Zagadnienia dotyczące zabezpieczeń programu SQL Server w usłudze Azure Virtual Machines
Dotyczy: program SQL Server na maszynie wirtualnej platformy Azure
Ten artykuł zawiera ogólne wytyczne dotyczące zabezpieczeń, które ułatwiają ustanowienie bezpiecznego dostępu do wystąpień programu SQL Server na maszynie wirtualnej platformy Azure.
Platforma Azure jest zgodna z kilkoma branżowymi przepisami i standardami, które umożliwiają tworzenie zgodnego rozwiązania z programem SQL Server uruchomionym na maszynie wirtualnej. Aby uzyskać informacje na temat zgodności z przepisami na platformie Azure, zobacz Azure Trust Center.
Najpierw zapoznaj się z najlepszymi rozwiązaniami w zakresie zabezpieczeń dla maszyn wirtualnych programu SQL Server i platformy Azure, a następnie zapoznaj się z tym artykułem, aby zapoznać się z najlepszymi rozwiązaniami dotyczącymi programu SQL Server na maszynach wirtualnych platformy Azure.
Aby dowiedzieć się więcej na temat najlepszych rozwiązań dotyczących maszyn wirtualnych z programem SQL Server, zobacz inne artykuły z tej serii: Lista kontrolna, rozmiar maszyny wirtualnej, konfiguracja usługi HADR i Zbieranie punktów odniesienia.
Lista kontrolna
Zapoznaj się z poniższą listą kontrolną w tej sekcji, aby zapoznać się z krótkim omówieniem najlepszych rozwiązań w zakresie zabezpieczeń, które opisano w pozostałej części artykułu.
Funkcje i możliwości programu SQL Server zapewniają metody zabezpieczania danych na poziomie bazy danych, które można łączyć z funkcjami zabezpieczeń na poziomie infrastruktury. Te funkcje zapewniają szczegółową ochronę na poziomie infrastruktury dla rozwiązań hybrydowych i opartych na chmurze. Ponadto dzięki środkom zabezpieczeń platformy Azure można szyfrować poufne dane, chronić maszyny wirtualne przed wirusami i złośliwym oprogramowaniem, zabezpieczać ruch sieciowy, identyfikować i wykrywać zagrożenia, spełniać wymagania dotyczące zgodności oraz zapewniać jedną metodę administrowania i raportowania wszelkich potrzeb związanych z zabezpieczeniami w chmurze hybrydowej.
- Użyj Microsoft Defender dla Chmury, aby ocenić i podjąć działania w celu poprawy stanu zabezpieczeń środowiska danych. Możliwości, takie jak Usługa Azure Advanced Threat Protection (ATP), mogą być używane w ramach obciążeń hybrydowych w celu poprawy oceny zabezpieczeń i zapewnienia możliwości reagowania na zagrożenia. Zarejestrowanie maszyny wirtualnej z programem SQL Server przy użyciu rozszerzenia agenta IaaS SQL spowoduje Microsoft Defender dla Chmury oceny w zasobie maszyny wirtualnej SQL w witrynie Azure Portal.
- Usługa Microsoft Defender for SQL umożliwia odnajdywanie i eliminowanie potencjalnych luk w zabezpieczeniach bazy danych, a także wykrywanie nietypowych działań, które mogą wskazywać na zagrożenie dla wystąpienia programu SQL Server i warstwy bazy danych.
- Ocena luk w zabezpieczeniach jest częścią usługi Microsoft Defender for SQL , która umożliwia odnajdywanie i korygowanie potencjalnych zagrożeń dla środowiska programu SQL Server. Zapewnia wgląd w stan zabezpieczeń i obejmuje kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami.
- Używanie poufnych maszyn wirtualnych platformy Azure w celu wzmocnienia ochrony danych w użyciu i przechowywania danych przed dostępem operatora hosta. Poufne maszyny wirtualne platformy Azure umożliwiają pewnie przechowywanie poufnych danych w chmurze i spełnianie rygorystycznych wymagań dotyczących zgodności.
- Jeśli korzystasz z programu SQL Server 2022, rozważ użycie uwierzytelniania Microsoft Entra w celu nawiązania połączenia z wystąpieniem programu SQL Server.
