Sdílet prostřednictvím

Zásady správného řízení a zabezpečení pro spravovanou instanci SQL s podporou služby Azure Arc

  • Článek

Tento článek obsahuje klíčové aspekty návrhu a osvědčené postupy pro zásady správného řízení, zabezpečení a dodržování předpisů, které vám pomůžou naplánovat a implementovat nasazení služby SQL Managed Instance s podporou služby Azure Arc. I když se dokumentace k cílovým zónám na podnikové úrovni zabývá zásadami správného řízení a zabezpečením jako samostatná témata, tyto důležité oblasti návrhu se konsolidují do jednoho tématu pro službu SQL Managed Instance s podporou arc.

Architektura

Následující diagram znázorňuje koncepční referenční architekturu, která znázorňuje oblasti návrhu zabezpečení, dodržování předpisů a zásad správného řízení pro spravovanou instanci SQL s podporou arc:

Diagram showing enterprise-scale security and governance for Azure Arc-enabled SQL Managed Instance.

Aspekty návrhu

Tato část obsahuje aspekty návrhu, které byste měli mít na paměti při plánování zabezpečení a zásad správného řízení spravované instance SQL s podporou arc.

Projděte si oblasti návrhu zabezpečení a zásad správného řízení cílových zón Azure a vyhodnoťte účinek služby SQL Managed Instance s podporou Arc na celkové modely zásad správného řízení a zabezpečení.

Disciplíny zásad správného řízení

  • Projděte si kritickou oblast návrhu organizace prostředků a projděte si osvědčené postupy pro vynucování zásad správného řízení ve vaší cílové zóně.
  • Zkontrolujte a vynucujte zásady vytváření názvů vaší organizace pro hybridní prostředky, jako je sql Managed Instance s podporou Arc, kontroler dat a vlastní umístění.
  • Projděte si předdefinované konfigurační profily pro nepřímo Připojení režimu a rozhodněte se, jestli jsou podle vaší infrastruktury Kubernetes potřeba nějaké vlastní profily.

Ochrana osobních údajů a rezidence dat

  • V závislosti na požadavcích na zabezpečení a dodržování předpisů zvažte, ve kterých oblastech Azure plánujete nasadit spravovanou instanci SQL a kontrolery dat s podporou Arc, a to s ohledem na všechny požadavky na suverenitu dat. Seznamte se s tím, jaká data se shromažďují z vašich prostředků v přímém a nepřímo Připojení režimu, a naplánujte odpovídajícím způsobem na základě požadavků vaší organizace na rezidenci dat.

Poznámka

Do Microsoftu se neposílají žádná data databáze, pouze provozní data, data fakturace a inventáře, diagnostika a data programu Zlepšování softwaru a služeb na úrovni zákazníků (CEIP).

Zabezpečení clusteru

  • Spravovaná instance SQL s podporou arc se může nacházet v hybridních nebo multicloudových clusterech Kubernetes. Projděte si aspekty zabezpečení a zásad správného řízení pro zvoleného poskytovatele cloudu a distribuci Kubernetes.
  • Projděte si aspekty návrhu v oblasti návrhu Kubernetes s podporou Azure Arc a disciplíny zabezpečení.

Zabezpečení sítě

  • Projděte si oblast návrhu kritické pro připojení k síti, kde najdete osvědčené postupy a pokyny.
  • V závislosti na požadavcích vaší organizace na zabezpečení a dodržování předpisů se rozhodněte, že se pro spravovanou instanci SQL s podporou Arc použije režim připojení.
  • V závislosti na tom, kde je cluster nasazený, zvažte síťové porty a koncové body potřebné k monitorování spravované instance SQL s podporou Arc pomocí Grafany a Kibany.
  • Při vytváření kontroleru dat rozhodněte, jaký typ služby použijete mezi Nástrojem pro vyrovnávání zatížení Kubernetes nebo NodePortem.

Správa identit a přístupu

  • Projděte si správu identit a přístupu pro službu SQL Managed Instance s podporou arc, kde najdete osvědčené postupy a pokyny.
  • Při zvažování oddělenípovinnostích Mapování každého týmu na akce a odpovědnosti určuje role řízení přístupu na základě role (RBAC) Azure nebo role RoleBinding a RoleBinding Kubernetes v závislosti na použitém režimu připojení.
  • Zvažte použití zodpovědné, zodpovědné, konzultované a informované matice stran (RACI), která tuto snahu podporuje. Zabudujte ovládací prvky do hierarchie oboru správy, kterou definujete na základě konzistence prostředků a pokynů ke správě inventáře.
  • Nasazení kontroleru dat Azure Arc vyžaduje určitá oprávnění, která se dají považovat za vysoká oprávnění, jako je vytvoření oboru názvů Kubernetes nebo vytvoření role clusteru. Seznamte se s oprávněními potřebnými k zabránění nadměrným oprávněním.
  • Rozhodněte se o modelu ověřování, který se má použít ve službě SQL Managed Instance s podporou arc, ať už se jedná o ověřování Microsoft Entra nebo ověřování SQL. Projděte si oblast návrhu správy identit a přístupu, kde najdete informace o návrhu a doporučení, abyste zvolili správný režim ověřování.
  • Zvažte rozdíly mezi klíči spravovanými systémem a klíčovou tabulí spravovanou zákazníkem a nasazením konektoru Azure Arc AD pro podporu ověřování Microsoft Entra ve spravované instanci SQL s podporou arc. Obě metody mají výhodu zjednodušených operací v porovnání s plnou kontrolou zákazníků při správě účtů služeb a tabulátoru klíčů pro podporu ověřování Microsoft Entra.

