknolojisi gruplarının bir kuruluşun standartlarına, desenlerine ve gereksinimlerine uyan tekrarlanabilir bir Azure kaynağı kümesi tanımlamasını sağlar. Azure Blueprints Azure İlkeleri'den farklı.
• Azure VM'lerdeki SQL Server uyumlu FIPS için Windows Server 2019 veya Windows Server 2022 kullanın.
• Yedeklemeleri geri yüklemeyi yüksek riskli bir işlem olarak kabul edin ve hiçbir zaman güvenilmeyen bir kaynaktan yedeklemeyi geri yüklemeyin.

En iyi güvenlik yöntemleri hakkında daha fazla bilgi için bkz. SQL Server en iyi güvenlik yöntemleri ve Güvenlik SQL Server.

Makinelerde SQL için Microsoft Defender

Microsoft Defender for Cloud, veri ortamınızın güvenlik duruşunu iyileştirmeye yönelik fırsatları değerlendirmek ve sağlamak için tasarlanmış birleşik bir güvenlik yönetim sistemidir. Microsoft Defender makinelerde SQL için Microsoft Defender Azure VM'lerdeki SQL Server için koruma sunar. Olası veritabanı güvenlik açıklarını bulmak ve azaltmak ve SQL Server örneğiniz ve veritabanı katmanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılamak için SQL için Microsoft Defender kullanın.

SQL için Microsoft Defender aşağıdaki avantajları sunar:

• Vulnerability Assessments SQL Server ortamınızda olası riskleri bulabilir ve düzeltmeye yardımcı olabilir. Güvenlik durumunuz hakkında görünürlük sağlar ve güvenlik sorunlarını çözmek için eyleme dönüştürülebilir adımlar içerir.
• Microsoft Defender for Cloud'da güvenlik puanını kullanın.
• Diğer ayrıntılar için şu anda kullanılabilir olan işlem ve veri önerileri listesini gözden geçirin.
• SQL Server sanal makinenizi SQL Server IaaS Aracı Uzantısı ile kaydettirmek, Azure portalında SQL sanal makineleri kaynağında Microsoft Defender for SQL önerilerinin görünmesini sağlar.

Portal yönetimi

SQL SERVER VM'nizi SQL IaaS Aracısı uzantısıyla kaydettikten sonra Azure portalında SQL sanal makineleri kaynağını kullanarak Azure Key Vault tümleştirmeyi veya SQL kimlik doğrulamasını etkinleştirme gibi bir dizi güvenlik ayarı yapılandırabilirsiniz.

Ayrıca makinelerde SQL için Microsoft Defender etkinleştirdikten sonra Bulut için Defender özelliklerini doğrudan güvenlik açığı değerlendirmeleri ve güvenlik uyarıları gibi Azure portalında SQL sanal makineleri kaynağı görüntüleyebilirsiniz.

Daha fazla bilgi edinmek için bkz. > Portalda SQL Server VM'yi yönetme.

Gizli VM’ler

Azure gizli VM'ler, konak operatör erişimine karşı konuk işletim sisteminin korumasını güçlendiren, güçlü, donanım destekli bir sınır sağlar. Azure VM'de SQL Server için gizli bir VM boyutu seçmek, hassas verilerinizi bulutta güvenle depolamanıza ve katı uyumluluk gereksinimlerini karşılamanıza olanak tanıyan ek bir koruma katmanı sağlar.

Azure gizli VM'ler, işlemci tarafından oluşturulan anahtarları kullanarak VM belleğini şifreleyen SEV-SNP teknolojisine sahip AMD işlemcileri kullanır. Bu, kullanımdayken verilerin (SQL Server işleminin belleğinde işlenen veriler) konak işletim sisteminden yetkisiz erişime karşı korunmasına yardımcı olur. Gizli bir VM'nin işletim sistemi diski, sanal makinenin Güvenilir Platform Modülü (TPM) yongasına bağlı anahtarlarla şifrelenebilir ve bekleyen veriler için koruma güçlendirilebilir.

