Вопросы безопасности для SQL Server on Azure Virtual Machines

Применимо к:SQL Server на виртуальной машине Azure

В этой статье содержатся общие рекомендации по обеспечению безопасности, помогающие установить безопасный доступ к экземплярам SQL Server в виртуальной машине Azure.

Azure соответствует нескольким отраслевым нормативным требованиям и стандартам, которые позволяют создавать соответствующее решение с SQL Server работать на виртуальной машине. Сведения о соответствии нормативным требованиям Azure см. в разделе Доверительный центр Azure.

Сначала ознакомьтесь с рекомендациями по обеспечению безопасности SQL Server и Azure виртуальных машин и ознакомьтесь с этой статьей, чтобы ознакомиться с рекомендациями, применимыми к SQL Server на Azure виртуальных машинах.

Дополнительные сведения о лучших практиках для виртуальной машины SQL Server можно найти в других статьях этой серии: Контрольный список, Размер виртуальной машины, Конфигурация HADR и Сбор базовой линии.

Контрольный список

Ознакомьтесь со следующим контрольным списком в этом разделе, содержащим краткий обзор рекомендаций по обеспечению безопасности, которые более подробно описываются далее в этой статье.

SQL Server функции и возможности предоставляют методы защиты данных на уровне базы данных, которые можно объединить с функциями безопасности на уровне инфраструктуры. Вместе эти функции обеспечивают глубину обороны на уровне инфраструктуры для облачных и гибридных решений. Кроме того, с помощью Azure мер безопасности можно шифровать конфиденциальные данные, защищать виртуальные машины от вирусов и вредоносных программ, защищать сетевой трафик, выявлять и обнаруживать угрозы, соответствовать требованиям соответствия требованиям и обеспечивать единый метод администрирования и отчетности по любым потребностям безопасности в гибридном облаке.

