Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics
Bu makalede Azure SQL Veritabanı, Azure SQLYönetilen Örneği ve Azure Synapse Analytics kullanan bir uygulamanın veri katmanının güvenliğini sağlamanın temelleri özetlenmiştir. Bu makalede açıklanan güvenlik stratejisi, aşağıdaki diyagramda gösterildiği gibi katmanlı derinlemesine savunma yaklaşımını izler ve dıştan içe doğru hareket eder.
Ağ güvenliği
Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics, bulut ve kurumsal uygulamalar için ilişkisel veritabanı hizmeti sağlar. Müşteri verilerinin korunmasına yardımcı olmak için, ip adresine veya Azure Sanal ağ trafiği kaynağına göre açıkça erişim verene kadar güvenlik duvarları sunucuya ağ erişimini engeller.
IP güvenlik duvarı kuralları
IP güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre veritabanlarına erişim verir. Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics güvenlik duvarı kurallarına genel bakış.
Sanal ağ güvenlik duvarı kuralları
Sanal ağ hizmet uç noktaları, sanal ağ bağlantınızı Azure omurgası üzerinden genişletir ve trafiğin kaynaklandığı sanal ağ alt ağını tanımlamak için Azure SQL Veritabanı etkinleştirir. Trafiğin Azure SQL Veritabanı ulaşmasına izin vermek için SQL hizmet etiketlerini kullanarak Ağ Güvenlik Grupları aracılığıyla giden trafiğe izin verin.
- Sanal ağ kuralları, Azure SQL Veritabanı yalnızca bir sanal ağ içindeki seçili alt ağlardan gönderilen iletişimleri kabul etmelerini sağlar.
- Erişimi güvenlik duvarı kurallarıyla denetlemek SQL Yönetilen Örneği için geçerli değildir. Gereken ağ yapılandırması hakkında daha fazla bilgi için bkz . Yönetilen örneğe bağlanma
Not
Erişimi güvenlik duvarı kurallarıyla denetlemek SQL Yönetilen Örneği için geçerli değildir. Gereken ağ yapılandırması hakkında daha fazla bilgi için bkz . Yönetilen örneğe bağlanma
Ağ güvenlik sınırı
Azure ağ güvenlik çevresi, sanal ağlarınızın dışına dağıttığınız hizmet olarak platform (PaaS) kaynaklarınızın çevresinde mantıksal ağ sınırları oluşturur.
- Azure ağ güvenlik çevresi, Azure SQL Veritabanı'na genel ağ erişimini denetlemenize yardımcı olur.
- Azure ağ güvenlik çevresi ile erişimi denetleme, Azure SQL Yönetilen Örneği için geçerli değildir.
Önemli
Ağ Güvenlik Çevresine sahip Azure SQL Veritabanı şu anda önizleme aşamasındadır. Önizlemeler bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Kimlik Doğrulaması
Kimlik doğrulaması , kullanıcının iddia ettiği kişi olduğunu kanıtlama işlemidir. Azure SQL Veritabanı ve SQL Yönetilen Örneği, Microsoft Entra ID (eski adıyla Azure Active Directory) ve SQL kimlik doğrulamasıyla desteği sağlar. SQL Yönetilen örneği ayrıca Microsoft Entra sorumluları için Windows kimlik doğrulamasını destekler.
Microsoft Entra kimlik doğrulaması:
Microsoft Entra kimlik doğrulaması, Microsoft Entra ID kimliklerini kullanarak Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'e bağlanma mekanizmasıdır. Microsoft Entra kimlik doğrulaması, yöneticilerin veritabanı kullanıcılarının kimliklerini ve izinlerini tek bir merkezi konumda diğer Azure hizmetleriyle birlikte merkezi olarak yönetmesine olanak tanır. Bu özellik gizli dizilerin ve parolaların kullanımını ortadan kaldırmaya yardımcı olabilir.
SQL Veritabanı ile Microsoft Entra kimlik doğrulamasını kullanmak için Microsoft Entra yöneticisi adlı bir sunucu yöneticisi oluşturun. Daha fazla bilgi için bkz: Microsoft Entra kimlik doğrulaması ile SQL Veritabanına Bağlanma. Microsoft Entra kimlik doğrulaması hem yönetilen hem de federasyon hesaplarını destekler. Birleştirilmiş hesaplar, Microsoft Entra ID ile birleştirilmiş bir müşteri etki alanı için Windows kullanıcılarını ve gruplarını destekler.
