Azure'da PaaS veritabanlarının güvenliğini sağlamaya yönelik en iyi yöntemler

Bu makalede, hizmet olarak platform (PaaS) web ve mobil uygulamalarınızın güvenliğini sağlamaya yönelik Azure SQL Veritabanı ve Azure Synapse Analytics güvenlik en iyi yöntemlerinin bir koleksiyonu ele alınıyor. Bu en iyi yöntemler, Azure deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.

Azure SQL Veritabanı ve Azure Synapse Analytics, İnternet tabanlı uygulamalarınız için ilişkisel bir veritabanı hizmeti sağlar. Bir PaaS dağıtımında Azure SQL Veritabanı ve Azure Synapse Analytics kullanırken uygulamalarınızın ve verilerinizin korunmasına yardımcı olan hizmetlere göz atalım:

• Microsoft Entra kimlik doğrulaması (SQL Server kimlik doğrulaması yerine)
• Azure SQL güvenlik duvarı
• Saydam Veri Şifrelemesi (TDE)

Merkezi kimlik deposu kullanma

Azure SQL Veritabanı iki kimlik doğrulaması türünden birini kullanacak şekilde yapılandırılabilir:

• SQL kimlik doğrulaması bir kullanıcı adı ve parola kullanır. Veritabanınız için sunucuyu oluşturduğunuzda, kullanıcı adı ve parolayla bir "sunucu yöneticisi" oturum açma bilgisi belirttiniz. Bu kimlik bilgilerini kullanarak, bu sunucudaki herhangi bir veritabanında veritabanı sahibi olarak kimlik doğrulaması yapabilirsiniz.

• Microsoft Entra kimlik doğrulaması , Microsoft Entra Id tarafından yönetilen kimlikleri kullanır ve yönetilen ve tümleşik etki alanları için desteklenir. Microsoft Entra kimlik doğrulamasını kullanmak için, Microsoft Entra kullanıcılarını ve gruplarını yönetmesine izin verilen "Microsoft Entra yöneticisi" adlı başka bir sunucu yöneticisi oluşturmanız gerekir. Bu yönetici normal bir sunucu yöneticisinin gerçekleştirebileceği tüm işlemleri yapabilir.

Microsoft Entra kimlik doğrulaması, Microsoft Entra Id kimliklerini kullanarak Azure SQL Veritabanı ve Azure Synapse Analytics'e bağlanma mekanizmasıdır. Microsoft Entra ID, veritabanı sunucuları arasında kullanıcı kimliklerinin yaygınlaşmasını durdurabilmeniz için SQL Server kimlik doğrulamasına bir alternatif sağlar. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri kimliklerini tek bir merkezi konumda merkezi olarak yönetmenizi sağlar. Merkezi kimlik yönetimi, tüm veritabanı kullanıcılarını aynı yerden yönetmenizi sağlar ve izin yönetimini kolaylaştırır.

SQL kimlik doğrulaması yerine Microsoft Entra Id kullanmanın avantajları

• Parolanın tek bir yerde döndürülmesini sağlar.
• Dış Microsoft Entra gruplarını kullanarak veritabanı izinlerini yönetir.
• Tümleşik Windows kimlik doğrulamasını ve Microsoft Entra Id tarafından desteklenen diğer kimlik doğrulama biçimlerini etkinleştirerek parolaları depolamayı ortadan kaldırır.
• Veritabanı düzeyinde kimlik doğrulaması yapmak için kapsanan veritabanı kullanıcılarını kullanır.
• SQL Veritabanı bağlanan uygulamalar için belirteç tabanlı kimlik doğrulamasını destekler.
• Etki alanı eşitlemesi olmadan yerel bir Microsoft Entra Kimliği için Active Directory Federasyon Hizmetleri (AD FS) (ADFS) veya yerel kullanıcı/parola kimlik doğrulaması ile etki alanı federasyonu destekler.
• Multi-Factor Authentication (MFA) içeren Active Directory Evrensel Kimlik Doğrulaması kullanan SQL Server Management Studio bağlantılarını destekler. MFA, çeşitli kolay doğrulama seçenekleriyle güçlü kimlik doğrulaması içerir. Doğrulama seçenekleri telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimidir. Daha fazla bilgi için bkz. SQL Veritabanı ve Azure Synapse Analytics ile Evrensel Kimlik Doğrulaması.

Microsoft Entra kimlik doğrulaması hakkında daha fazla bilgi edinmek için bkz:

• SQL Veritabanı, Yönetilen Örnek veya Azure Synapse Analytics ile kimlik doğrulaması için Microsoft Entra kimlik doğrulamasını kullanma
• Azure Synapse Analytics'e kimlik doğrulaması
• Microsoft Entra kimlik doğrulamasını kullanan Azure SQL Veritabanı için belirteç tabanlı kimlik doğrulaması desteği

Dekont

Microsoft Entra Id'nin ortamınıza uygun olduğundan emin olmak için bkz . Microsoft Entra özellikleri ve sınırlamaları.