Ayrıntılı dağıtım adımları için bkz. Quickstart: SQL Server gizli bir VM dağıtma.

Gizli VM'ler için disk şifreleme önerileri diğer VM boyutlarından farklıdır. Daha fazla bilgi edinmek için bkz . disk şifrelemesi .

Microsoft Entra kimlik doğrulaması

SQL Server 2022'den başlayarak, Microsoft Entra ID ile aşağıdaki kimlik doğrulama yöntemlerinden herhangi birini kullanarak SQL Server bağlanabilirsiniz (formerly Azure Active Directory):

• Password Microsoft Entra kimlik bilgileriyle kimlik doğrulaması sunar
• MFA ile Evrensel, çok faktörlü kimlik doğrulaması ekler
• Integrated çoklu oturum açma (SSO) deneyimlerini etkinleştirmek için Active Directory Federation Services (ADFS) gibi federasyon sağlayıcılarını kullanır
• Service Principal Azure uygulamalarından kimlik doğrulamasını etkinleştirir
• Yönetilen Kimlik atanan uygulamalardan Microsoft Entra kimlik doğrulaması sağlar

Başlamak için SQL Server VM için Microsoft Entra kimlik doğrulamasını yapılandırma'yı gözden geçirin.

Azure Advisor

Azure Advisor, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Azure Advisor kaynak yapılandırmanızı ve kullanım telemetrinizi analiz eder ve ardından Azure kaynaklarınızın maliyet verimliliğini, performansını, yüksek kullanılabilirliğini ve güvenliğini artırmanıza yardımcı olabilecek çözümler önerir. Azure Advisor sanal makine, kaynak grubu veya abonelik düzeyinde değerlendirme yapabilir.

Azure Key Vault entegrasyonu

Saydam veri şifrelemesi (TDE), sütun düzeyinde şifreleme (CLE) ve yedekleme şifrelemesi gibi birden çok SQL Server şifreleme özelliği vardır. Bu şifreleme biçimleri, şifreleme için kullandığınız şifreleme anahtarlarını yönetmenizi ve depolamanızı gerektirir. Azure Key Vault hizmeti, bu anahtarların güvenliğini ve yönetimini güvenli ve yüksek oranda kullanılabilir bir konumda geliştirmek için tasarlanmıştır. SQL Server Bağlayıcısı, SQL Server Azure Key Vault bu anahtarları kullanmasına olanak tanır.

Aşağıdakileri göz önünde bulundurun:

• Azure Key Vault, erişim izinlerini güvenli bir şekilde denetlemek ve erişim günlüğünü ayırmak için uygulama gizli dizilerini merkezi bir bulut konumunda depolar.
• Azure'a kendi anahtarlarınızı getirdiğinizde, gizli bilgileri ve sertifikaları Azure Key Vault'ta depolamanız önerilir.
• Azure Disk Encryption disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek için Azure Key Vault kullanır.

Erişim denetimi

Azure galeri görüntüsüyle SQL Server bir sanal makine oluşturduğunuzda, SQL Server Connectivity seçeneği size Local (VM içinde), Private (Virtual Network içinde) veya Public (İnternet).

En iyi güvenlik için senaryonuz için en kısıtlayıcı seçeneği belirleyin. Örneğin, aynı VM'de SQL Server erişen bir uygulama çalıştırıyorsanız Local en güvenli seçenektir. SQL Server erişmesi gereken bir Azure uygulaması çalıştırıyorsanız Private yalnızca belirtilen Azure sanal ağı içinde SQL Server iletişimi güvence altına alır. SQL Server VM'ye Public (internet) erişimine ihtiyacınız varsa, saldırı yüzeyi alanınızı azaltmak için bu konudaki diğer en iyi yöntemleri izlediğinizden emin olun.

Portalda seçilen seçenekler sanal makinenize yönelik ağ trafiğine izin vermek veya trafiği reddetmek için VM'nin ağ güvenlik grubundaki (NSG) gelen güvenlik kurallarını kullanır. SQL Server bağlantı noktasına giden trafiğe izin vermek için yeni gelen NSG kurallarını değiştirebilir veya oluşturabilirsiniz (varsayılan 1433). Bu bağlantı noktası üzerinden iletişim kurmasına izin verilen IP adreslerini de belirtebilirsiniz.

Ağ güvenlik grubu kurallarını gösteren diyagram.

Ağ trafiğini kısıtlamak için NSG kurallarına ek olarak, sanal makinede Windows Güvenlik Duvarı'nı da kullanabilirsiniz.

Uç noktaları klasik dağıtım modeliyle kullanıyorsanız, kullanmazsanız sanal makinedeki uç noktaları kaldırın. ACL'leri uç noktalarla kullanma yönergeleri için bkz . Uç nokta üzerinde ACL'yi yönetme. Bu, Azure Resource Manager kullanan VM'ler için gerekli değildir.

Azure sanal makinenizdeki SQL Server Database Engine örneği için encrypted connections etkinleştirmeyi göz önünde bulundurun. SQL Server örneğini imzalı bir sertifikayla yapılandırın. Daha fazla bilgi için bkz. Veritabanı Motoruna Şifreli Bağlantıları Etkinleştirme ve Bağlantı Dizesi Söz Dizimi.

Ağ bağlantısını veya çevresini güvenli hale getirmek için aşağıdakileri göz önünde bulundurun:

• Azure Firewall: Ağ kaynaklarını korumak için başlangıç IP adresine göre sunucu erişimine izin veren veya erişimi reddeden durum bilgisine sahip ve yönetilen Bir Hizmet Olarak Güvenlik Duvarı (FaaS).
• Azure Dağıtılmış Hizmet Reddi (DDoS) koruması: DDoS saldırıları ağ kaynaklarını aşırı zorlar ve tüketerek uygulamaların yavaşlamasını veya yanıt vermemeye başlamasını sağlar. Azure DDoS koruması, istenmeyen ağ trafiğini hizmet kullanılabilirliğini etkilemeden önce temizler.
• Network Güvenlik Grupları (NSG): Azure Sanal Ağlarındaki Azure kaynaklarına gelen ve giden ağ trafiğini filtreler.
• Uygulama Güvenlik Grupları: Benzer bağlantı noktası filtreleme gereksinimlerine sahip sunucuları gruplandırma ve web sunucuları gibi benzer işlevlere sahip sunucuları birlikte gruplandırma sağlar.

Disk şifrelemesi

Bu bölüm disk şifrelemesi için rehberlik sağlar, ancak öneriler, Azure VM'ye geleneksel bir SQL Server dağıttığınıza veya Azure bir gizli VM'ye SQL Server bağlı olarak değişir.

Geleneksel VM'ler

Azure gizli VM'leri olmayan sanal makinelere dağıtılan yönetilen diskler, sunucu taraflı şifreleme ve Azure Disk Encryption kullanır. Sunucu tarafı şifreleme, hareketsiz durumdaki verilerin şifrelenmesini sağlar ve verilerinizi kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılayacak şekilde korur. Azure Disk Encryption BitLocker veya DM-Crypt teknolojisini kullanır ve hem işletim sistemini hem de veri disklerini şifrelemek için Azure Key Vault ile tümleşir.