Microsoft Entra, çok faktörlü kimlik doğrulaması, Tümleşik Windows kimlik doğrulaması ve Koşullu Erişim gibi çeşitli kimlik doğrulama seçeneklerini destekler.
Microsoft Entra sorumluları için Windows kimlik doğrulaması:
Microsoft Entra sorumluları için Kerberos kimlik doğrulaması, Azure SQL Yönetilen Örneği için Windows kimlik doğrulamasını etkinleştirir. Yönetilen örnekler için Windows kimlik doğrulaması, müşterilerin mevcut hizmetleri buluta taşımasına olanak tanırken sorunsuz bir kullanıcı deneyimi sağlar ve altyapı modernizasyonu için temel sağlar.
Microsoft Entra sorumluları için Windows kimlik doğrulamasını etkinleştirmek için Microsoft Entra kiracınızı bağımsız bir Kerberos bölgesi haline getirin ve müşteri etki alanında bir gelen güven oluşturun. Azure SQL Yönetilen Örneği için Windows kimlik doğrulamasının Microsoft Entra ID ve Kerberos ile nasıl uygulandığını öğrenin.
SQL kimlik doğrulaması:
SQL kimlik doğrulaması, kullanıcı adı ve parola kullanarak Azure SQL Veritabanı'na veya Azure SQL Yönetilen Örneği'ne bağlanırken kullanıcının kimlik doğrulamasını ifade eder. Sunucuyu oluştururken kullanıcı adı ve parolayla bir sunucu yöneticisi oturum açma bilgisi belirtmeniz gerekir. Bu kimlik bilgilerini kullanarak, bir sunucu yöneticisi bu sunucudaki veya örnekteki herhangi bir veritabanında veritabanı sahibi olarak kimlik doğrulaması yapabilir. Bundan sonra sunucu yöneticisi, kullanıcıların kullanıcı adı ve parola kullanarak bağlanmasına olanak tanıyan başka SQL oturum açma bilgileri ve kullanıcıları oluşturabilir.
Yetkilendirme ve erişim yönetimi
Yetkilendirme, sunucuların ve veritabanlarının yönetimine ve bir veritabanındaki verilere, kaynaklara ve komutlara erişimi denetlemeyi ifade eder. Azure SQL Veritabanı'ndaki veya Azure SQL Yönetilen Örneği'ndeki bir veritabanındaki kullanıcıya izinler atarsınız. Portal kullanıcı hesabınızın rol atamaları, Azure'da veritabanlarını ve sunucuları yönetmeyi denetler. Daha fazla bilgi için bkz . Azure portalında Azure rol tabanlı erişim denetimi.
Veritabanı rollerine kullanıcı hesapları ekleyerek ve bu rollere veritabanı düzeyinde izinler atayarak izinleri yönetin. Alternatif olarak, tek bir kullanıcıya belirli nesne düzeyinde izinler verin. Daha fazla bilgi için bkz . Oturum açma bilgileri ve kullanıcılar.
Ayrıca Azure SQL Yönetilen Örneği, bir örneğin izinlerini yönetmek için sunucu düzeyinde roller (sabit veya özel) sağlar. Sunucu düzeyinde rollerin sunucu genelinde izin kapsamı vardır. Sunucu düzeyindeki rollere sunucu düzeyinde sorumlular ekleyebilirsiniz.
En iyi yöntem olarak, gerektiğinde özel roller oluşturun. İş işlevlerini gerçekleştirmek için gereken en düşük ayrıcalıklara sahip kullanıcıları role ekleyin. İzinleri doğrudan kullanıcılara atamayın. Sunucu yönetici hesabı, kapsamlı izinlere sahip olan ve yalnızca yönetici görevleri olan birkaç kullanıcıya verilmesi gereken yerleşik db_owner rolünün bir üyesidir. Bir kullanıcının yapabileceklerinin kapsamını daha fazla sınırlamak için, çağrılan modülün yürütme bağlamını belirtmek için AS YÜRÜT'ünü kullanın. Bu en iyi yöntemlerin izlenerek Görev Ayrımı için de temel bir adım atılır.