IP adresine göre erişimi kısıtlama

Kabul edilebilir IP adresi aralıklarını belirten güvenlik duvarı kuralları oluşturabilirsiniz. Bu kurallar hem sunucu hem de veritabanı düzeylerinde hedeflenebilir. Güvenliği geliştirmek ve veritabanınızı daha taşınabilir hale getirmek için mümkün olduğunda veritabanı düzeyinde güvenlik duvarı kurallarını kullanmanızı öneririz. Sunucu düzeyinde güvenlik duvarı kuralları yöneticiler için en iyi şekilde kullanılır ve aynı erişim gereksinimlerine sahip birçok veritabanınız olduğunda ancak her veritabanını ayrı ayrı yapılandırmak için zaman harcamak istemezsiniz.

SQL Veritabanı varsayılan kaynak IP adresi kısıtlamaları, diğer abonelikler ve kiracılar dahil olmak üzere tüm Azure adreslerinden erişime izin verir. Bunu yalnızca IP adreslerinizin örneğe erişmesine izin verecek şekilde kısıtlayabilirsiniz. SQL güvenlik duvarınız ve IP adresi kısıtlamalarınızda bile güçlü kimlik doğrulaması gereklidir. Bu makalenin önceki bölümlerinde yapılan önerilere bakın.

Azure SQL Güvenlik Duvarı ve IP kısıtlamaları hakkında daha fazla bilgi edinmek için bkz:

• Azure SQL Veritabanı ve Azure Synapse Analytics erişim denetimi
• Azure SQL Veritabanı ve Azure Synapse Analytics güvenlik duvarı kuralları

Bekleyen verileri şifreleme

Saydam Veri Şifrelemesi (TDE) varsayılan olarak etkindir. TDE, SQL Server, Azure SQL Veritabanı ve Azure Synapse Analytics verilerini ve günlük dosyalarını saydam bir şekilde şifreler. TDE, dosyalara veya yedeklerine doğrudan erişimin tehlikeye atılmasına karşı koruma sağlar. Bu, bekleyen verileri mevcut uygulamaları değiştirmeden şifrelemenizi sağlar. TDE her zaman etkin kalmalıdır; ancak bu, normal erişim yolunu kullanan bir saldırganın durmasını engellemez. TDE, çeşitli sektörlerde oluşturulan birçok yasa, düzenleme ve yönergeye uyma olanağı sağlar.

Azure SQL, TDE ile ilgili önemli sorunları yönetir. TDE'de olduğu gibi, kurtarılabilirliği ve veritabanlarını taşırken şirket içi özel özen gösterilmelidir. Daha karmaşık senaryolarda anahtarlar, genişletilebilir anahtar yönetimi aracılığıyla Azure Key Vault'ta açıkça yönetilebilir. Bkz. EKM Kullanarak SQL Server'da TDE'yi Etkinleştirme. Bu, Azure Key Vaults BYOK özelliği aracılığıyla Kendi Anahtarını Getir (BYOK) özelliğine de olanak tanır.

Azure SQL, Always Encrypted aracılığıyla sütunlar için şifreleme sağlar. Bu, yalnızca yetkili uygulamaların hassas sütunlara erişmesine izin verir. Bu tür bir şifreleme kullanıldığında, şifrelenmiş sütunlar için SQL sorguları eşitlik tabanlı değerlerle sınırlanmış durumdadır.

Seçmeli veriler için uygulama düzeyinde şifreleme de kullanılmalıdır. Veri hakimiyetiyle ilgili endişeler bazen verileri doğru ülkede/bölgede tutulan bir anahtarla şifreleyerek azaltılabilir. Bu, güçlü bir algoritma (AES 256 gibi) kullanıldığı varsayılarak anahtar olmadan verilerin şifresinin çözülmesi imkansız olduğundan yanlışlıkla veri aktarımının bile soruna neden olmasını önler.

Veritabanının güvenliğini sağlamaya yardımcı olmak için güvenli bir sistem tasarlama, gizli varlıkları şifreleme ve veritabanı sunucularının çevresinde güvenlik duvarı oluşturma gibi ek önlemler kullanabilirsiniz.

Sonraki adımlar

Bu makalede, PaaS web ve mobil uygulamalarınızın güvenliğini sağlamaya yönelik SQL Veritabanı ve Azure Synapse Analytics güvenlik en iyi yöntemleri koleksiyonu tanıtıldı. PaaS dağıtımlarınızın güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz:

• PaaS dağıtımlarının güvenliğini sağlama
• Azure Uygulaması Hizmetleri kullanarak PaaS web ve mobil uygulamalarının güvenliğini sağlama