- Usługa Azure Advisor analizuje konfigurację zasobów i dane telemetryczne użycia, a następnie zaleca rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, wysokiej dostępności i zabezpieczeń zasobów platformy Azure. Użyj usługi Azure Advisor na poziomie maszyny wirtualnej, grupy zasobów lub subskrypcji, aby ułatwić identyfikowanie i stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure.
- Użyj usługi Azure Disk Encryption , gdy zgodność i zabezpieczenia wymagają szyfrowania danych za pomocą kluczy szyfrowania, w tym szyfrowania efemerycznego (lokalnie dołączonego tymczasowego) dysku.
- Dyski zarządzane są domyślnie szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage, gdzie klucze szyfrowania są kluczami zarządzanymi przez firmę Microsoft przechowywanymi na platformie Azure.
- Aby zapoznać się z porównaniem opcji szyfrowania dysków zarządzanych, zapoznaj się z wykresem porównania szyfrowania dysków zarządzanych
- Porty zarządzania powinny być zamknięte na maszynach wirtualnych — otwórz porty zarządzania zdalnego, aby uwidocznić maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny.
- Włączanie dostępu just in time (JIT) dla maszyn wirtualnych platformy Azure
- Użyj usługi Azure Bastion za pośrednictwem protokołu RDP (Remote Desktop Protocol).
- Zablokuj porty i zezwalaj tylko na wymagany ruch aplikacji przy użyciu usługi Azure Firewall , która jest zarządzaną zaporą jako usługą (FaaS), która udziela/odmawia dostępu serwera na podstawie źródłowego adresu IP.
- Używanie sieciowych grup zabezpieczeń do filtrowania ruchu sieciowego do i z zasobów platformy Azure w sieciach wirtualnych platformy Azure
- Grupy zabezpieczeń aplikacji umożliwiają grupowanie serwerów wraz z podobnymi wymaganiami dotyczącymi filtrowania portów z podobnymi funkcjami, takimi jak serwery internetowe i serwery baz danych.
- W przypadku serwerów sieci Web i aplikacji ochrona przed rozproszoną odmową usługi (DDoS) platformy Azure. Ataki DDoS są przeznaczone do przeciążenia i wyczerpania zasobów sieciowych, dzięki czemu aplikacje działają wolno lub nie odpowiadają. Często zdarza się, że ataki DDoS są przeznaczone dla interfejsów użytkownika. Usługa Azure DDoS Protection oczyszcza niepożądany ruch sieciowy, zanim wpłynie to na dostępność usługi
- Rozszerzenia maszyn wirtualnych ułatwiają rozwiązywanie problemów z złośliwym oprogramowaniem, żądanym stanem, wykrywaniem zagrożeń, zapobieganiem i korygowaniem w celu rozwiązania zagrożeń na poziomie systemu operacyjnego, maszyny i sieci:
- Rozszerzenie konfiguracji gościa wykonuje operacje inspekcji i konfiguracji wewnątrz maszyn wirtualnych.
- Rozszerzenie maszyny wirtualnej agenta usługi Network Watcher dla systemów Windows i Linux monitoruje wydajność sieci, diagnostykę i usługę analizy, która umożliwia monitorowanie sieci platformy Azure.
- Rozszerzenie microsoft antimalware dla systemu Windows , które pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie z konfigurowalnymi alertami.
- Ocena rozszerzeń innych firm, takich jak Symantec Endpoint Protection dla maszyny wirtualnej z systemem Windows (/azure/virtual-machines/extensions/symantec)
- Użyj usługi Azure Policy , aby utworzyć reguły biznesowe, które można zastosować do danego środowiska. Zasady platformy Azure oceniają zasoby platformy Azure, porównując właściwości tych zasobów z regułami zdefiniowanymi w formacie JSON.
- Usługa Azure Blueprints umożliwia architektom chmury i centralnym grupom technologii informatycznych zdefiniowanie powtarzalnego zestawu zasobów platformy Azure, który implementuje standardy, wzorce i wymagania organizacji oraz jest z nimi zgodny. Usługa Azure Blueprints różni się od zasad platformy Azure.
- Użyj systemu Windows Server 2019 lub Windows Server 2022 do zapewnienia zgodności ze standardem FIPS z programem SQL Server na maszynach wirtualnych platformy Azure.
Aby uzyskać więcej informacji na temat najlepszych rozwiązań w zakresie zabezpieczeń, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń programu SQL Server i Zabezpieczanie programu SQL Server.
Usługa Microsoft Defender for SQL na maszynach
Microsoft Defender dla Chmury to ujednolicony system zarządzania zabezpieczeniami, który ma na celu ocenę i zapewnienie możliwości poprawy stanu zabezpieczeń środowiska danych. Usługa Microsoft Defender oferuje usługę Microsoft Defender for SQL w zakresie ochrony maszyn dla programu SQL Server na maszynach wirtualnych platformy Azure. Usługa Microsoft Defender for SQL umożliwia odnajdywanie i eliminowanie potencjalnych luk w zabezpieczeniach bazy danych oraz wykrywanie nietypowych działań, które mogą wskazywać na zagrożenie dla wystąpienia programu SQL Server i warstwy bazy danych.
Usługa Microsoft Defender for SQL oferuje następujące korzyści:
- Oceny luk w zabezpieczeniach umożliwiają odnajdywanie i korygowanie potencjalnych zagrożeń dla środowiska programu SQL Server. Zapewnia wgląd w stan zabezpieczeń i obejmuje kroki umożliwiające podejmowanie działań w celu rozwiązania problemów z zabezpieczeniami.
- Użyj wskaźnika zabezpieczeń w Microsoft Defender dla Chmury.
- Zapoznaj się z listą dostępnych obecnie zaleceń dotyczących zasobów obliczeniowych i danych, aby uzyskać więcej informacji.
- Zarejestrowanie maszyny wirtualnej programu SQL Server przy użyciu rozszerzenia agenta IaaS programu SQL Server przedstawia zalecenia usługi Microsoft Defender for SQL dotyczące zasobu maszyn wirtualnych SQL w witrynie Azure Portal.
Portal zarządzania
Po zarejestrowaniu maszyny wirtualnej z programem SQL Server za pomocą rozszerzenia agenta IaaS sql można skonfigurować szereg ustawień zabezpieczeń przy użyciu zasobu maszyn wirtualnych SQL w witrynie Azure Portal, na przykład włączenia integracji z usługą Azure Key Vault lub uwierzytelniania SQL.
Ponadto po włączeniu usługi Microsoft Defender for SQL na maszynach można wyświetlać funkcje Defender dla Chmury bezpośrednio w zasobie maszyn wirtualnych SQL w witrynie Azure Portal, takie jak oceny luk w zabezpieczeniach i alerty zabezpieczeń.
Aby dowiedzieć się więcej, zobacz zarządzanie maszyną wirtualną z programem SQL Server w portalu .
Poufne maszyny wirtualne
Poufne maszyny wirtualne platformy Azure zapewniają silną granicę wymuszaną przez sprzęt, która wzmacnia ochronę systemu operacyjnego gościa przed dostępem operatora hosta. Wybranie poufnego rozmiaru maszyny wirtualnej dla programu SQL Server na maszynie wirtualnej platformy Azure zapewnia dodatkową warstwę ochrony, dzięki czemu możesz bezpiecznie przechowywać poufne dane w chmurze i spełniać ścisłe wymagania dotyczące zgodności.
Poufne maszyny wirtualne platformy Azure korzystają z procesorów AMD z technologią SEV-SNP , która szyfruje pamięć maszyny wirtualnej przy użyciu kluczy generowanych przez procesor. Pomaga to chronić dane, gdy są używane (dane przetwarzane wewnątrz pamięci procesu programu SQL Server) przed nieautoryzowanym dostępem z systemu operacyjnego hosta. Dysk systemu operacyjnego poufnej maszyny wirtualnej można również zaszyfrować przy użyciu kluczy powiązanych z mikroukładem modułu TPM (Trusted Platform Module) maszyny wirtualnej, zwiększając ochronę danych magazynowanych.