• Используйте Microsoft Defender for Cloud для оценки и принятия мер по повышению уровня безопасности среды данных. Такие возможности, как Azure Advanced Threat Protection (ATP) можно использовать в гибридных рабочих нагрузках для улучшения оценки безопасности и предоставления возможности реагирования на риски. Регистрация виртуальной машины SQL Server с помощью расширения агента SQL IaaS отображает оценки Microsoft Defender for Cloud в ресурсе виртуальной машины SQL на портале Azure.
• Используйте Microsoft Defender для SQL для обнаружения и устранения потенциальных уязвимостей базы данных, а также обнаружения аномальных действий, которые могут указывать на угрозу для экземпляра SQL Server и уровня базы данных.
• Оценка уязвимости является частью Microsoft Defender для SQL Server, которая может обнаруживать и устранять потенциальные риски в среде SQL Server. Этот компонент предоставляет сведения о состоянии безопасности и предлагает практические действия для устранения проблем с безопасностью.
• Используйте Azure конфиденциальные виртуальные машины для обеспечения защиты используемых данных и неактивных данных от доступа оператора узла. Azure конфиденциальные виртуальные машины позволяют уверенно хранить конфиденциальные данные в облаке и соответствовать строгим требованиям соответствия.
• Если вы используете SQL Server 2022, попробуйте использовать проверку подлинности Microsoft Entra для подключения к экземпляру SQL Server.
• Azure Advisor анализирует данные телеметрии конфигурации ресурсов и использования, а затем рекомендует решения, которые помогут повысить эффективность затрат, производительность, высокий уровень доступности и безопасность ресурсов Azure. Используйте Azure Advisor на уровне виртуальной машины, группы ресурсов или подписки, чтобы определить и применить рекомендации по оптимизации Azure развертываний.
• Используйте Azure Disk Encryption если требуется соответствие требованиям и безопасности, необходимо шифровать сквозные данные с помощью ключей шифрования, включая шифрование временных (локально подключенных временных) дисков.
• Управляемые диски по умолчанию шифруются с помощью шифрования службы хранения Azure, где ключи шифрования — это ключи, управляемые корпорацией Майкрософт и хранящиеся в Azure.
• Для сравнения параметров шифрования управляемых дисков просмотрите диаграмму сравнения шифрования управляемых дисков.
• Порты управления должны быть закрыты на виртуальных машинах, так как открытые порты удаленного управления подвергают виртуальную машину высокому риску атак через Интернет. Эти атаки пытаются взломать учетные данные методом перебора, чтобы получить администраторский доступ к компьютеру.
• Включите режим Just-in-time для виртуальных машин Azure.
• Используйте Azure Bastion по протоколу Remote Desktop (RDP).
• Блокируйте порты и разрешайте только необходимый трафик приложения с помощью Azure Firewall который является управляемым брандмауэром как услуга (FaaS), который предоставляет или запрещает доступ к серверу на основе исходного IP-адреса.
• Используйте группы безопасности сети (NSG) для фильтрации сетевого трафика к ресурсам и от ресурсов в виртуальных сетях Azure.
• Используйте группы безопасности приложений для группирования серверов вместе с аналогичными требованиями к фильтрации портов с аналогичными функциями, такими как веб-серверы и серверы баз данных.
• Для веб-серверов и серверов приложений используйте Azure защиту от распределенных атак типа отказ обслуживания (DDoS). Атаки DDoS используются для перегрузки и исчерпания сетевых ресурсов, чтобы приложения работали медленнее или стали недоступными. Обычно атаки DDoS нацелены на пользовательские интерфейсы. Azure защита от атак DDoS очищает нежелательный сетевой трафик, прежде чем он влияет на доступность службы.
• Используйте расширения виртуальной машины, чтобы помочь устранить вредоносные программы, требуемое состояние, обнаружение угроз, предотвращение и исправление угроз на уровне операционной системы, компьютера и сети:
  • Расширение "Гостевая конфигурация" выполняет операции аудита и настройки на виртуальных машинах.
  • расширение виртуальной машины агента Network Watcher для Windows и Linux контролирует производительность сети, диагностические и аналитические службы, позволяющие осуществлять мониторинг сетей Azure.
  • Расширение антивредоносного ПОMicrosoft для Windows для выявления и удаления вирусов, шпионских программ и других вредоносных программ с настраиваемыми оповещениями.
  • Оцените сторонние расширения, такие как Symantec Endpoint Protection для виртуальной машины Windows (/azure/virtual-machines/extensions/symantec).
• Используйте Azure Policy для создания бизнес-правил, которые можно применить к вашей среде. Политики Azure оценивают ресурсы Azure, сравнивая их свойства с правилами, определенными в формате JSON.
• Azure Blueprints позволяет архитекторам облака и центральным информационным группам определять повторяемый набор ресурсов Azure, реализующих и соблюдающих стандарты, шаблоны и требования организации. Azure Blueprints отличаются от политик Azure.
• Используйте Windows Server 2019 или Windows Server 2022, чтобы обеспечить соответствие стандартам FIPS в SQL Server на виртуальных машинах Azure.
• Обработайте восстановление резервных копий как операцию с высоким риском и никогда не восстанавливайте резервную копию из ненадежного источника.

Дополнительные сведения о рекомендациях по обеспечению безопасности см. в статье SQL Server рекомендации по обеспечению безопасности и Securing SQL Server.

Microsoft Defender для SQL на компьютерах

Microsoft Defender for Cloud — это единая система управления безопасностью, предназначенная для оценки и предоставления возможностей для повышения уровня безопасности среды данных. Microsoft Defender предоставляет Microsoft Defender для SQL на компьютерах защиту SQL Server на Azure виртуальных машинах. Используйте Microsoft Defender для SQL для обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для экземпляра SQL Server и уровня базы данных.

Microsoft Defender для SQL предлагает следующие преимущества:

• Оценка уязвимостей может обнаруживать и помогать устранять потенциальные риски в вашей среде SQL Server. Этот компонент предоставляет сведения о состоянии безопасности и предлагает практические действия для устранения проблем с безопасностью.
• Используйте оценку безопасности в Microsoft Defender for Cloud.
• Дополнительные сведения см. в списке актуальных рекомендаций по вычислениям и данным.
• Регистрация виртуальной машины SQL Server с помощью расширения агента IaaS для SQL Server позволяет отображать рекомендации Microsoft Defender для SQL в ресурсе виртуальных машин SQL на портале Azure.