Satır düzeyi güvenlik
Row-Level Güvenliği, bir sorguyu yürüten kullanıcının özelliklerine (örneğin, grup üyeliği veya yürütme bağlamı) göre veritabanı tablosundaki satırlara erişimi denetlemenizi sağlar. Özel Etiket tabanlı güvenlik kavramlarını uygulamak için Row-Level Güvenliği kullanın. Daha fazla bilgi için bkz. Satır düzeyi güvenlik.
Tehdit koruması
Azure SQL Veritabanı ve SQL Yönetilen Örneği, denetim ve tehdit algılama özellikleri sağlayarak müşteri verilerinin güvenliğini sağlar.
Azure İzleyici günlüklerinde ve Event Hubs'da SQL denetimi
SQL Veritabanı ve SQL Yönetilen Örneği denetimi, veritabanı etkinliklerini izler ve veritabanı olaylarını müşteriye ait Azure depolama hesabındaki bir denetim günlüğüne kaydederek güvenlik standartlarıyla uyumluluğun korunmasına yardımcı olur. Denetim, devam eden veritabanı etkinliklerini izlemenize ve olası tehditleri veya kötüye kullanım ve güvenlik ihlallerinden şüphelenilenleri belirlemek için geçmiş etkinlikleri analiz edip araştırmanıza olanak tanır. Daha fazla bilgi için bkz. SQL Veritabanı Denetimini kullanmaya başlayın.
Gelişmiş Tehdit Koruması
Gelişmiş Tehdit Koruması, olağan dışı davranışları ve veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik zararlı olabilecek girişimleri algılamak için günlüklerinizi analiz eder. Şüpheli etkinlikler, SQL enjeksiyonu, potansiyel veri sızıntısı ve deneme yanılma saldırıları gibi durumlar için uyarılar oluşturur veya ayrıcalık yükseltmelerini ve ihlal edilen kimlik bilgileri kullanımını tespit etmek amacıyla erişim desenlerindeki anomalileri izler. Bulut için Microsoft Defender'dan şüpheli etkinliklerin ayrıntılarının sağlandığı uyarıları ve tehdidi azaltmaya yönelik eylemlerin yanı sıra daha fazla araştırma önerileri görüntüleyebilirsiniz. Ek ücret karşılığında sunucu başına Gelişmiş Tehdit Koruması'nı etkinleştirebilirsiniz. Daha fazla bilgi için, SQL Veritabanı Gelişmiş Tehdit Koruması ile çalışmaya başlama bölümüne bakın.
Bilgi koruması ve şifreleme
Aktarım Katmanı Güvenliği (aktarım sırasında şifreleme)
SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics, Aktarım Katmanı Güvenliği (TLS) ile hareket halindeki verileri şifreleyerek müşteri verilerinin güvenliğini sağlar. Bu hizmetler, istemci ve sunucu arasındaki aktarım sırasında tüm verilerin şifrelendiğinden emin olmak için her zaman TLS şifreli bağlantıları zorunlu kılar.
Özellikle, SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics yapılandırma bayrağını ForceEncryption olarak Yesayarlar. İstemcilerin ve sürücülerin bu hizmetlere bağlanmak için şifrelenmiş bağlantıları desteklemesi gerekir. TDS protokolünün bağlanabilen en düşük sürümü TDS 7.1'dir.
En iyi yöntem olarak, TDS 8.0 özellikli SQL sürücüleriniz varsa Katı bağlantı şifrelemesi kullanın.
Sürücüleriniz TDS 8.0'ı desteklemiyorsa zorunlu şifreleme kullanın ve sunucu sertifikasına güvenmeyin. Örneğin, ADO.NET sürücüsünü kullanırken, bunu gerçekleştirmek için bağlantı dizesinde Encrypt=True ve TrustServerCertificate=False kullanın. Azure portalından edindiğiniz bağlantı dizesi bu değerlerle zaten yapılandırılmıştır.
Üretim kullanımında parametresini TrustServerCertificate olarak True ayarlamaktan kaçının.
