Zabezpieczanie usługi Azure SQL Edge
Ważne
Usługa Azure SQL Edge zostanie wycofana 30 września 2025 r. Aby uzyskać więcej informacji i opcji migracji, zobacz powiadomienie o wycofaniu.
Uwaga
Usługa Azure SQL Edge nie obsługuje już platformy ARM64.
Wraz ze wzrostem wdrażania obliczeń IoT i Edge w różnych branżach istnieje wzrost liczby urządzeń i danych generowanych na podstawie tych urządzeń. Zwiększona ilość danych i liczba punktów końcowych urządzeń stanowią znaczące wyzwanie w zakresie bezpieczeństwa danych i urządzeń.
Usługa Azure SQL Edge oferuje wiele funkcji i możliwości, które ułatwiają stosunkowo łatwiejsze zabezpieczanie danych IoT w bazach danych programu SQL Server. Usługa Azure SQL Edge jest tworzona przy użyciu tego samego aparatu bazy danych, który obsługuje program Microsoft SQL Server i usługę Azure SQL, udostępniając te same funkcje zabezpieczeń, co ułatwia rozszerzanie tych samych zasad zabezpieczeń i praktyk z chmury na brzeg.
Podobnie jak w przypadku programów Microsoft SQL Server i Azure SQL, zabezpieczanie wdrożeń usługi Azure SQL Edge można wyświetlić jako serię kroków obejmujących cztery obszary: platformę, uwierzytelnianie, obiekty (w tym dane) i aplikacje uzyskujące dostęp do systemu.
Zabezpieczenia platformy i systemu
Platforma usługi Azure SQL Edge obejmuje fizyczny host platformy Docker, system operacyjny na hoście oraz systemy sieciowe łączące urządzenie fizyczne z aplikacjami i klientami.
Implementowanie zabezpieczeń platformy rozpoczyna się od utrzymywania nieautoryzowanych użytkowników poza siecią. Oto niektóre z najlepszych rozwiązań, ale nie są ograniczone do następujących elementów:
- Implementowanie reguł zapory w celu zapewnienia zasad zabezpieczeń organizacji.
- Upewnij się, że system operacyjny na urządzeniu fizycznym ma zastosowane wszystkie najnowsze aktualizacje zabezpieczeń.
- Określanie i ograniczanie portów hosta używanych w usłudze Azure SQL Edge
- Zapewnienie, że prawidłowa kontrola dostępu jest stosowana do wszystkich woluminów danych hostujących dane usługi Azure SQL Edge.
Aby uzyskać więcej informacji na temat protokołów sieciowych i punktów końcowych TDS usługi Azure SQL Edge, zobacz Protokoły sieciowe i punkty końcowe TDS.
Uwierzytelnianie i autoryzacja
Authentication
Uwierzytelnianie to proces potwierdzania, że użytkownik jest tym, za kogo się podaje. Usługa Azure SQL Edge obecnie obsługuje SQL Authentication tylko mechanizm.
Uwierzytelnianie SQL:
Uwierzytelnianie SQL odnosi się do uwierzytelniania użytkownika podczas nawiązywania połączenia z usługą Azure SQL Edge przy użyciu nazwy użytkownika i hasła. Podczas wdrażania usługi SQL Edge należy określić hasło logowania sa . Następnie można utworzyć dodatkowe identyfikatory logowania SQL i użytkowników przez administratora serwera, co umożliwia użytkownikom łączenie się przy użyciu nazwy użytkownika i hasła.
Aby uzyskać więcej informacji na temat tworzenia identyfikatorów logowania i użytkowników w programie SQL Edge i zarządzania nimi, zobacz Tworzenie identyfikatora logowania i tworzenie użytkownika bazy danych.
Autoryzacja
Autoryzacja odnosi się do uprawnień przypisanych do użytkownika w bazie danych w usłudze Azure SQL Edge i określa, co użytkownik może zrobić. Uprawnienia są kontrolowane przez dodanie kont użytkowników do ról bazy danych i przypisanie uprawnień na poziomie bazy danych do tych ról lub przyznanie użytkownikowi pewnych uprawnień na poziomie obiektu. Aby uzyskać więcej informacji, zobacz Logowanie i użytkownicy.
Najlepszym rozwiązaniem jest utworzenie ról niestandardowych w razie potrzeby. Dodaj użytkowników do roli z najmniejszymi uprawnieniami wymaganymi do wykonywania zadań. Nie przypisuj uprawnień bezpośrednio do użytkowników. Konto administratora serwera jest członkiem wbudowanej roli db_owner, która ma szerokie uprawnienia i powinna być udzielana tylko niewielu użytkownikom z obowiązkami administracyjnymi. W przypadku aplikacji użyj funkcji EXECUTE AS , aby określić kontekst wykonywania wywoływanego modułu lub użyć ról aplikacji z ograniczonymi uprawnieniami. Dzięki temu aplikacja, która łączy się z bazą danych, ma najmniejsze uprawnienia wymagane przez aplikację. Stosowanie tych najlepszych rozwiązań sprzyja również rozdzieleniu obowiązków.
Zabezpieczenia obiektów bazy danych
Podmioty zabezpieczeń to osoby, grupy i procesy, którym udzielono dostępu do usługi SQL Edge. "Zabezpieczane" to serwer, baza danych i obiekty, które zawiera baza danych. Każdy z nich ma zestaw uprawnień, które można skonfigurować w celu zmniejszenia obszaru powierzchni. Poniższa tabela zawiera informacje o podmiotach zabezpieczeń i zabezpieczaniach.
| Aby uzyskać informacje o | Zobacz |
|---|---|
| Użytkownicy serwera i bazy danych, role i procesy | Aparat bazy danych podmiotów zabezpieczeń |
| Zabezpieczenia obiektów serwera i bazy danych | Zabezpieczane |
Szyfrowanie i certyfikaty
Szyfrowanie nie rozwiązuje problemów z kontrolą dostępu. Zwiększa to jednak bezpieczeństwo, ograniczając utratę danych nawet w rzadkich przypadkach pomijania kontroli dostępu. Jeśli na przykład komputer hosta bazy danych jest nieprawidłowo skonfigurowany, a złośliwy użytkownik uzyskuje poufne dane, takie jak numery kart kredytowych, skradzione informacje mogą być bezużyteczne, jeśli są szyfrowane. Poniższa tabela zawiera więcej informacji na temat szyfrowania w usłudze Azure SQL Edge.
| Aby uzyskać informacje o | Zobacz |
|---|---|
| Implementowanie bezpiecznych połączeń | Szyfrowanie połączeń |
| Funkcje szyfrowania | Funkcje kryptograficzne (Transact-SQL) |
| Szyfrowanie danych magazynowanych | Transparent Data Encryption |
| Zawsze szyfrowane | Zawsze szyfrowane |
Uwaga
Ograniczenia zabezpieczeń opisane dla programu SQL Server w systemie Linux dotyczą również usługi Azure SQL Edge.
Uwaga
Usługa Azure SQL Edge nie zawiera narzędzia mssql-conf . Wszystkie konfiguracje, w tym konfiguracja związana z szyfrowaniem, muszą być wykonywane za pomocą pliku mssql.conf lub zmiennych środowiskowych.
Podobnie jak w przypadku usług Azure SQL i Microsoft SQL Server, usługa Azure SQL Edge udostępnia ten sam mechanizm tworzenia i używania certyfikatów w celu ulepszenia zabezpieczeń obiektów i połączeń. Aby uzyskać więcej informacji, zobacz CREATE CERTIFICATE (TRANSACT-SQL).
Zabezpieczenia aplikacji
Programy klienckie
Najlepsze rozwiązania w zakresie zabezpieczeń usługi Azure SQL Edge obejmują pisanie bezpiecznych aplikacji klienckich. Aby uzyskać więcej informacji na temat zabezpieczania aplikacji klienckich w warstwie sieciowej, zobacz Konfiguracja sieci klienta.
Widoki i funkcje wykazu zabezpieczeń
Informacje o zabezpieczeniach są udostępniane w kilku widokach i funkcjach zoptymalizowanych pod kątem wydajności i narzędzia. Poniższa tabela zawiera informacje o widokach zabezpieczeń i funkcjach w usłudze Azure SQL Edge.
| Funkcje i widoki | Linki |
|---|---|
| Widoki wykazu zabezpieczeń, które zwracają informacje o uprawnieniach na poziomie bazy danych i na poziomie serwera, podmiotach zabezpieczeń, rolach itd. Ponadto istnieją widoki wykazu, które udostępniają informacje o kluczach szyfrowania, certyfikatach i poświadczeniach. | Widoki wykazu zabezpieczeń (Transact-SQL) |
| Funkcje zabezpieczeń, które zwracają informacje o bieżącym użytkowniku, uprawnieniach i schematach. | Funkcje zabezpieczeń (Transact-SQL) |
| Dynamiczne widoki zarządzania zabezpieczeniami. | Dynamiczne widoki i funkcje zarządzania związane z zabezpieczeniami (Transact-SQL) |
Inspekcja
Usługa Azure SQL Edge udostępnia te same mechanizmy inspekcji co program SQL Server. Aby uzyskać więcej informacji, zobacz Inspekcja programu SQL Server (aparat bazy danych).