Aşağıdakileri göz önünde bulundurun:

• Azure Disk Encryption hem Windows hem de Linux sanal makineleri için Azure Disk Encryption kullanarak sanal makine disklerini şifreler.
  • Uyumluluk ve güvenlik gereksinimleriniz kısa ömürlü (yerel olarak eklenmiş geçici) diskin şifrelenmesi de dahil olmak üzere şifreleme anahtarlarınızı kullanarak verileri uçtan uca şifrelemenizi gerektirdiğinde, Azure disk şifreleme kullanın.
  • Azure Disk Encryption (ADE), Windows endüstri standardı BitLocker özelliğinden ve Linux toprovide işletim sisteminin DM-Crypt özelliğinden ve veri diski şifrelemeden yararlanmaktadır.
• Yönetilen Disk Şifrelemesi
  • Managed Disks şifreleme anahtarlarının Azure'de depolanan Microsoft tarafından yönetilen anahtarlar olduğu Azure Storage Hizmet Şifrelemesi kullanılarak varsayılan olarak şifrelenir.
  • Azure yönetilen disklerindeki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve FIPS 140-2 ile uyumludur.
• Yönetilen disk şifreleme seçeneklerinin karşılaştırması için yönetilen disk şifrelemesi karşılaştırma grafiğini gözden geçirin.

Azure gizli VM'leri

gizli Azure vm kullanıyorsanız güvenlik avantajlarını en üst düzeye çıkarmak için aşağıdaki önerileri göz önünde bulundurun:

• İşletim sistemi disk şifreleme anahtarlarını sanal makinenin Güvenilen Platform Modülü (TPM) yongasına bağlayan gizli işletim sistemi disk şifrelemesini yapılandırın. Ayrıca korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir.
• Veri disklerinizi (veritabanı dosyaları, günlük dosyaları veya yedekleme dosyalarını içeren tüm diskler) BitLocker ile şifreleyin ve otomatik kilit açmayı etkinleştirin. Daha fazla bilgi için manage-bde autounlock veya EnableBitLockerAutoUnlock konularını gözden geçirin. Otomatik kilit açma, şifreleme anahtarlarının işletim sistemi diskinde depolanmasını sağlar. Bu, gizli işletim sistemi disk şifrelemesiyle birlikte VM disklerinde depolanan bekleyen verileri yetkisiz konak erişimine karşı korur.

Güvenilir Başlatma

2. nesil bir sanal makine dağıttığınızda, gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlayan güvenilir başlatmayı etkinleştirme seçeneğiniz vardır.

Güvenilir başlatma ile şunları yapabilirsiniz:

• Doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücülerle sanal makineleri güvenli bir şekilde dağıtın.
• Sanal makinelerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde koruyun.
• Tüm önyükleme zinciri aşamalarının bütünlüğü hakkında içgörüler ve güven elde edin.
• İş yüklerinin güvenilir ve doğrulanabilir olduğundan emin olun.

Azure VM'lerde SQL Server için güvenilen başlatmayı etkinleştirdiğinizde şu anda aşağıdaki özellikler desteklenmez:

• Azure Site Recovery
• Ultra Diskler
• Yönetilen görüntüler
• İç içe sanallaştırma

Hesapları yönetme

Saldırganların hesap adlarını veya parolaları kolayca tahmin etmelerini istemezsiniz. Yardımcı olması için aşağıdaki ipuçlarını kullanın:

• Yönetici adlı olmayan benzersiz bir yerel yönetici hesabı oluşturun.

• Tüm hesaplarınız için karmaşık güçlü parolalar kullanın. Güçlü parola oluşturma hakkında daha fazla bilgi için Güçlü parola oluşturma makalesine bakın.

• Varsayılan olarak, Azure sanal makine kurulumu sırasında SQL Server için Windows Kimlik Doğrulamasını seçer. Bu nedenle, SA oturum açma devre dışı bırakılır ve kurulum tarafından bir parola atanır. SA oturum açma bilgilerinin kullanılmaması veya etkinleştirilmemesi önerilir. SQL oturum açma bilgilerinizin olması gerekiyorsa aşağıdaki stratejilerden birini kullanın:

  • Benzersiz bir ada sahip, sysadmin üyeliği olan bir SQL hesabı oluşturun. Sağlama sırasında SQL Kimlik Doğrulamasını etkinleştirerek portaldan bunu yapabilirsiniz.

    İpucu

    Sağlama sırasında SQL Kimlik Doğrulamasını etkinleştirmezseniz, kimlik doğrulama modunu el ile SQL Server ve Windows Kimlik Doğrulama Modu olarak değiştirmeniz gerekir. Daha fazla bilgi için bkz . Sunucu Kimlik Doğrulama Modunu Değiştirme.

  • SA oturum açma bilgilerini kullanmanız gerekiyorsa, sağladıktan sonra oturum açmayı etkinleştirin ve yeni bir güçlü parola atayın.

Not

Microsoft Entra Etki Alanı Hizmetleri kullanarak bir SQL Server VM'ye bağlanma desteklenmez. Bunun yerine bir Active Directory etki alanı hesabı kullanın.

Denetim ve raporlama

Log Analytics ile Denetleme, olayları belgeler ve güvenli bir Azure Blob Storage hesabındaki denetim günlüğüne yazar. Log Analytics, denetim günlüklerinin ayrıntılarını çözmek için kullanılabilir. Denetim, verileri ayrı bir depolama hesabına kaydetmenizi ve seçtiğiniz tüm olayların denetim kaydını oluşturmanızı sağlar. Ayrıca, verilerinizle ilgili hızlı analiz ve içgörüler elde etmek ve mevzuat uyumluluğu için bir görünüm sağlamak için denetim günlüğünde Power BI kullanabilirsiniz. VM ve Azure düzeylerinde denetim hakkında daha fazla bilgi edinmek için bkz. Azure güvenlik günlüğü ve denetim.

Sanal Makine düzeyinde erişim

Makinenizdeki yönetim bağlantı noktalarını kapatma - Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek bir risk düzeyine maruz açıyor. Bu saldırılar, makineye yönetici erişimi sağlamak için kimlik bilgilerini brute force saldırısı ile denemeye çalışır.

• Azure sanal makineler için Just-in-time (JIT) erişimini açın.
• Remote Desktop Protokolü (RDP) üzerinden Azure Bastion kullanın.

Sanal Makine uzantıları

Azure Sanal Makine uzantıları, virüsten koruma, kötü amaçlı yazılım, tehdit koruması ve daha fazlası gibi belirli ihtiyaçları ve riskleri gidermeye yardımcı olabilecek güvenilir Microsoft veya üçüncü taraf uzantılarıdır.

• Misafir Yapılandırması uzantısı
  • Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin.
  • Konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir.
  • Yüklendikten sonra , 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir.
• Ağ trafiği veri toplama aracısı
  • Microsoft Defender for Cloud, Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır.
  • Bu aracı, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirir.
• kötü amaçlı yazılımdan koruma, istenen durum, tehdit algılama, önleme ve düzeltme ile işletim sistemi, makine ve ağ düzeylerindeki tehditleri ele almak için Microsoft ve üçüncü tarafların uzantılarını değerlendirin.

FIPS uyumluluğu

FIPS , bilgi teknolojisi ürün ve sistemlerinde şifreleme modülleri için minimum güvenlik gereksinimlerini tanımlayan bir ABD kamu standardıdır. FedRAMP veya Savunma Bakanlığı Güvenlik Gereksinimi Kılavuzu gibi bazı ABD kamu uyumluluk programları, FIPS ile doğrulanmış şifreleme kullanılmasını gerektirir.

SQL Server, SQL Server 2016 ve üzeri veya SQL Server 2014Extended Security Updates ile FIPS uyumlu hale gelir.

Azure VM'lerdeki SQL Server fips ile uyumlu olmak için, fips'nin varsayılan olarak etkin olduğu Windows Server 2022 üzerinde olmanız gerekir. Windows Server 2019, Güvenlik Teknik Uygulama Kılavuzu (STIG) bulgusu V-93511'de belirtilen politika manuel olarak etkinleştirildiyse FIPS uyumlu da olabilir.

