Partilhar via

funcionalidades de segurança da Base de Dados do SQL do Azure

  • Artigo

SQL do Azure Base de Dados fornece um serviço de base de dados relacional no Azure. Para proteger os dados dos clientes e fornecer funcionalidades de segurança fortes que os clientes esperam de um serviço de base de dados relacional, Base de Dados SQL tem os seus próprios conjuntos de capacidades de segurança. Estas capacidades baseiam-se nos controlos herdados do Azure.

Funcionalidades de segurança

Utilização do protocolo TDS

SQL do Azure Base de Dados suporta apenas o protocolo TDS (Tabular Data Stream), que requer que a base de dados esteja acessível apenas através da porta predefinida de TCP/1433.

firewall da Base de Dados do SQL do Azure

Para ajudar a proteger os dados dos clientes, a Base de Dados do SQL do Azure inclui uma funcionalidade de firewall que, por predefinição, impede todo o acesso aos Base de Dados SQL.

firewall da Base de Dados do SQL do Azure

A firewall do gateway pode limitar os endereços, o que permite aos clientes um controlo granular para especificar intervalos de endereços IP aceitáveis. A firewall concede acesso com base no endereço IP de origem de cada pedido.

Os clientes podem obter a configuração da firewall através de um portal de gestão ou através de programação com a API REST de Gestão de Bases de Dados do SQL do Azure. Por predefinição, a firewall do gateway de Base de Dados do SQL do Azure impede todo o acesso do TDS do cliente à Base de Dados SQL do Azure. Os clientes têm de configurar o acesso através de listas de controlo de acesso (ACLs) para permitir SQL do Azure ligações à Base de Dados por endereços internet de origem e de destino, protocolos e números de porta.

DoSGuard

O DosGuard, um serviço de gateway Base de Dados SQL, reduz os ataques denial of service (DoS). O DoSGuard monitoriza ativamente inícios de sessão sem êxito a partir dos endereços IP. Se existirem vários inícios de sessão falhados a partir de um endereço IP num período de tempo, o endereço IP será impedido de aceder a quaisquer recursos no serviço durante um período de tempo predefinido.

Além disso, o gateway de Base de Dados do SQL do Azure executa:

  • Negociações de capacidade de canais seguros para implementar ligações encriptadas validadas fips 140-2 do TDS quando liga aos servidores de bases de dados.
  • Inspeção de pacotes TDS com monitorização de estado enquanto aceita ligações de clientes. O gateway valida as informações de ligação. O gateway transmite os pacotes TDS para o servidor físico adequado com base no nome da base de dados especificado na cadeia de ligação.

O princípio abrangente de segurança de rede da oferta Base de Dados SQL do Azure é permitir apenas a ligação e comunicação necessária para permitir a operação do serviço. Todos os restantes protocolos, portas e ligações são bloqueados por predefinição. As redes virtuais locais (VLANs) e ASCs são utilizadas para restringir as comunicações de rede por redes de origem e de destino, protocolos e números de porta.

Os mecanismos aprovados para implementar ACLs baseadas na rede incluem ACLs em routers e balanceadores de carga. Estes mecanismos são geridos pela rede do Azure, pela firewall da VM convidada e pelas regras de firewall do gateway de base de dados do SQL do Azure configuradas pelo cliente.

Segregação de dados e isolamento do cliente

A rede de produção do Azure está estruturada de modo a que os componentes do sistema acessíveis publicamente sejam separados dos recursos internos. Existem limites físicos e lógicos entre servidores Web que fornecem acesso ao portal do Azure destinado ao público e à infraestrutura virtual subjacente do Azure, onde residem as instâncias da aplicação do cliente e os dados do cliente.

Todas as informações acessíveis publicamente são geridas na rede de produção do Azure. A rede de produção é:

  • Sujeito a mecanismos de proteção de limites e autenticação de dois fatores
  • Utiliza o conjunto de funcionalidades de firewall e segurança descrito na secção anterior
  • Utiliza funções de isolamento de dados anotados nas secções seguintes

Sistemas não autorizados e isolamento do FC

Uma vez que o controlador de recursos de infraestrutura (FC) é o orquestrador central dos recursos de infraestrutura do Azure, existem controlos significativos para mitigar ameaças ao mesmo, especialmente a partir de FAs potencialmente comprometidas nas aplicações dos clientes. O FC não reconhece qualquer hardware cujas informações do dispositivo (por exemplo, endereço MAC) não estejam pré-carregadas no FC. Os servidores DHCP no FC configuraram listas de endereços MAC dos nós que estão dispostos a arrancar. Mesmo que os sistemas não autorizados estejam ligados, não são incorporados no inventário de recursos de infraestrutura e, portanto, não estão ligados ou autorizados a comunicar com qualquer sistema dentro do inventário de recursos de infraestrutura. Isto reduz o risco de comunicação de sistemas não autorizados com o FC e obtenção de acesso à VLAN e ao Azure.

Isolamento de VLAN

A rede de produção do Azure é segregada logicamente em três VLANs principais:

  • A VLAN principal: interliga nós de cliente não fidedignos.
  • A VLAN fc: contém FCs fidedignos e sistemas de suporte.
  • A VLAN do dispositivo: contém a rede fidedigna e outros dispositivos de infraestrutura.

Filtragem de pacotes

O IPFilter e as firewalls de software implementadas no SO raiz e no SO convidado dos nós impõem restrições de conectividade e impedem o tráfego não autorizado entre VMs.

Hipervisor, SO raiz e VMs convidadas

O hipervisor e o SO de raiz gerem o isolamento do SO raiz das VMs convidadas e das VMs convidadas umas das outras.

Tipos de regras em firewalls

Uma regra é definida como:

{Src IP, Porta Src, IP de Destino, Porta de Destino, Protocolo de Destino, Entrada/Saída, Estado/Sem Estado, Tempo Limite do Fluxo Com Monitorização de Estado}.

Os pacotes de carateres inativos síncronos (SYN) só podem entrar ou sair se uma das regras o permitir. Para O TCP, o Azure utiliza regras sem estado em que o princípio é que permite apenas todos os pacotes não SYN dentro ou fora da VM. A premissa de segurança é que qualquer pilha de anfitrião é resiliente a ignorar um não SYN se não tiver visto um pacote SYN anteriormente. O protocolo TCP em si tem monitorização de estado e, em combinação com a regra baseada em SYN sem estado, obtém um comportamento geral de uma implementação com monitorização de estado.

Para o Protocolo UDP (User Datagram Protocol), o Azure utiliza uma regra com monitorização de estado. Sempre que um pacote UDP corresponde a uma regra, é criado um fluxo inverso na outra direção. Este fluxo tem um tempo limite incorporado.

Os clientes são responsáveis por configurar as suas próprias firewalls para além do que o Azure fornece. Aqui, os clientes podem definir as regras para o tráfego de entrada e saída.

Gestão da configuração de produção

As configurações seguras padrão são mantidas pelas respetivas equipas de operações no Azure e na Base de Dados SQL do Azure. Todas as alterações de configuração aos sistemas de produção são documentadas e controladas através de um sistema de controlo central. As alterações de software e hardware são registadas através do sistema de controlo central. As alterações de rede relacionadas com a ACL são registadas através de um serviço de gestão da ACL.

Todas as alterações de configuração ao Azure são desenvolvidas e testadas no ambiente de teste e, posteriormente, são implementadas no ambiente de produção. As compilações de software são revistas como parte do teste. As verificações de segurança e privacidade são revistas como parte dos critérios da lista de verificação de entrada. As alterações são implementadas em intervalos agendados pela respetiva equipa de implementação. Os lançamentos são revistos e assinados pelo respetivo pessoal da equipa de implementação antes de serem implementados na produção.

As alterações são monitorizadas para fins de êxito. Num cenário de falha, a alteração é revertida para o estado anterior ou é implementada uma correção para resolver a falha com a aprovação do pessoal designado. O Depot de Origem, o Git, o TFS, o Master Data Services (MDS), os corredores, a monitorização de segurança do Azure, o FC e a plataforma WinFabric são utilizados para gerir, aplicar e verificar centralmente as definições de configuração no ambiente virtual do Azure.

Da mesma forma, as alterações de hardware e de rede estabeleceram passos de validação para avaliar o cumprimento dos requisitos de compilação. As versões são revistas e autorizadas através de um conselho consultivo de alterações coordenado (CAB) dos respetivos grupos em toda a pilha.

Passos seguintes

Para saber mais sobre o que a Microsoft faz para proteger a infraestrutura do Azure, veja: