Liste de contrôle de la sécurité des bases de données Azure

Pour aider à améliorer la sécurité, les bases de données Azure incluent un nombre de contrôles de sécurité intégrés que vous pouvez utiliser pour limiter et contrôler l’accès.

Les contrôles de sécurité incluent :

• Pare-feu qui vous permet de créer des règles de pare-feu limitant la connectivité par adresse IP
• Pare-feu au niveau du serveur accessible depuis le portail Azure
• Règles de pare-feu au niveau de la base de données accessibles à partir de SSMS
• Connectivité sécurisée à votre base de données avec des chaînes de connexion sécurisées
• Gestion de l’accès des utilisateurs
• Chiffrement des données
• Audit de base de données SQL
• Détection de menaces pour les bases de données SQL

Introduction

Le cloud computing requiert de nouveaux modèles de sécurité avec lesquels de nombreux utilisateurs d’applications, administrateurs de bases de données et programmeurs ne sont pas familiarisés. Par conséquent, certaines organisations hésitent à implémenter une infrastructure de cloud pour la gestion des données en raison des risques de sécurité perçus. Pour une grande part toutefois, ces inquiétudes peuvent être calmées par une meilleure compréhension des fonctionnalités de sécurité intégrées dans Microsoft Azure et Microsoft Azure SQL Database.

Liste de contrôle

Nous vous recommandons de lire l’article Meilleures pratiques en matière de sécurité pour les bases de données Azure avant de passer cette liste de contrôle en revue. Vous pourrez tirer le meilleur parti de cette liste de contrôle après avoir découvert ces meilleures pratiques. Vous pourrez ensuite utiliser cette liste de contrôle pour vous assurer que vous avez géré les problèmes importants en matière de sécurité des bases de données Azure.

Catégorie de la liste de contrôle	Description
Protection les données
Chiffrement en mouvement/transit	Transport Layer Security, pour le chiffrement des données lorsqu’elles se déplacent vers les réseaux. Les bases de données requièrent une communication sécurisée depuis les clients, avec l’utilisation du protocole TDS (Tabular Data Stream) sur le protocole TLS (Transport Layer Security).
Chiffrement au repos	Transparent Data Encryption, lorsque les données inactives sont stockées physiquement dans un format numérique.
Contrôle des accès
Accès à la base de données	L’authentification (authentification Microsoft Entra) AD utilise des identités managées par Microsoft Entra ID. Autorisation, pour accorder aux utilisateurs les privilèges minimum nécessaires.
Accès aux applications	Sécurité au niveau des lignes (avec une stratégie de sécurité, tout en limitant l’accès au niveau des lignes selon l’identité des utilisateurs, leur rôle ou le contexte d’exécution). Masquage des données dynamiques (avec autorisation et stratégie, limite l’exposition des données sensibles en les masquant pour les utilisateurs sans privilège).
Surveillance proactive
Suivi et détection	L’audit suit les événements de base de données et les écrit dans un journal d’audit ou d’activité dans votre compte de stockage Azure. Suivi de l’intégrité des bases de données Azure à l’aide des journaux d’activité Azure Monitor. La détection des menaces permet de détecter les activités base de données anormales indiquant la présence potentielle de menaces de sécurité pour la base de données.
Microsoft Defender pour le cloud	Supervision des données : Utilisez Microsoft Defender pour le cloud comme solution centralisée de supervision de la sécurité pour SQL et d’autres services Azure.

Conclusion

Azure Database est une plateforme robuste de base de données, avec un éventail complet de fonctionnalités de sécurité qui répondent à de nombreuses exigences en matière de conformité réglementaire et organisationnelles. Vous pouvez facilement protéger les données en contrôlant l’accès physique à vos données et à l’aide de diverses options de sécurité des données au niveau des fichiers, des colonnes ou des lignes avec le chiffrement transparent des données, le chiffrement au niveau des cellules ou de la sécurité au niveau des lignes. Always Encrypted active également des opérations sur les données chiffrées, ce qui simplifie le processus des mises à jour d’application. À son tour, l’accès aux journaux d’activité d’audit de l’activité SQL Database vous offre les informations dont vous avez besoin, ce qui vous permet de savoir quand et comment les utilisateurs ont accédé aux données.

Étapes suivantes

Quelques étapes simples suffisent pour améliorer la protection d’une base de données contre les utilisateurs malveillants ou tout accès non autorisé. Ce didacticiel vous apprend à effectuer les opérations suivantes :

• Définissez des règles de pare-feu pour votre serveur ou base de données.
• Protéger vos données à l’aide du chiffrement.
• Activer l’audit Azure SQL Database.