Proteja o Azure SQL Edge
Importante
O Azure SQL Edge será desativado em 30 de setembro de 2025. Para obter mais informações e opções de migração, consulte o Aviso de aposentadoria.
Nota
O Azure SQL Edge não suporta mais a plataforma ARM64.
Com o aumento na adoção de IoT e Edge computing em todos os setores, há um aumento no número de dispositivos e nos dados gerados a partir desses dispositivos. O aumento do volume de dados e do número de terminais de dispositivos representa um desafio significativo em termos de segurança dos dados e dos dispositivos.
O Azure SQL Edge oferece vários recursos e capacidades que tornam relativamente mais fácil proteger os dados da IoT nos bancos de dados do SQL Server. O Azure SQL Edge é criado usando o mesmo Mecanismo de Banco de Dados que alimenta o Microsoft SQL Server e o Azure SQL, compartilhando os mesmos recursos de segurança, o que facilita a extensão das mesmas políticas e práticas de segurança da nuvem para a borda.
Assim como o Microsoft SQL Server e o Azure SQL, proteger as implantações do Azure SQL Edge pode ser visto como uma série de etapas envolvendo quatro áreas: a plataforma, a autenticação, os objetos (incluindo dados) e os aplicativos que acessam o sistema.
Segurança da plataforma e do sistema
A plataforma para o Azure SQL Edge inclui o host Docker físico, o sistema operacional no host e os sistemas de rede que conectam o dispositivo físico a aplicativos e clientes.
A implementação da segurança da plataforma começa com a manutenção de usuários não autorizados fora da rede. Algumas das melhores práticas incluem, mas não estão limitadas a:
- Implementação de regras de firewall para garantir a política de segurança organizacional.
- Verifique se o sistema operacional do dispositivo físico tem todas as atualizações de segurança mais recentes aplicadas.
- Especificando e restringindo portas de host que estão usando para o Azure SQL Edge
- Garantir que o controle de acesso adequado seja aplicado a todos os volumes de dados que hospedam dados do Azure SQL Edge.
Para obter mais informações sobre protocolos de rede do Azure SQL Edge e pontos de extremidade TDS, consulte Protocolos de Rede e Pontos de Extremidade TDS.
Autenticação e autorização
Autenticação
A autenticação é o processo de provar que o utilizador é quem diz ser. Atualmente, o SQL Edge do Azure dá suporte apenas ao SQL Authentication mecanismo.
Autenticação SQL:
A autenticação SQL refere-se à autenticação de um usuário ao se conectar ao Azure SQL Edge usando nome de usuário e senha. A senha de logon do SQL sa deve ser especificada durante a implantação do SQL Edge. Depois disso, logins SQL adicionais e usuários podem ser criados pelo administrador do servidor, que permitem que os usuários se conectem usando nome de usuário e senha.
Para obter mais informações sobre como criar e gerenciar logons e usuários no SQL Edge, consulte Criar um logon e Criar usuário de banco de dados.
Autorização
Autorização refere-se às permissões atribuídas a um usuário em um banco de dados no Azure SQL Edge e determina o que o usuário tem permissão para fazer. As permissões são controladas adicionando contas de usuário a funções de banco de dados e atribuindo permissões no nível do banco de dados a essas funções ou concedendo ao usuário determinadas permissões no nível do objeto. Para obter mais informações, consulte Logins e usuários.
Como prática recomendada, crie funções personalizadas quando necessário. Adicione usuários à função com o mínimo de privilégios necessários para executar sua função de trabalho. Não atribua permissões diretamente aos usuários. A conta de administrador do servidor é um membro da função db_owner interna, que tem permissões extensas e só deve ser concedida a alguns usuários com tarefas administrativas. Para aplicativos, use o EXECUTE AS para especificar o contexto de execução do módulo chamado ou use Funções de Aplicativo com permissões limitadas. Essa prática garante que o aplicativo que se conecta ao banco de dados tenha o mínimo de privilégios necessários para o aplicativo. Seguir estas boas práticas também promove a separação de funções.
Segurança de objeto de banco de dados
Os principais são os indivíduos, grupos e processos aos quais é concedido acesso ao SQL Edge. "Protegíveis" são o servidor, o banco de dados e os objetos que o banco de dados contém. Cada um tem um conjunto de permissões que podem ser configuradas para ajudar a reduzir a área de superfície. A tabela a seguir contém informações sobre entidades de segurança e protegíveis.
| Para obter informações sobre | Consulte |
|---|---|
| Usuários, funções e processos de servidor e banco de dados | Mecanismo de Banco de Dados de Entidades |
| Segurança de objetos de servidor e banco de dados | Protegíveis |
Criptografia e certificados
A criptografia não resolve problemas de controle de acesso. No entanto, aumenta a segurança, limitando a perda de dados, mesmo na rara ocorrência em que os controles de acesso são ignorados. Por exemplo, se o computador host do banco de dados estiver configurado incorretamente e um usuário mal-intencionado obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas podem ser inúteis se forem criptografadas. A tabela a seguir contém mais informações sobre criptografia no Azure SQL Edge.
| Para obter informações sobre | Consulte |
|---|---|
| Implementando conexões seguras | Criptografando conexões |
| Funções de encriptação | Funções criptográficas (Transact-SQL) |
| Criptografia de dados em repouso | Encriptação de Dados Transparente |
| Always Encrypted | Always Encrypted |
Nota
As limitações de segurança descritas para o SQL Server no Linux também se aplicam ao Azure SQL Edge.
Nota
O Azure SQL Edge não inclui o utilitário mssql-conf . Todas as configurações, incluindo a configuração relacionada à criptografia, precisam ser executadas por meio do arquivo mssql.conf ou variáveis de ambiente.
Semelhante ao Azure SQL e ao Microsoft SQL Server, o Azure SQL Edge fornece o mesmo mecanismo para criar e usar certificados para aprimorar a segurança de objetos e conexões. Para obter mais informações, consulte CREATE CERTIFICATE (TRANSACT-SQL).
Segurança de aplicações
Programas cliente
As práticas recomendadas de segurança do Azure SQL Edge incluem a escrita de aplicativos cliente seguros. Para obter mais informações sobre como ajudar a proteger aplicativos cliente na camada de rede, consulte Configuração de rede do cliente.
Exibições e funções do catálogo de segurança
As informações de segurança são expostas em várias visualizações e funções que são otimizadas para desempenho e utilidade. A tabela a seguir contém informações sobre exibições e funções de segurança no Azure SQL Edge.
| Funções e vistas | Ligações |
|---|---|
| Exibições de catálogo de segurança, que retornam informações sobre permissões, entidades de segurança, funções e assim por diante no nível do banco de dados e do servidor. Além disso, há exibições de catálogo que fornecem informações sobre chaves de criptografia, certificados e credenciais. | Exibições do catálogo de segurança (Transact-SQL) |
| Funções de segurança, que retornam informações sobre o usuário atual, permissões e esquemas. | Funções de segurança (Transact-SQL) |
| Exibições de gerenciamento dinâmico de segurança. | Exibições e funções de gerenciamento dinâmico relacionadas à segurança (Transact-SQL) |
Auditoria
O Azure SQL Edge fornece os mesmos mecanismos de auditoria que o SQL Server. Para obter mais informações, consulte Auditoria do SQL Server (Mecanismo de Banco de Dados).