Реализация безопасности для защиты SQL Azure

  • 9 мин

Понимание и эффективное управление правилами брандмауэра сервера и базы данных, а также Microsoft Defender для SQL, важно обеспечить защиту ресурсов SQL Azure во время миграции и за ее пределами.

Настройка правил брандмауэра сервера и базы данных

В База данных SQL Azure можно настроить правила брандмауэра как на уровне сервера, так и на уровне базы данных.

Правила брандмауэра на уровне сервера

Правила брандмауэра уровня сервера управляют доступом к База данных SQL Azure на более широком уровне, определяя, какие IP-адреса могут подключаться к серверу. Напротив,

Screenshot of the server rule management through Azure portal.

Правила брандмауэра уровня сервера позволяют пользователям подключаться ко всем базам данных сервера, а брандмауэры уровня базы данных управляют доступом для определенных IP-адресов к отдельным базам данных.

Правила брандмауэра на уровне сервера можно настроить с помощью портал Azure или с помощью sp_set_firewall_rule хранимой процедуры в базе данных master.

Примечание.

Если активирован параметр Разрешить доступ к настройкам этого сервера службам и ресурсам Azure считается одним правилом брандмауэра ну уровне сервера. По умолчанию блокируйте весь доступ и открывайте его только при необходимости.

Правила брандмауэра на уровне базы данных

Правила уровня базы данных обеспечивают более конкретный контроль в отдельных базах данных. Правила брандмауэра уровня базы данных можно настроить только с помощью T-SQL, используя sp_set_database_firewall_rule хранимую процедуру из пользовательской базы данных.

При подключении База данных SQL Azure проверка для правила брандмауэра уровня базы данных, относяющегося к указанному имени базы данных. Если это правило не найдено, он проверка правила брандмауэра IP уровня сервера, которые применяются ко всем базам данных на сервере. Если любое правило существует, устанавливается подключение.

Если ни одно правило не существует, и пользователь использует SQL Server Management Studio или Azure Data Studio для подключения, им будет предложено создать правило брандмауэра.

Screenshot showing the new firewall rule dialog from SQL Server Management Studio.

Дополнительные сведения о правилах брандмауэра на уровне сервера и правилах брандмауэра уровня базы данных см. в База данных SQL Azure и правилах брандмауэра IP-адресов Azure Synapse.

Microsoft Defender для SQL

Microsoft Defender для SQL — это комплексное решение для обеспечения безопасности База данных SQL Azure, Управляемый экземпляр SQL Azure и SQL Server на виртуальной машине Azure. Он постоянно отслеживает и оценивает безопасность вашей базы данных, предлагая настраиваемые рекомендации по укреплению.

Кроме того, она предоставляет расширенные возможности безопасности, включая оценку уязвимостей SQL и Расширенную защиту от угроз, для упреждающей защиты состояния данных. Это решение "все в одном" помогает поддерживать высокий уровень безопасности в среде SQL.

Существует два разных способа включения Microsoft Defender для SQL.

Метод Description
Уровень подписки (рекомендуется) Включите его на уровне подписки для комплексной защиты всех баз данных в База данных SQL Azure и Управляемый экземпляр SQL Azure. При необходимости их можно отключить по отдельности.
Уровень ресурсов Кроме того, его можно включить на уровне ресурсов, если вы предпочитаете управлять защитой для определенных баз данных вручную.

Оценка уязвимостей SQL

Оценка уязвимостей SQL использует база знаний правил на основе рекомендаций Майкрософт. Он помечает уязвимости безопасности, неправильно настроенные параметры, чрезмерные разрешения и незащищенные конфиденциальные данные.

У вас есть два варианта конфигурации для оценки уязвимостей SQL:

  1. Экспресс-конфигурация: это параметр по умолчанию и не требует внешнего хранилища для базовых показателей и результатов сканирования.

  2. Классическая конфигурация: необходимо управлять учетной записью хранения Azure для хранения базовых показателей и сканирования данных результатов.

Screenshot showing the SQL vulnerability assessment dashboard on Azure portal.

Расширенная защита от угроз

Расширенная защита от угроз повышает безопасность SQL Azure, обнаруживая и отвечая на необычные или потенциально опасные попытки доступа к базам данных.

Он предоставляет оповещения системы безопасности для подозрительных действий базы данных, потенциальных уязвимостей, атак внедрения SQL и аномальных шаблонов доступа, интегрированных с Microsoft Defender для облака. Эта интеграция предлагает аналитические сведения и рекомендуемые действия по изучению и устранению угроз, что делает его доступным для экспертов небезопасности.

Screenshot showing the advanced threat protection recommendation list on Azure portal.

Список предупреждений см. в разделе Оповещения для Базы данных SQL и Azure Synapse Analytics в Microsoft Defender для облака.