Aby uzyskać szczegółowe instrukcje wdrażania, zobacz Szybki start: wdrażanie programu SQL Server na poufnej maszynie wirtualnej.
Zalecenia dotyczące szyfrowania dysków różnią się w przypadku poufnych maszyn wirtualnych niż w przypadku innych rozmiarów maszyn wirtualnych. Zobacz szyfrowanie dysków, aby dowiedzieć się więcej.
Uwierzytelnianie Microsoft Entra
Począwszy od programu SQL Server 2022, można nawiązać połączenie z programem SQL Server przy użyciu dowolnej z następujących metod uwierzytelniania z identyfikatorem Microsoft Entra ID (dawniej Azure Active Directory):
- Hasło oferuje uwierzytelnianie przy użyciu poświadczeń usługi Microsoft Entra
- Usługa Universal with MFA dodaje uwierzytelnianie wieloskładnikowe
- Zintegrowane używa dostawców federacyjnych, takich jak Active Directory Federation Services (ADFS), aby włączyć środowiska logowania jednokrotnego
- Jednostka usługi umożliwia uwierzytelnianie z aplikacji platformy Azure
- Tożsamość zarządzana umożliwia uwierzytelnianie z aplikacji przypisanych tożsamości firmy Microsoft
Aby rozpocząć, zapoznaj się z artykułem Configure Microsoft Entra authentication for your SQL Server VM (Konfigurowanie uwierzytelniania firmy Microsoft dla maszyny wirtualnej z programem SQL Server).
Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane telemetryczne użycia, a następnie zaleca rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, wysokiej dostępności i zabezpieczeń zasobów platformy Azure. Usługa Azure Advisor może ocenić maszynę wirtualną, grupę zasobów lub poziom subskrypcji.
Integracja magazynu kluczy Azure
Istnieje wiele funkcji szyfrowania programu SQL Server, takich jak transparent data encryption (TDE), szyfrowanie na poziomie kolumny (CLE) i szyfrowanie kopii zapasowych. Te formy szyfrowania wymagają zarządzania kluczami kryptograficznymi używanymi do szyfrowania i przechowywania ich. Usługa Azure Key Vault została zaprojektowana w celu poprawy bezpieczeństwa i zarządzania tymi kluczami w bezpiecznej i wysokiej dostępności. Łącznik programu SQL Server umożliwia programowi SQL Server używanie tych kluczy z usługi Azure Key Vault.
Rozważ następujące źródła:
- Usługa Azure Key Vault przechowuje wpisy tajne aplikacji w scentralizowanej lokalizacji w chmurze w celu bezpiecznego kontrolowania uprawnień dostępu i oddzielnego rejestrowania dostępu.
- W przypadku dodawania własnych kluczy na platformę Azure zaleca się przechowywanie wpisów tajnych i certyfikatów w usłudze Azure Key Vault.
- Usługa Azure Disk Encryption używa usługi Azure Key Vault do kontrolowania kluczy szyfrowania dysków i wpisów tajnych oraz zarządzania nimi.
Kontrola dostępu
Podczas tworzenia maszyny wirtualnej programu SQL Server z obrazem galerii platformy Azure opcja Łączność z programem SQL Server umożliwia wybranie opcji Lokalna (wewnątrz maszyny wirtualnej), Prywatna (w ramach sieci wirtualnej) lub Publiczna (Internet).
Aby uzyskać najlepsze zabezpieczenia, wybierz najbardziej restrykcyjną opcję dla danego scenariusza. Jeśli na przykład korzystasz z aplikacji, która uzyskuje dostęp do programu SQL Server na tej samej maszynie wirtualnej, jest to najbezpieczniejszy wybór. Jeśli używasz aplikacji platformy Azure, która wymaga dostępu do programu SQL Server, prywatna zabezpiecza komunikację z programem SQL Server tylko w ramach określonej sieci wirtualnej platformy Azure. Jeśli potrzebujesz publicznego (Internet) dostępu do maszyny wirtualnej z programem SQL Server, postępuj zgodnie z innymi najlepszymi rozwiązaniami w tym temacie, aby zmniejszyć obszar obszaru podatnego na ataki.
Wybrane opcje w portalu używają reguł zabezpieczeń dla ruchu przychodzącego w sieciowej grupie zabezpieczeń (NSG) maszyny wirtualnej, aby zezwolić na ruch sieciowy do maszyny wirtualnej lub go zablokować. Możesz zmodyfikować lub utworzyć nowe reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego, aby zezwolić na ruch do portu programu SQL Server (domyślnie 1433). Można również określić określone adresy IP, które mogą komunikować się za pośrednictwem tego portu.
Oprócz reguł sieciowej grupy zabezpieczeń w celu ograniczenia ruchu sieciowego można również użyć Zapory systemu Windows na maszynie wirtualnej.
Jeśli używasz punktów końcowych z klasycznym modelem wdrażania, usuń wszystkie punkty końcowe na maszynie wirtualnej, jeśli ich nie używasz. Aby uzyskać instrukcje dotyczące używania list ACL z punktami końcowymi, zobacz Zarządzanie listą ACL w punkcie końcowym. Nie jest to konieczne w przypadku maszyn wirtualnych korzystających z usługi Azure Resource Manager.
Rozważ włączenie szyfrowanych połączeń dla wystąpienia aparatu bazy danych programu SQL Server na maszynie wirtualnej platformy Azure. Skonfiguruj wystąpienie programu SQL Server przy użyciu podpisanego certyfikatu. Aby uzyskać więcej informacji, zobacz Włączanie szyfrowanych połączeń z aparatem bazy danych i składnią parametrów połączenia.
Podczas zabezpieczania łączności sieciowej lub obwodowej należy wziąć pod uwagę następujące kwestie:
- Azure Firewall — stanowa, zarządzana zapora jako usługa (FaaS), która przyznaje/odmawia dostępu do serwera na podstawie źródłowego adresu IP w celu ochrony zasobów sieciowych.
- Ochrona przed rozproszoną odmową usługi (DDoS) — ataki DDoS przeciążają i wyczerpują zasoby sieciowe, co spowalnia lub nie odpowiada aplikacjom. Usługa Azure DDoS Protection oczyszcza niepożądany ruch sieciowy, zanim wpłynie to na dostępność usługi.
- Sieciowe grupy zabezpieczeń — filtruje ruch sieciowy do i z zasobów platformy Azure w sieciach wirtualnych platformy Azure
- Grupy zabezpieczeń aplikacji — umożliwia grupowanie serwerów z podobnymi wymaganiami dotyczącymi filtrowania portów i grupowanie serwerów z podobnymi funkcjami, takimi jak serwery internetowe.
Szyfrowanie dysków
Ta sekcja zawiera wskazówki dotyczące szyfrowania dysków, ale zalecenia różnią się w zależności od tego, czy wdrażasz konwencjonalny program SQL Server na maszynie wirtualnej platformy Azure, czy program SQL Server na poufnej maszynie wirtualnej platformy Azure.
Konwencjonalne maszyny wirtualne
Dyski zarządzane wdrożone na maszynach wirtualnych, które nie są poufnymi maszynami wirtualnymi platformy Azure, używają szyfrowania po stronie serwera i usługi Azure Disk Encryption. Szyfrowanie po stronie serwera zapewnia szyfrowanie magazynowane i zabezpiecza dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Usługa Azure Disk Encryption używa technologii BitLocker lub DM-Crypt i integruje się z usługą Azure Key Vault w celu szyfrowania zarówno dysków systemu operacyjnego, jak i danych.
Rozważ następujące źródła:
- Azure Disk Encryption — szyfruje dyski maszyn wirtualnych przy użyciu usługi Azure Disk Encryption zarówno dla maszyn wirtualnych z systemem Windows, jak i Linux.
- Jeśli wymagania dotyczące zgodności i zabezpieczeń wymagają szyfrowania danych za pomocą kluczy szyfrowania, w tym szyfrowania efemerycznego (lokalnie dołączonego tymczasowego) dysku, użyj szyfrowania dysków platformy Azure.
- Usługa Azure Disk Encryption (ADE) korzysta ze standardowej w branży funkcji BitLocker systemu Windows i funkcji DM-Crypt systemu Linux w celu zapewnienia szyfrowania systemu operacyjnego i dysku danych.