SQL Server şu anda Linux Azure VM'lerinde FIPS uyumlu değildir.

Güvenilmeyen kaynaklardan yedeklemeleri geri yükleme güvenlik riski

Bu bölümde, güvenilmeyen kaynaklardan şirket içi, Azure SQL Managed Instance, SQL Server on Azure Virtual Machines (VM) ve diğer ortamlar dahil olmak üzere herhangi bir SQL Server ortamına yedeklemeleri geri yüklemeyle ilişkili güvenlik riski özetlenmiştir.

Bu neden önemli?

SQL yedekleme dosyalarının (.bak) geri yüklenmesi, yedeklemenin güvenilmeyen bir kaynaktan kaynaklanması durumunda olası bir risk oluşturur. Güvenlik riski, SQL Server bir ortamın birden çok örneği olduğunda daha da şiddetlenir çünkü bu durum tehdit alanını güçlendirir. Güvenilir bir sınır içinde kalan yedeklemeler güvenlik sorunu oluşturmasa da, kötü amaçlı bir yedeklemenin geri yüklenmesi ortamın tamamının güvenliğini tehlikeye atabilir.

Kötü amaçlı .bak bir dosya yapabilir:

• tüm SQL Server örneğini devralın.
• Ayrıcalıkları yükseltin ve temel konak veya sanal makineye yetkisiz erişim elde edin.

Bu saldırı, doğrulama betikleri veya güvenlik denetimleri yürütülmeden önce gerçekleşir ve bu da onu son derece tehlikeli hale getirir. Güvenilmeyen bir yedeklemeyi geri yüklemek, kritik bir sunucuda veya sanal makinede güvenilmeyen uygulamalar çalıştırmaya ve ortamınıza rastgele kod yürütmeye girişmeye eşdeğerdir.

En iyi yöntemler

SQL Server ortamlarınıza yönelik tehdidi azaltmak için şu yedekleme güvenliği en iyi yöntemlerini izleyin:

• Yedeklemeleri geri yüklemeyi yüksek riskli bir işlem olarak değerlendirin.
• Yalıtılmış örnekleri kullanarak tehdit hizmeti alanını azaltın.
• Yalnızca güvenilen yedeklemelere izin ver: Bilinmeyen veya dış kaynaklardan gelen yedeklemeleri asla geri yüklemeyin.
• Yalnızca güvenilir bir sınır içinde kalan yedeklemelere izin verin: yedeklemelerin güvenilen sınırdan kaynaklandığından emin olun.
• Kolaylık sağlamak için güvenlik denetimlerini atlamayın.
• Yedekleme ve geri yükleme olaylarını yakalamak ve denetimden kaçınmayı azaltmak için sunucu düzeyinde denetimi etkinleştirin.

İlgili içerik

SQL Server ve Azure VM'ler için en iyi güvenlik uygulamalarını gözden geçirin ve ardından özellikle Azure VM'lerde SQL Server için geçerli olan en iyi yöntemler için bu makaleyi gözden geçirin.

Her iyileştirme alanı hakkında ayrıntılı yönergeler için:

• Hızlı denetim listesi - En iyi yöntemlerin tam denetim listesini gözden geçirin
• VM boyutu - Doğru VM serisini ve yapılandırmasını seçin
• Depolama - Disk yapılandırmasını ve performansını iyileştirme
• HADR ayarları - Yüksek kullanılabilirliği ve olağanüstü durum kurtarmayı yapılandırma
• Temel toplama - Performans temelleri oluşturma
• SQL Server'ı güncelleştirme - SQL Server'ı güncel tutma

SQL Server on Azure Virtual Machines Overview konumundaki diğer SQL Server Sanal Makine makalelerini gözden geçirin. sanal makineleri SQL Server hakkında sorularınız varsa bkz. Sık Sorulan Sorular.