Azure veritabanı güvenlik denetim listesi

Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği, güvenliği iyileştirmeye yardımcı olmak için erişimi sınırlamak ve denetlemek, verileri korumak ve tehditleri izlemek için kullanabileceğiniz yerleşik güvenlik denetimleri içerir.

Güvenlik denetimleri şunlardır:

• BAĞLANTıYı IP adresine ve sanal ağa göre sınırlayan güvenlik duvarı kuralları
• Merkezi kimlik yönetimi için Microsoft Entra kimlik doğrulaması
• TLS şifrelemesi kullanarak güvenli bağlantı
• Erişim yönetimi ve yetkilendirme
• Dinlenme halindeki ve aktarımdaki veri şifrelemesi
• Veritabanı denetimi ve tehdit algılama
• Gelişmiş veri güvenliği özellikleri

Giriş

Bulut bilişim, birçok uygulama kullanıcısına, veritabanı yöneticisine ve programcıya yabancı olabilecek yeni güvenlik paradigmaları gerektirir. Kuruluşlar, hassas verileri korumak ve mevzuat uyumluluğu gereksinimlerini karşılamak için Azure SQL'in kapsamlı güvenlik özelliklerinden yararlanabilir.

Denetim listesi

Bu denetim listesini gözden geçirmeden önce Azure SQL Veritabanı güvenlik en iyi yöntemleri makalesini okumanızı öneririz. En iyi yöntemleri anlamak, bu denetim listesinden en iyi değeri almanıza yardımcı olur. Azure veritabanı güvenliğindeki önemli güvenlik denetimlerini ele aldığınızdan emin olmak için bu denetim listesini kullanın.

Denetim Listesi Kategorisi	Açıklama
Verileri Koru
Aktarım sırasında şifreleme	Aktarım Katmanı Güvenliği (TLS), istemciler ve veritabanları arasında hareket halindeki verileri şifreler. Azure SQL, güvenli bağlantılar için TLS 1.2 veya üzerini gerektirir. Veritabanı, TLS üzerinden TDS (Tablosal Veri Akışı) protokolüne dayalı olarak istemcilerden güvenli iletişim gerektirir.
Bekleme sırasında şifreleme	Saydam Veri Şifrelemesi (TDE) durgun verileri ve günlük dosyalarını şifreler. TDE, tüm yeni Azure SQL veritabanlarında varsayılan olarak etkindir. Kendi Anahtarını Getir (BYOK), Azure Key Vault'ta TDE şifreleme anahtarlarını yönetmenize olanak tanır.
Şifreleme kullanımda	Always Encrypted , hassas verileri istemci uygulamaları içinde şifreleyerek korur. Şifreleme anahtarları hiçbir zaman veritabanı altyapısına ulaşmaz ve veri sahipleri ile veri yöneticileri arasında ayrım yapılmasını sağlar. Column-Level Şifrelemesi (CLE), hassas verilerin ek koruması için simetrik şifreleme kullanarak belirli sütunları şifreler.
Erişimi Denetleme
Veritabanı erişimi	Microsoft Entra kimlik doğrulaması , çoklu oturum açma (SSO) özellikleriyle merkezi kimlik yönetimi sağlar. Güçlü parolalarla SQL kimlik doğrulaması alternatif bir kimlik doğrulama yöntemi sağlar. Yetkilendirme , rol tabanlı erişim denetimini kullanarak kullanıcılara gereken en düşük ayrıcalıkları verir.
Ağ erişim denetimi	Sunucu düzeyinde IP güvenlik duvarı kuralları , erişimi kaynak IP adreslerine göre kısıtlar. Veritabanı düzeyinde IP güvenlik duvarı kuralları , veritabanı başına ayrıntılı erişim denetimi sağlar. Sanal Ağ hizmet uç noktaları belirli Azure sanal ağlarından bağlantı sağlar. Özel Bağlantı , sanal ağınızda özel bir IP adresi kullanarak Azure SQL Veritabanı'na özel bağlantı sağlar.
Uygulama erişim denetimi	Row-Level Güvenliği (RLS), kullanıcının kimliğine, rolüne veya yürütme bağlamlarına göre satır düzeyi erişimi kısıtlar. Dinamik Veri Maskeleme , temel alınan verileri değiştirmeden ayrıcalıklı olmayan kullanıcılara maskeleyerek hassas verilerin açığa çıkarma durumunu sınırlar. Veri Bulma ve Sınıflandırma , gelişmiş koruma ve uyumluluk için hassas verileri tanımlar, sınıflandırır ve etiketler.
Proaktif İzleme
Denetim ve algılama	Denetim, veritabanı olaylarını izler ve bunları Azure Depolama hesabınızda, Log Analytics çalışma alanınızda veya Event Hubs'larınızda bir denetim günlüğüne yazar. Azure İzleyici ve tanılama ayarlarını kullanarak Azure SQL Veritabanı durumunu izleyin. SQL için Microsoft Defender, SQL enjeksiyonu, kaba kuvvet saldırıları ve güvenlik açıkları gibi olası güvenlik tehditlerini gösteren anormal veritabanı etkinliklerini algılar.
Güvenlik açığı değerlendirmesi	Güvenlik Açığı Değerlendirmesi olası veritabanı güvenlik açıklarını bulur, izler ve düzeltmeye yardımcı olur. Uyumluluk için eyleme dönüştürülebilir güvenlik önerileri ve risk raporları sağlar.
Merkezi güvenlik yönetimi	Bulut için Microsoft Defender , Azure SQL Veritabanı ve diğer Azure hizmetleri için merkezi güvenlik izleme ve yönetimi sağlar. Microsoft bulut güvenlik karşılaştırmasını temel alan güvenlik önerileri.
Veri Bütünlüğü
Kayıt defteri özelliği	Ledger , veritabanı işlemlerinin sabit bir kaydını oluşturarak kurcalamaya karşı korumalı özellikler sağlar. Veri bütünlüğü doğrulaması için uyumluluk gereksinimlerini karşılamaya yardımcı olur.

Sonuç

Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği, kuruluş ve mevzuat uyumluluğu gereksinimlerini karşılayan kapsamlı güvenlik özelliklerine sahip sağlam veritabanı platformları sağlar. Saydam Veri Şifrelemesi, Always Encrypted ve TLS kullanarak verileri yaşam döngüsü boyunca (beklemede, aktarımda ve kullanımda) koruyabilirsiniz. Row-Level Güvenliği, Dinamik Veri Maskeleme ve Microsoft Entra kimlik doğrulaması gibi ayrıntılı erişim denetimleri yalnızca yetkili kullanıcıların hassas verilere erişmesini sağlar. Denetim, SQL için Microsoft Defender ve Güvenlik Açığı Değerlendirmesi aracılığıyla sürekli izleme, güvenlik tehditlerini önceden belirlemeye ve düzeltmeye yardımcı olur.

Sonraki adımlar

Veritabanınızın kötü amaçlı kullanıcılara veya yetkisiz erişime karşı korumasını birkaç basit adımla geliştirebilirsiniz:

• Sunucunuz ve veritabanlarınız için güvenlik duvarı kurallarını yapılandırma
• Verilerinizi şifreleme ile koruma
• SQL Veritabanı denetimini etkinleştirme
• Tehdit algılama için SQL için Microsoft Defender'ın etkinleştirilmesi
• Güvenlikle ilgili en iyi yöntemleri gözden geçirme