Zabezpečení služby SQL Managed Instance s podporou služby Azure Arc

  • Rozhodněte se o režimu připojení, zvažte kompromisy mezi tím, že nemáte přímé připojení k Azure a jak to může ovlivnit hybridní a multicloudové instance, aby používaly aktuální a budoucí možnosti zabezpečení povolené v Azure.
  • Projděte si možnosti zabezpečení, které jsou dostupné ve službě SQL Managed Instance s podporou arc pro vaše datové úlohy.
  • Definujte platformu úložiště, která se má použít pro trvalé svazky v rámci clusterů Kubernetes, a seznamte se s možnostmi zabezpečení, které jsou k dispozici pro zabezpečení dat umístěných na trvalých svazcích. Při návrhu cílové zóny zkontrolujte kritické oblasti návrhu disciplín úložiště.
  • Než ji povolíte ve spravované instanci SQL s podporou Arc, projděte si požadavky a architekturu transparentní šifrování dat.
  • Zvažte různá umístění, kam můžete ukládat přihlašovací údaje transparentní šifrování dat na základě zásad a postupů správy kryptografických klíčů vaší organizace.
  • Při nasazování služby SQL Managed Instance s podporou arc v nepřímo Připojení režimu rozhodněte o certifikační autoritě, která se použije k poskytování certifikátu spravovaného uživatelem podle požadavků vaší organizace na zabezpečení a dodržování předpisů.
  • Nasazení služby SQL Managed Instance s podporou arc v režimu přímo Připojení ed poskytuje certifikát spravovaný systémem s funkcemi automatické obměna. V nepřímo Připojení režimu je potřeba ruční zásah k obměně certifikátu spravovaného uživatelem. Při výběru režimu připojení k nasazení zvažte ruční operace a požadavky na zabezpečení.
  • Zvažte potřebu udržovat spravovanou instanci SQL s podporou Arc aktuální s nejnovějšími verzemi bez ohledu na to, jestli jsou nasazené přímo nebo nepřímo Připojení režimu. Další pokyny najdete v oblasti kritického návrhu v disciplínách upgradu.

Strategie monitorování

  • Projděte si disciplíny kritického návrhu oblasti návrhu a naplánujte shromažďování metrik a protokolů z hybridních prostředků do pracovního prostoru služby Log Analytics pro další analýzu, auditování a upozorňování.
  • Seznamte se s nejnižšími oprávněními požadovanými pro instanční objekt k nahrání protokolů a metrik do služby Azure Monitor.

Doporučení k návrhu

Zabezpečení sítě

Správa identit a přístupu

  • Upřednostněte použití ověřování Microsoft Entra k přesměrování správy životního cyklu uživatelů do adresářových služeb a použití skupin zabezpečení v Microsoft Entra ID ke správě uživatelských oprávnění pro přístup k databázi SQL.
  • Pomocí režimu keytab spravovaného systémem pro podporu ověřování Microsoft Entra můžete snížit režijní náklady na správu účtů domény a tabulek klíčů, aby se zjednodušily operace.
  • Pokud se používá ověřování SQL, přijměte silné zásady hesel a povolte auditování pro monitorování identit a oprávnění uživatelů SQL udělených pro přístup k databázovým serverům a databázím.
  • Dedikujte obor názvů Kubernetes pro nasazení kontroleru dat Azure Arc a přiřaďte nejnižší oprávnění k nasazení a správě.
  • Vytvářejte silná hesla pro řídicí panely Grafana a Kibana a nezapomeňte pravidelně auditovat a otáčet.
  • Monitorujte protokol aktivit spravované instance SQL s podporou arc a kontrolerů dat a auditujte různé operace, ke kterým dochází u hybridních prostředků. Vytvářejte výstrahy pro relevantní události a integrujte se s nástroji pro správu událostí (SIEM), jako je Microsoft Sentinel pro monitorování zabezpečení a reakce na incidenty.

Zabezpečení služby SQL Managed Instance s podporou služby Azure Arc

  • Kdykoli je to možné, zvolte přímo Připojení režim nad nepřímo Připojení režimem nasazení datových služeb s podporou služby Azure Arc a služby SQL Managed Instance s podporou Arc, abyste měli jistotu, že získáte všechny aktuální a budoucí výhody funkcí zabezpečení spojené s přímým Připojení režimem.
  • Povolte transparentní šifrování dat, kdykoli je to možné, zašifrujte neaktivní uložená data.
  • Uložte své přihlašovací údaje transparentní šifrování dat na trvalé svazky, aby se zlepšila odolnost.
  • Pomocí funkcí platformy úložiště můžete šifrovat trvalé svazky podle požadavků vaší organizace na zabezpečení a dodržování předpisů.
  • Ujistěte se, že máte nastavené zásady zálohování podle vašich požadavků na zotavení ze ztráty dat. Další pokyny najdete v oblasti návrhu kritické pro provozní kontinuitu a zotavení po havárii.
  • Při nasazování v nepřímo Připojení režimu vytvořte proces pro obměně certifikátu spravovaného uživatelem.
  • Ujistěte se, že máte proces, aby se vaše spravovaná instance SQL s podporou Arc aktualizovala na nejnovější verze nezávisle na režimu připojení.

Strategie monitorování

  • Monitorujte vypršení platnosti přihlašovacích údajů nebo změnu instančního objektu použitého k nahrání metrik a protokolů do Azure.
  • Vytvořte proces pro obměnu přihlašovacích údajů instančního objektu podle požadavků vaší organizace na zabezpečení a dodržování předpisů.

Další kroky

Další informace o cestě k hybridnímu a multicloudovém cloudu najdete v následujících článcích: