Udostępnij za pośrednictwem

Lista kontrolna zabezpieczeń bazy danych platformy Azure

  • Artykuł

Aby zwiększyć bezpieczeństwo, usługa Azure Database zawiera wiele wbudowanych mechanizmów kontroli zabezpieczeń, których można użyć do ograniczania i kontrolowania dostępu.

Mechanizmy kontroli zabezpieczeń obejmują:

  • Zapora, która umożliwia tworzenie reguł zapory ograniczających łączność według adresu IP,
  • Zapora na poziomie serwera dostępna w witrynie Azure Portal
  • Reguły zapory na poziomie bazy danych dostępne z programu SSMS
  • Zabezpieczanie łączności z bazą danych przy użyciu bezpiecznych parametry połączenia
  • Korzystanie z zarządzania dostępem
  • Szyfrowanie danych
  • Inspekcja usługi SQL Database
  • Wykrywanie zagrożeń w usłudze SQL Database

Wprowadzenie

Przetwarzanie w chmurze wymaga nowych paradygmatów zabezpieczeń, które są nieznane wielu użytkownikom aplikacji, administratorom baz danych i programistom. W związku z tym niektóre organizacje nie są w stanie zaimplementować infrastruktury chmury do zarządzania danymi ze względu na postrzegane zagrożenia bezpieczeństwa. Jednak wiele z tych problemów można złagodzić, lepiej zrozumieć funkcje zabezpieczeń wbudowane w platformę Microsoft Azure i usługę Microsoft Azure SQL Database.

Lista kontrolna

Zalecamy przeczytanie artykułu Azure Database Security Best Practices (Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Database) przed zapoznaniem się z tą listą kontrolną. Po zapoznaniu się z najlepszymi rozwiązaniami będziesz w stanie jak najlepiej wykorzystać tę listę kontrolną. Następnie możesz użyć tej listy kontrolnej, aby upewnić się, że rozwiązano ważne problemy związane z zabezpieczeniami bazy danych platformy Azure.

Kategoria listy kontrolnej opis
Ochrona danych

Szyfrowanie w ruchu/tranzytie

Szyfrowanie w spoczynku
Kontrola dostępu

Dostęp do bazy danych

Dostęp do aplikacji
  • Zabezpieczenia na poziomie wiersza (używanie zasad zabezpieczeń w tym samym czasie ogranicza dostęp na poziomie wiersza na podstawie tożsamości użytkownika, roli lub kontekstu wykonywania).
  • Dynamiczne maskowanie danych (używanie uprawnień i zasad ogranicza narażenie poufnych danych przez maskowanie ich dla użytkowników niebędących uprzywilejowanymi)
Proaktywne monitorowanie

Śledzenie i wykrywanie
  • Inspekcja śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji/dzienniku aktywności na koncie usługi Azure Storage.
  • Śledzenie kondycji usługi Azure Database przy użyciu dzienników aktywności usługi Azure Monitor.
  • Wykrywanie zagrożeń wykrywa nietypowe działania bazy danych wskazujące potencjalne zagrożenia bezpieczeństwa bazy danych.

Microsoft Defender for Cloud
  • Monitorowanie danych używa Microsoft Defender dla Chmury jako scentralizowanego rozwiązania do monitorowania zabezpieczeń dla programu SQL i innych usług platformy Azure.

Podsumowanie

Usługa Azure Database to niezawodna platforma bazy danych z pełną gamą funkcji zabezpieczeń spełniających wiele wymagań organizacji i zgodności z przepisami. Możesz łatwo chronić dane, kontrolując fizyczny dostęp do danych i korzystając z różnych opcji zabezpieczeń danych na poziomie pliku, kolumny lub wiersza za pomocą funkcji Transparent Data Encryption, szyfrowania na poziomie komórki lub zabezpieczeń na poziomie wiersza. Funkcja Always Encrypted umożliwia również operacje na zaszyfrowanych danych, upraszczając proces aktualizacji aplikacji. Z kolei dostęp do dzienników inspekcji aktywności usługi SQL Database zapewnia potrzebne informacje, dzięki czemu możesz wiedzieć, jak i kiedy są uzyskiwane dostęp do danych.

Następne kroki

W kilku prostych krokach możesz poprawić zabezpieczenia bazy danych, aby chronić ją przed złośliwymi użytkownikami i nieautoryzowanym dostępem. Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności: