Контрольный список для обеспечения безопасности баз данных

Чтобы повысить безопасность, База данных Azure включает множество встроенных элементов управления безопасностью, которые можно использовать для ограничения и контроля доступа.

К элементам управления безопасностью относятся:

• брандмауэр, который позволяет создавать правила брандмауэра, ограничивающие подключение по IP-адресу;
• брандмауэр на уровне сервера, доступны на портале Azure;
• правила брандмауэра уровня базы данных, доступные в SSMS;
• защищенное подключение к базе данных с помощью безопасных строк подключения;
• управление доступом;
• Шифрование данных
• Аудит Баз данных SQL
• Обнаружение угроз для баз данных SQL

Введение

Для облачных вычислений требуются новые принципы обеспечения безопасности, незнакомые многим пользователям приложений, администраторам базы данных и программистам. Поэтому в некоторых организациях не решаются реализовать облачную инфраструктуру для управления данными из-за предполагаемых угроз безопасности. Однако большую часть этой проблемы можно устранить, лучше изучив возможности безопасности, встроенные в Microsoft Azure и Базу данных SQL Microsoft Azure.

Контрольный список

Прежде чем приступить к изучению данного контрольного списка, рекомендуем ознакомиться с рекомендациями по обеспечению безопасности базы данных Azure. Вы сможете получить больше всего из этого контрольного списка после понимания рекомендаций. Затем вы сможете использовать этот контрольный список для решения важных проблем безопасности базы данных SQL Azure.

Категория контрольного списка	Description
Защита данных
Шифрование данных при передаче	Безопасность на транспортном уровне. Используется для шифрования данных при перемещении в сетях. Для базы данных требуется безопасное подключение клиентов по протоколу TDS (поток табличных данных) на основе TLS (безопасность на транспортном уровне).
Шифрование при хранении	Прозрачное шифрование данных. Используется при физическом хранении неактивных данных в любом цифровом виде.
Контроль доступа
Доступ к базе данных	Проверка подлинности (проверка подлинности Microsoft Entra) AD использует удостоверения, управляемые идентификатором Microsoft Entra. Авторизация позволяет предоставлять пользователям минимальные необходимые привилегии.
Доступ к приложениям	Безопасность на уровне строк (используется политика безопасности и ограничение доступа на уровне строк на основе удостоверения пользователя, его роли или контекста выполнения). Динамическое маскирование данных. С помощью разрешений и политик ограничивается возможность раскрытия конфиденциальных данных, которые маскируются для обычных пользователей без соответствующих привилегий.
Упреждающий мониторинг
Отслеживание и обнаружение	Аудит позволяет отслеживать события базы данных и записывать их в журнал аудита или журнал действий в учетной записи хранения Azure. Отслеживание работоспособности базы данных Azure с помощью журналов действий Azure Monitor. Система обнаружения угроз обнаруживает подозрительные действия в базе данных, указывающие на наличие потенциальных угроз безопасности.
Microsoft Defender для облака	Мониторинг данных. Используйте Microsoft Defender для облака как централизованное решение для мониторинга безопасности для SQL и других служб Azure.

Заключение

База данных Azure — это надежная платформа базы данных с полным набором функций безопасности, которые удовлетворяют многим организационным и нормативным требованиям. Вы можете легко защитить данные, управляя физическим доступом к данным и используя различные параметры для обеспечения безопасности данных на уровне файлов, столбцов или строк с помощью прозрачное шифрование данных, шифрования на уровне ячеек или безопасности на уровне строк. Always Encrypted также позволяет выполнять операции с зашифрованными данными, что упрощает процесс обновления приложений. В свою очередь, благодаря доступу к журналам аудита действий базы данных SQL вы получаете необходимые сведения о способе и времени доступа к данным.

Следующие шаги

Выполнив всего несколько простых действий, можно значительно повысить уровень защиты базы данных от пользователей-злоумышленников или несанкционированного доступа. Из этого руководства вы узнаете, как выполнять такие задачи.

• Настройка правил брандмауэра для сервера и (или) базы данных.
• Защита данных с помощью шифрования.
• Включение аудита базы данных SQL.