- Szyfrowanie dysków zarządzanych
- Dyski zarządzane są domyślnie szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage, gdzie klucze szyfrowania są kluczami zarządzanymi przez firmę Microsoft przechowywanymi na platformie Azure.
- Dane na dyskach zarządzanych platformy Azure są szyfrowane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2.
- Aby zapoznać się z porównaniem opcji szyfrowania dysków zarządzanych, zapoznaj się z wykresem porównania szyfrowania dysków zarządzanych.
Poufne maszyny wirtualne platformy Azure
Jeśli używasz poufnej maszyny wirtualnej platformy Azure, rozważ następujące zalecenia, aby zmaksymalizować korzyści zabezpieczeń:
- Skonfiguruj poufne szyfrowanie dysków systemu operacyjnego, które wiąże klucze szyfrowania dysku systemu operacyjnego z mikroukładem modułu TPM (Trusted Platform Module) maszyny wirtualnej i udostępnia chronioną zawartość dysku tylko maszynie wirtualnej.
- Zaszyfruj dyski danych (wszystkie dyski zawierające pliki bazy danych, pliki dziennika lub pliki kopii zapasowej) za pomocą funkcji BitLocker i włącz automatyczne odblokowywanie — przejrzyj artykuł Manage-bde autounlock lub EnableBitLockerAutoUnlock , aby uzyskać więcej informacji. Automatyczne odblokowywanie gwarantuje, że klucze szyfrowania są przechowywane na dysku systemu operacyjnego. W połączeniu z poufnym szyfrowaniem dysku systemu operacyjnego chroni dane przechowywane na dyskach maszyn wirtualnych przed nieautoryzowanym dostępem hosta.
Zaufane uruchamianie
Podczas wdrażania maszyny wirtualnej generacji 2 jest dostępna opcja włączenia zaufanego uruchamiania, która chroni przed zaawansowanymi i trwałymi technikami ataków.
Po zaufanym uruchomieniu można wykonywać następujące czynności:
- Bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych modułów ładujących rozruchu, jąder systemu operacyjnego i sterowników.
- Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.
- Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.
- Upewnij się, że obciążenia są zaufane i weryfikowalne.
Następujące funkcje nie są obecnie obsługiwane po włączeniu zaufanego uruchamiania dla programu SQL Server na maszynach wirtualnych platformy Azure:
- Azure Site Recovery
- Dyski w warstwie Ultra
- Obrazy zarządzane
- Zagnieżdżone wirtualizacji
Zarządzanie kontami
Nie chcesz, aby osoby atakujące łatwo odgadły nazwy kont ani hasła. Skorzystaj z poniższych wskazówek, aby uzyskać pomoc:
Utwórz unikatowe konto administratora lokalnego, które nie ma nazwy Administrator.
Używaj złożonych silnych haseł dla wszystkich kont. Aby uzyskać więcej informacji na temat tworzenia silnego hasła, zobacz Artykuł Tworzenie silnego hasła .
Domyślnie platforma Azure wybiera opcję Uwierzytelnianie systemu Windows podczas konfigurowania maszyny wirtualnej programu SQL Server. W związku z tym logowanie przy użyciu programu SA jest wyłączone, a hasło jest przypisywane przez instalatora. Zalecamy, aby nazwa logowania administratora usługi nie była używana ani włączona. Jeśli musisz mieć identyfikator logowania SQL, użyj jednej z następujących strategii:
Utwórz konto SQL o unikatowej nazwie, która ma członkostwo sysadmin . Można to zrobić w portalu, włączając uwierzytelnianie SQL podczas aprowizacji.
Napiwek
Jeśli podczas aprowizacji nie włączysz uwierzytelniania SQL, musisz ręcznie zmienić tryb uwierzytelniania na program SQL Server i tryb uwierzytelniania systemu Windows. Aby uzyskać więcej informacji, zobacz Zmienianie trybu uwierzytelniania serwera.
Jeśli musisz użyć nazwy logowania zabezpieczeń , włącz logowanie po aprowizacji i przypisz nowe silne hasło.
Uwaga
Nawiązywanie połączenia z maszyną wirtualną z programem SQL Server przy użyciu usług Microsoft Entra Domain Services nie jest obsługiwane — zamiast tego użyj konta domeny usługi Active Directory.
Inspekcja i raportowanie
Inspekcja przy użyciu zdarzeń i zapisów w dzienniku inspekcji na bezpiecznym koncie usługi Azure Blob Storage jest zapisywana w dzienniku inspekcji. Usługa Log Analytics może służyć do odszyfrowania szczegółów dzienników inspekcji. Inspekcja umożliwia zapisywanie danych na osobnym koncie magazynu i tworzenie dziennika inspekcji wszystkich wybranych zdarzeń. Możesz również wykorzystać usługę Power BI w dzienniku inspekcji w celu szybkiego analizowania i wglądu w szczegółowe informacje o danych, a także w celu zapewnienia wglądu w zgodność z przepisami. Aby dowiedzieć się więcej na temat inspekcji na poziomach maszyn wirtualnych i platformy Azure, zobacz Rejestrowanie i inspekcja zabezpieczeń platformy Azure.
Dostęp na poziomie maszyny wirtualnej
Zamknij porty zarządzania na maszynie — otwarte porty zdalnego zarządzania uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny.
- Włącz dostęp just in time (JIT) dla maszyn wirtualnych platformy Azure.
- Korzystanie z usługi Azure Bastion za pośrednictwem protokołu RDP (Remote Desktop Protocol).
Rozszerzenia maszyny wirtualnej
Rozszerzenia maszyny wirtualnej platformy Azure są zaufanymi rozszerzeniami firmy Microsoft lub innych firm, które mogą pomóc w zaspokajaniu określonych potrzeb i zagrożeń, takich jak oprogramowanie antywirusowe, złośliwe oprogramowanie, ochrona przed zagrożeniami i nie tylko.
- Rozszerzenie konfiguracji gościa
- Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa.
- Ustawienia gościa obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska.
- Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona".
- Agent zbierania danych ruchu sieciowego
- Microsoft Defender dla Chmury używa agenta Zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure.
- Ten agent umożliwia zaawansowane funkcje ochrony sieci, takie jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.
- Oceń rozszerzenia firmy Microsoft i innych firm w celu rozwiązania problemów z złośliwym oprogramowaniem, żądanym stanem, wykrywaniem zagrożeń, zapobieganiem i korygowaniem w celu rozwiązania zagrożeń na poziomie systemu operacyjnego, maszyny i sieci.
Zgodność ze standardem FIPS
FIPS to amerykański standard rządowy, który definiuje minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Program SQL Server może być zgodny ze standardem FIPS w programie SQL Server 2016 lub nowszym lub programie SQL Server 2014 z rozszerzonymi aktualizacjami zabezpieczeń.
Aby zapewnić zgodność ze standardem FIPS z programem SQL Server na maszynach wirtualnych platformy Azure, powinien być w systemie Windows Server 2022, który domyślnie ma włączony standard FIPS. System Windows Server 2019 może być również zgodny ze standardem FIPS, jeśli program FIPS jest ręcznie włączony przy użyciu zasad określonych w przewodniku implementacji technicznej zabezpieczeń (STIG) odnajdywania V-93511.
Program SQL Server nie jest obecnie zgodny ze standardem FIPS na maszynach wirtualnych platformy Azure z systemem Linux.
Powiązana zawartość
Zapoznaj się z najlepszymi rozwiązaniami w zakresie zabezpieczeń dla maszyn wirtualnych programu SQL Server i platformy Azure, a następnie zapoznaj się z tym artykułem, aby zapoznać się z najlepszymi rozwiązaniami dotyczącymi programu SQL Server na maszynach wirtualnych platformy Azure.
Inne tematy dotyczące uruchamiania programu SQL Server na maszynach wirtualnych platformy Azure można znaleźć w temacie Sql Server on Azure Virtual Machines overview (Omówienie programu SQL Server na maszynach wirtualnych platformy Azure). Jeśli masz pytania dotyczące maszyn wirtualnych programu SQL Server, zobacz Często zadawane pytania.
Aby dowiedzieć się więcej, zobacz inne artykuły z tej serii najlepszych rozwiązań: