Безопасность ядра СУБД SQL Server и Базы данных Azure SQL

Статья
01/02/2025

Применимо: SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure azure Synapse Analytics Analytics Platform System (PDW)

На этой странице приведены ссылки, которые помогут найти сведения, необходимые для обеспечения безопасности и защиты в ядро СУБД SQL Server и База данных SQL Azure.

Условные обозначения

Снимок экрана: условные обозначения, поясняющие значение значков доступности компонентов.

Проверка подлинности: кто вы?

Функция	Ссылка
Кто выполняет проверку подлинности? Проверка подлинности Windows Проверка подлинности SQL Server Идентификатор Microsoft Entra (прежнее название — Azure Active Directory)	Кто выполняет проверку подлинности? (Windows или SQL Server) Выбор режима проверки подлинности Подключение к Azure SQL с помощью проверки подлинности Microsoft Entra
Где выполняется проверка подлинности? В базе данных master: имена входа и пользователи базы данных В пользовательской базе данных: содержащиеся пользователи базы данных	Аутентификация в базе данных master (имена для входа и пользователи базы данных) создать имя входа SQL Server Управление базами данных и учетными записями в Базе данных SQL Azure Создание пользователя базы данных Проверка подлинности в пользовательской базе данных Пользователи автономной базы данных: создание переносимой базы данных
Использование других идентификаторов Учетные данные Выполнение в контексте другого имени входа Выполнение от имени другого пользователя базы данных	Учетные данные (ядро СУБД) Выполнение в контексте другого имени входа Выполнение от имени другого пользователя базы данных

Авторизация: что вам можно делать?

Функция	Ссылка
Предоставление, отмена и запрет разрешений Защищаемые классы Детализированные разрешения SQL Server Детализированные разрешения базы данных	Иерархия разрешений (ядро СУБД) Разрешения Защищаемые объекты Приступая к работе с разрешениями Database Engine
Роли безопасности Роли уровня сервера Роли уровня базы данных	Роли уровня сервера Роли уровня базы данных
Ограничение доступа к данным для выбранных элементов Ограничение доступа к данным с помощью представлений и процедур Безопасность на уровне строк Динамическое маскирование данных Подписанные объекты	Ограничение доступа к данным с помощью представлений и процедур Безопасность на уровне строк (SQL Server) Безопасность на уровне строк (база данных SQL Azure) Динамическое маскирование данных (SQL Server) Динамическое маскирование данных (база данных Azure SQL) Подписанные объекты

Шифрование: хранение секретных данных

Функция	Ссылка
Шифрование файлов Шифрование BitLocker (уровень диска) Шифрование NTFS (уровень папки) Прозрачное шифрование данных (уровень файла) Шифрование резервной копии (уровень файла)	BitLocker (уровень диска) Шифрование NTFS (уровень папки) Прозрачное шифрование данных (уровень файла) Шифрование резервной копии (уровень файла)
Шифрование источников Расширяемый модуль управления ключами Ключи, хранящиеся в Azure Key Vault Always Encrypted	Расширяемый модуль управление ключами Ключи, хранящиеся в хранилище ключей Azure Always Encrypted
Шифрование столбцов, данных и ключей Шифрование по сертификату Шифрование симметричным ключом Шифрование асимметричным ключом Шифрование с парольной фразой	Шифрование по сертификату Шифрование асимметричным ключом Шифрование симметричным ключом Шифрование с парольной фразой Шифрование столбца данных

Безопасность подключения: ограничения и обеспечение безопасности

Функция	Ссылка
Защита с помощью брандмауэра Параметры брандмауэра Windows Параметры брандмауэра службы Azure Параметры брандмауэра базы данных	Настройка брандмауэра Windows для доступа к компоненту Database Engine Параметры брандмауэра базы данных Azure SQL Параметры брандмауэра службы Azure
Шифрование данных при передаче Принудительные подключения SSL Необязательные подключения SSL	Включение зашифрованных соединений для ядра СУБД Включение зашифрованных соединений для ядра СУБД, Сетевая безопасность Поддержка TLS 1.2 для Microsoft SQL Server

Аудит: регистрация доступа

Функция	Ссылка
Автоматизированный аудит Аудит SQL Server (уровень сервера и базы данных) аудит База данных SQL (уровень базы данных) Обнаружение угроз	Подсистема аудита SQL Server (Database Engine) Аудит базы данных SQL Приступая к работе с Расширенной защитой от угроз для базы данных SQL Оценка уязвимостей базы данных SQL
Пользовательский аудит Триггеры	Реализация пользовательского аудита: создание DDL Triggers и DML Triggers
Соблюдение закона Соответствие требованиям	SQL Server. Common Criteria База данных SQL. Центр управления безопасностью Microsoft Azure: соответствие функций требованиям регулирования

Атака путем внедрения кода SQL

Внедрение SQL — это атака, в которой вредоносный код вставляется в строки, которые позже передаются в ядро СУБД для синтаксического анализа и выполнения. Любая процедура, создающая инструкции SQL, должна рассматриваться на предмет уязвимости к внедрению кода, так как SQL Server выполняет все получаемые синтаксически правильные запросы. Все системы баз данных имеют некоторый риск внедрения SQL, и многие уязвимости вводятся в приложении, которое запрашивает ядро СУБД. Можно предотвратить атаки путем внедрения кода SQL, используя хранимые процедуры и параметризованные команды, избегая использования динамического кода SQL и ограничив разрешения для всех пользователей. Дополнительные сведения см. в разделе SQL Injection.

Дополнительные ссылки для программистов приложений.

См. также

Приступая к работе с разрешениями Database Engine
Обеспечение безопасности SQL Server
Субъекты (ядро СУБД)
Сертификаты SQL Server и асимметричные ключи
Шифрование SQL Server
Настройка контактной зоны
Надежные пароли
Свойство базы данных TRUSTWORTHY
Функции и задачи компонента Database Engine
Защита интеллектуальной собственности SQL Server

Поделиться через