Implementar a segurança para proteger o SQL do Azure

  • 9 minutos

Compreender e gerenciar efetivamente as regras de firewall do servidor e do banco de dados, bem como o Microsoft Defender para SQL, é essencial para garantir a proteção aos recursos do SQL do Azure durante e após a migração.

Configurar regras de firewall de servidor e banco de dados

No Banco de Dados SQL do Azure, você pode configurar regras de firewall tanto no nível do servidor quanto no nível do banco de dados.

Regras de firewall no nível do servidor

As regras de firewall no nível do servidor controlam o acesso ao Banco de Dados SQL do Azure em um nível mais amplo, determinando quais endereços IP podem se conectar ao servidor. Em contraste,

Screenshot of the server rule management through Azure portal.

As regras de firewall no nível do servidor permitem que os usuários se conectem a todos os bancos de dados do servidor, enquanto os firewalls no nível do banco de dados controlam o acesso de endereços IP específicos a bancos de dados individuais.

Você deve configurar as regras de firewall no nível do servidor por meio do portal do Microsoft Azure ou utilizando o procedimento armazenado sp_set_firewall_rule no banco de dados mestre.

Observação

A configuração do servidor Permitir Serviços do Azure e recursos para acessar este servidor é considerada uma única regra de firewall quando habilitada. Por padrão, bloqueie todo o acesso e abra-o somente quando necessário.

Regras de firewall no nível de banco de dados

As regras no nível do banco de dados oferecem um controle mais específico em bancos de dados individuais. Você pode configurar regras de firewall no nível do banco de dados por meio do T-SQL somente utilizando o procedimento armazenado sp_set_database_firewall_rule no banco de dados do usuário.

Ao se conectar, o Banco de Dados SQL do Azure verifica se há uma regra de firewall no nível do banco de dados específica para o nome do banco de dados fornecido. Se essa regra não for encontrada, ele verifica as regras de firewall de IP no nível do servidor, que se aplicam a todos os bancos de dados no servidor. Se qualquer uma das regras existir, a conexão será estabelecida.

Se não houver nenhuma regra e o usuário estiver utilizando o SQL Server Management Studio ou o Azure Data Studio para se conectar, será solicitado que ele crie uma regra de firewall.

Screenshot showing the new firewall rule dialog from SQL Server Management Studio.

Para obter mais informações sobre as regras de firewall em nível de servidor e as regras de firewall em nível de banco de dados, consulte Regras de firewall de IP do Banco de Dados SQL do Azure e do Azure Synapse.

Microsoft Defender para SQL

O Microsoft Defender para SQL é uma solução de segurança abrangente para o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure e o SQL Server na VM do Azure. Ele monitora e avalia continuamente a segurança do seu banco de dados, oferecendo recomendações personalizadas para fortalecê-la.

Também fornece capacidades avançadas de segurança, incluindo Avaliação de vulnerabilidade do SQL e Proteção Avançada contra Ameaças, para proteger proativamente o estado de seus dados. Essa solução completa ajuda você a manter um alto nível de segurança no seu ambiente SQL.

Existem duas maneiras diferentes de você habilitar o Microsoft Defender para SQL.

Método Descrição
Nível de Assinatura (Recomendado) Habilite-o no nível da assinatura para obter proteção abrangente de todos os bancos de dados no Banco de Dados SQL do Azure e da Instância Gerenciada de SQL do Azure. Você pode desabilitá-los individualmente, se precisar.
Nível do recurso Alternativamente, você pode habilitá-la no nível do recurso se preferir gerenciar manualmente a proteção de bancos de dados específicos.

Avaliação de Vulnerabilidades SQL

A avaliação de vulnerabilidade do SQL utiliza uma base de conhecimento de regras com base nas melhores práticas da Microsoft. Ele sinaliza vulnerabilidades de segurança, configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.

Você deve ter duas opções de configuração para a avaliação de Vulnerabilidades no SQL:

  1. Configuração Expressa: é a opção padrão e não exige armazenamento externo para a linha de base e os resultados da verificação.

  2. Configuração Clássica: você precisa gerenciar uma conta de armazenamento do Azure para armazenar dados de linha de base e de resultados de verificações.

Screenshot showing the SQL vulnerability assessment dashboard on Azure portal.

Proteção Avançada contra Ameaças

A Proteção Avançada contra Ameaças aumenta a segurança do SQL do Azure, detectando e respondendo a tentativas de acesso ao banco de dados incomuns ou potencialmente prejudiciais.

Ele fornece alertas de segurança para atividades suspeitas no banco de dados, vulnerabilidades potenciais, ataques de injeção de SQL e padrões de acesso anormais, integrados ao Microsoft Defender para Nuvem. Essa integração oferece insights e ações recomendadas para investigar e mitigar ameaças, tornando-a acessível a não especialistas em segurança.

Screenshot showing the advanced threat protection recommendation list on Azure portal.

Para uma lista de alertas, consulte Alertas para o Banco de Dados SQL e Azure Synapse Analytics no Microsoft Defender para Nuvem.