TrustServerCertificate=True çok izinli ve ortadaki adam saldırılarına karşı korumaz. Bunun yerine, istemciniz sunucu sertifikasında farklı bir etki alanı adı bekliyorsa, doğrulama için doğru etki alanı adını sağlamak amacıyla HostNameInCertificate parametresini kullanın.
Örneğin, yönetilen örneğinize contoso-instance.123456.database.windows.net özel bir etki alanı adı contoso-instance.contoso.com üzerinden bağlanmak için ADO.NET sürücüsünü kullanırken, bağlantı parametrelerini Encrypt=True ayarlayın ve HostNameInCertificate=contoso-instance.123456.database.windows.net parametrelerini belirtin. Bu yapılandırma, sürücünün sunucu sertifikasını beklenen bir sanal ağ yerel uç nokta etki alanı adına göre doğrulamasını sağlar.
Önemli
Microsoft dışı bazı sürücüler varsayılan olarak TLS kullanmayabilir veya çalışması için eski bir TLS sürümüne (1.2'den önceki) bağımlı olabilir. Bu durumda, sunucu yine de veritabanınıza bağlanmanıza izin verir. Ancak, özellikle hassas verileri depoladığınızda bu tür sürücülerin ve uygulamaların SQL Veritabanı'na bağlanmasına izin vermenin güvenlik risklerini değerlendirin.
TLS ve bağlantı hakkında daha fazla bilgi için bkz. TLS ile ilgili dikkat edilmesi gerekenler.
Hizmet tarafından yönetilen anahtarlarla saydam veri şifrelemesi (bekleyen şifreleme)
SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi (TDE), bekleyen verilerin ham dosyalara veya yedeklemelere yetkisiz veya çevrimdışı erişimden korunmasına yardımcı olacak bir güvenlik katmanı ekler. Yaygın senaryolar arasında veri merkezi hırsızlığı veya disk sürücüleri ve yedekleme bantları gibi donanım veya medyanın güvenli olmayan şekilde atılması sayılabilir. TDE, uygulama geliştiricilerinin mevcut uygulamalarda herhangi bir değişiklik yapmasını gerektirmeyen bir AES şifreleme algoritması kullanarak veritabanının tamamını şifreler.
Azure'da, yeni oluşturulan tüm veritabanları varsayılan olarak şifrelenir ve veritabanı şifreleme anahtarı yerleşik bir sunucu sertifikasıyla korunur. Hizmet, sertifika bakımını ve döndürmeyi yönetir ve kullanıcıdan herhangi bir giriş gerektirmez. Şifreleme anahtarlarının denetimini almayı tercih ediyorsanız, anahtarları Azure Key Vault'ta yönetebilirsiniz.
Müşteri tarafından yönetilen anahtarlarla saydam veri şifrelemesi (bekleyen şifreleme)
Şifreleme anahtarları üzerinde daha fazla denetime ihtiyacınız varsa , saydam veri şifrelemesi (TDE) müşteri tarafından yönetilen anahtarları (CMK) destekler. Bu CMK mantıksal sunucuyla ilişkilendirilir ve bu sunucudaki tüm veritabanları için veritabanı şifreleme anahtarlarını sarmalar. Alternatif olarak, tek tek veritabanı düzeyinde bir CMK yapılandırabilirsiniz. CMK'yi yöneterek, genellikle uyumluluk veya katı güvenlik ilkeleri için gerekli olan anahtar döndürmeyi, iptali ve denetimi denetleyebilirsiniz.
Always Encrypted ve güvenli yerleşim bölgeleriyle Always Encrypted (kullanım sırasında şifreleme)
Güvenli kuşatmalarlaAlways Encrypted ve Always Encrypted, belirli veritabanı sütunlarında depolanan hassas verileri erişimden korumak için tasarlanmış özelliklerdir (örneğin, kredi kartı numaraları, ulusal/bölgesel kimlik numaraları veya bilinmesi gereken veriler). Bu koruma, yönetim görevlerini gerçekleştirmek için veritabanına erişme yetkisine sahip olan ancak şifrelenmiş sütunlardaki belirli verilere erişmesi gerekmeyen veritabanı yöneticilerini veya diğer ayrıcalıklı kullanıcıları içerir. Veriler her zaman şifrelenir, yani şifrelenmiş verilerin şifresi yalnızca şifreleme anahtarına erişimi olan istemci uygulamaları tarafından işlenmek üzere çözülür. Şifreleme anahtarı hiçbir zaman SQL Veritabanı veya SQL Yönetilen Örneği kullanıma sunulmaz ve Windows Sertifika Deposu'nda veya Azure Key Vault'ta depolanabilir.
Dinamik veri maskeleme
Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler. Dinamik veri maskeleme, Azure SQL Veritabanı ve SQL Yönetilen Örneği hassas olabilecek verileri otomatik olarak bulur ve uygulama katmanını en az etkileyerek bu alanları maskelemeye yönelik eyleme dönüştürülebilir öneriler sağlar. Veritabanındaki veriler değiştirilmezken, sorgunun sonuç kümesindeki hassas verileri belirlenen veritabanı alanları üzerinde karartarak çalışır. Daha fazla bilgi için, SQL Veritabanı ve SQL Yönetilen Örneği ile dinamik veri maskelemesine başlama konusuna bakın.
Ledger
Azure SQL Veritabanı ve SQL Yönetilen Örneği'ndeki Ledger, veri bütünlüğünün şifreleme kanıtı sağlayan bir özelliktir. Kayıt defteri ile verileriniz için kurcalama kanıtı özelliklerine sahipsiniz. Denetçiler veya diğer iş partileri gibi diğer taraflara verilerinizin değiştirilmediğini kriptografik olarak doğrulayabilirsiniz.
Ledger, veritabanı değişikliklerini sabit bir kayıt defterine kaydetmek için kurcalamaya karşı korumalı teknoloji kullanır ve yetkisiz değişikliklerin algılanmasını sağlar. Bu özellik, birden çok taraf arasında mevzuat uyumluluğu, denetlenebilirlik ve güven gerektiren senaryolar için özellikle kullanışlıdır. Kayıt defterini etkinleştirerek verilerinizin bütünlüğünü doğrulayarak sahtekarlık veya veri işleme riskini azaltabilirsiniz.
Güvenlik yönetimi
Güvenlik açığı değerlendirmesi
Güvenlik açığı değerlendirmesi , genel veritabanı güvenliğini proaktif olarak geliştirme hedefiyle olası veritabanı güvenlik açıklarını bulabilen, izleyebilen ve düzeltmeye yardımcı olabilecek, yapılandırması kolay bir hizmettir. Güvenlik açığı değerlendirmesi (VA), gelişmiş SQL güvenlik özelliklerine yönelik birleşik bir paket olan SQL için Microsoft Defender teklifinin bir parçasıdır. Güvenlik açığı değerlendirmesine SQL için Microsoft Defender'ın merkezi portalı üzerinden erişebilir ve bu değerlendirmeyi yönetebilirsiniz.
Veri bulma ve sınıflandırma
Veri bulma ve sınıflandırma, veritabanlarınızdaki hassas verileri bulmak, sınıflandırmak ve etiketlemek için Azure SQL Veritabanı ve SQL Yönetilen Örneği'nde yerleşik olarak bulunan temel özellikler sağlar. En hassas verilerinizi (iş, finansal, sağlık, kişisel veriler ve daha fazlası) keşfetmek ve sınıflandırmak, kurumsal bilgi koruma boyunuzda önemli bir rol oynar. Şunlar için altyapı görevi görür:
- İzleme (denetim) ve hassas verilere anormal erişimle ilgili uyarılar gibi çeşitli güvenlik senaryoları.
- Son derece hassas veriler içeren veritabanlarına erişimi denetleme ve güvenliğini sağlamlaştırma.
- Veri gizliliği standartlarına uymaya ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.
Daha fazla bilgi için bkz . Veri bulma ve sınıflandırmayı kullanmaya başlama.
Uyumluluk
Azure SQL Veritabanı, uygulamanızın çeşitli güvenlik gereksinimlerini karşılamasına yardımcı olan özelliklere ve işlevlere ek olarak düzenli denetimlere de katılır. Bir dizi uyumluluk standardına göre sertifikalanmıştır. Daha fazla bilgi için SQL Veritabanı uyumluluk sertifikalarının en güncel listesini bulabileceğiniz Microsoft Azure Güven Merkezi'ne bakın.