Управление порталом

После регистрации виртуальной машины SQL Server с расширением агента IaaS SQL можно настроить ряд параметров безопасности с помощью ресурса виртуальных машин SQL на портале Azure, например включение интеграции Azure Key Vault или аутентификации SQL.

Кроме того, после включения Microsoft Defender для SQL на компьютерах вы можете просматривать функции Defender для облака непосредственно в ресурсе виртуальных машин SQL на портале Azure, например оценки уязвимостей и оповещения системы безопасности.

Дополнительные сведения см. в статье Управление виртуальной машиной SQL Server в портале.

Конфиденциальные виртуальные машины

Azure конфиденциальные виртуальные машины обеспечивают надежную аппаратно обеспеченную границу, которая усиливает защиту гостевой ОС от доступа оператора хоста. Выбор размера конфиденциальной виртуальной машины для SQL Server на Azure виртуальной машине обеспечивает дополнительный уровень защиты, что позволяет уверенно хранить конфиденциальные данные в облаке и соответствовать строгим требованиям соответствия.

Azure конфиденциальные виртуальные машины используют процессоры AMD с технологией SEV-SNP, которая шифрует память виртуальной машины с помощью ключей, созданных процессором. Это помогает защитить данные во время их использования (данные, обрабатываемые внутри памяти процесса SQL Server) от несанкционированного доступа со стороны операционной системы хоста. Диск ОС конфиденциальной виртуальной машины также можно зашифровать с помощью ключей, привязанных к микросхеме доверенного платформенного модуля (TPM) виртуальной машины, что усиливает защиту от неактивных данных.

Подробные инструкции по развертыванию см. в разделе Quickstart: развертывание SQL Server на конфиденциальной виртуальной машине.

Рекомендации по шифрованию дисков отличаются для конфиденциальных виртуальных машин, чем для других размеров виртуальных машин. Дополнительные сведения см. в разделе шифрования дисков.

проверка подлинности Microsoft Entra

Начиная с SQL Server 2022, вы можете подключиться к SQL Server с помощью любого из следующих методов проверки подлинности с Microsoft Entra ID (формерно Azure Active Directory):

• Password предоставляет проверку подлинности с помощью учетных данных Microsoft Entra
• Универсальная с MFA добавляет многофакторную проверку подлинности
• Integrated использует поставщиков федерации, таких как Active Directory Federation Services (ADFS), для обеспечения единого входа (SSO)
• Service Principal включает проверку подлинности из приложений Azure
• Managed Identity позволяет выполнять проверку подлинности для приложений с присвоенными удостоверениями Microsoft Entra

Чтобы начать, ознакомьтесь с руководством по настройке Microsoft Entra для виртуальной машины SQL Server.

Azure Advisor

Azure Advisor — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации Azure развертываний. Azure Advisor анализирует данные телеметрии конфигурации ресурсов и использования, а затем рекомендует решения, которые помогут повысить эффективность затрат, производительность, высокую доступность и безопасность Azure ресурсов. Azure Advisor может оцениваться на уровне виртуальной машины, группы ресурсов или подписки.

Интеграция Azure Key Vault

Существует несколько функций шифрования SQL Server, таких как прозрачное шифрование данных (TDE), шифрование уровня столбцов (CLE) и шифрование резервных копий. Эти формы шифрования требуют хранить используемые для шифрования ключи и управлять ими. Служба Azure Key Vault предназначена для повышения безопасности и управления этими ключами в безопасном и высокодоступном расположении. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault.

Рассмотрим следующий пример.

• Azure Key Vault хранит секреты приложений в централизованном облачном расположении для безопасного управления разрешениями доступа и отдельным ведением журнала доступа.
• При вводе собственных ключей в Azure рекомендуется хранить секреты и сертификаты в Azure Key Vault.
• Azure Disk Encryption использует Azure Key Vault для управления ключами шифрования дисков и секретами.

Управление доступом

При создании виртуальной машины SQL Server с образом из коллекции Azure параметр SQL Server Connectivity предоставляет выбор Local (внутри VM), Private (внутри Virtual Network) или Public (Internet).

Чтобы обеспечить максимальную безопасность, выберите наиболее строгий вариант, подходящий для вашего сценария. Например, если вы используете приложение, которое обращается к SQL Server на той же виртуальной машине, Local является самым безопасным выбором. Если вы используете приложение Azure, требующее доступа к SQL Server, то Private защищает обмен данными только SQL Server в пределах указанной виртуальной сети Azure. Если вам нужен доступ Public (Интернет) к виртуальной машине SQL Server, обязательно выполните другие рекомендации в этом разделе, чтобы уменьшить область атаки.

Выбранные параметры на портале используют правила безопасности для входящего трафика группы безопасности сети (NSG) виртуальной машины, чтобы разрешить или запретить сетевой трафик к вашей виртуальной машине. Вы можете изменить или создать новые правила NSG для входящего трафика, чтобы разрешить трафик на порт SQL Server (по умолчанию 1433). Вы также можете указать IP-адреса, которые могут обмениваться данными через этот порт.

Помимо правил NSG для ограничения сетевого трафика, можно также использовать брандмауэр Windows на виртуальной машине.

Если вы используете конечные точки с классической моделью развертывания, удалите все конечные точки на виртуальной машине, если они не используются. Инструкции по использованию списков ACL в конечных точках см. в разделе Управление ACL для конечной точки. Это необязательно для виртуальных машин, использующих Azure Resource Manager.

Попробуйте включить зашифрованные подключения для экземпляра SQL Server Database Engine виртуальной машины Azure. Настройте экземпляр SQL Server с подписанным сертификатом. Дополнительные сведения см. в разделе Enable Encrypted Connections to the Database Engine and Connection String Syntax.

При обеспечении безопасности сетевого подключения или периметра учитывайте следующее:

• Azure Firewall: состояние и управляемый брандмауэр как услуга (FaaS), который предоставляет или запрещает доступ к серверу на основе исходного IP-адреса для защиты сетевых ресурсов.
• Azure защита от атак DDoS (Distributed Denial of Service): атаки DDoS перегружают и истощают сетевые ресурсы, что делает приложения медленными или неотзывчивыми. Azure защита от атак DDoS очищает нежелательный сетевой трафик, прежде чем он влияет на доступность службы.
• Группы безопасности сети (NSG): фильтрует сетевой трафик к и из ресурсов Azure в виртуальных сетях Azure.
• Группы безопасности приложений. Предоставляет группирование серверов с аналогичными требованиями фильтрации портов и группировать серверы вместе с аналогичными функциями, такими как веб-серверы.

Шифрование дисков

В этом разделе приведены рекомендации по шифрованию дисков, но рекомендации зависят от того, развертываются ли обычные SQL Server на виртуальной машине Azure или SQL Server на Azure конфиденциальной виртуальной машине.

Обычные виртуальные машины

Управляемые диски, развернутые на виртуальных машинах, которые не являются Azure конфиденциальными виртуальными машинами, используют шифрование на стороне сервера и Azure Disk Encryption. Шифрование на стороне сервера обеспечивает шифрование данных в состоянии покоя и защищает ваши данные в соответствии с требованиями безопасности и соответствия вашей организации. Azure Disk Encryption использует технологию BitLocker или DM-Crypt, а также интегрируется с Azure Key Vault для шифрования дисков ОС и данных.

Рассмотрим следующий пример.

• Azure Disk Encryption шифрует диски виртуальных машин с помощью Azure Disk Encryption для виртуальных машин Windows и Linux.
  • Используйте Azure Disk Encryption, если ваши требования к соответствию и безопасности требуют полного шифрования данных от конца до конца с использованием ваших ключей шифрования, включая шифрование эфемерного (локально подключенного временного) диска.
  • Azure Disk Encryption (ADE) использует функцию BitLocker в Windows и функцию DM-Crypt в Linux, которые соответствуют отраслевым стандартам, для предоставления шифрования операционной системы и дисков данных.
• Шифрование управляемых дисков
  • Managed Disks шифруются по умолчанию с помощью шифрования службы Azure Storage, где ключи шифрования являются управляемыми ключами Майкрософт, хранящимися в Azure.
  • Данные в управляемых дисках Azure шифруются прозрачно с использованием 256-разрядного шифрования AES, одного из наиболее сильных блочных шифров, который совместим со стандартом FIPS 140-2.
• Для сравнения параметров шифрования управляемых дисков просмотрите диаграмму сравнения шифрования управляемых дисков.

Azure конфиденциальные виртуальные машины

Если вы используете конфиденциальную виртуальную машину Azure, рассмотрите следующие рекомендации, чтобы повысить преимущества безопасности:

• Настройте шифрование дисков конфиденциальной ОС, которое привязывает ключи шифрования дисков ОС к микросхеме доверенного платформенного модуля (TPM) виртуальной машины. Он также делает содержимое защищенного диска доступным только для виртуальной машины.
• Зашифруйте диски данных (все диски, содержащие файлы базы данных, файлы журналов или файлы резервной копии) с помощью BitLocker и включите автоматическую разблокировку. Дополнительные сведения см. в разделе manage-bde autounlock или EnableBitLockerAutoUnlock. Автоматическая разблокировка гарантирует, что ключи шифрования хранятся на диске ОС. В сочетании с шифрованием диска конфиденциальной ОС это обеспечивает защиту неактивных данных на дисках виртуальной машины от несанкционированного доступа к узлу.

Доверенный запуск

При развертывании виртуальной машины поколения 2 у вас есть возможность включить доверенный запуск, который защищает от расширенных и постоянных атак.

С помощью доверенного запуска можно:

• Безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами ОС и драйверами.
• Безопасная защита ключей, сертификатов и секретов на виртуальных машинах.
• Получите аналитические сведения и уверенность в целостности всей цепочки загрузки.
• Гарантирование того, что рабочие нагрузки являются доверенными и проверяемыми.

Следующие функции в настоящее время не поддерживаются при включении доверенного запуска для SQL Server на виртуальных машинах Azure:

• Azure Site Recovery
• Диски категории "Ультра"
• Управляемые образы
• Вложенная виртуализация

Управление учетными записями

Вы бы не хотели, чтобы злоумышленники смогли легко угадать имена учетных записей или паролей. Воспользуйтесь следующими советами.

• Создайте уникальную учетную запись локального администратора, которая не называется администратором.

• Используйте сложные надежные пароли для всех учетных записей. Дополнительные сведения о создании надежного пароля см. в статье "Создание надежного пароля ".

• По умолчанию Azure выбирает аутентификацию Windows во время настройки виртуальной машины SQL Server. Следовательно, учетная запись SA отключается, и пароль устанавливается во время настройки. Рекомендуется не использовать и не включать имя входа SA. Если вам необходимо SQL логин, используйте одну из следующих стратегий.

  • Создайте учетную запись SQL с уникальным именем, являющуюся участником роли sysadmin. Этого можно сделать на портале, включив аутентификацию SQL во время подготовки.

    Совет

    Если во время подготовки проверка подлинности SQL не включена, необходимо вручную изменить режим проверки подлинности на SQL Server и режим проверки подлинности Windows. Дополнительные сведения см. в статье Изменение режима проверки подлинности сервера.

  • Если необходимо использовать учетную запись SA, активируйте её после настройки и задайте новый надежный пароль.

Аудит и создание отчетов

Аудит с использованием Log Analytics документирует события и записывает их в журнал аудита в защищенной учетной записи Azure Blob Storage. Log Analytics можно использовать для расшифровки сведений журналов аудита. Аудит позволяет сохранять данные в отдельной учетной записи хранения и создавать журнал аудита для всех выбранных событий. Вы также можете использовать Power BI в журнале аудита для быстрой аналитики и аналитических сведений о данных, а также для предоставления представления о соответствии нормативным требованиям. Дополнительные сведения об аудите на уровне виртуальной машины и Azure см. в статье Azure ведение журнала безопасности и аудит.

Доступ на уровне виртуальной машины

Закройте порты управления на вашем компьютере. Открытые порты удаленного управления подвергают вашу виртуальную машину высокому риску атак из Интернета. Эти атаки пытаются взломать учетные данные методом перебора, чтобы получить администраторский доступ к компьютеру.

• Включите режим Just-in-time для виртуальных машин Azure.
• Используйте Azure Bastion по протоколу Remote Desktop (RDP).

Расширения виртуальной машины

Расширения виртуальных машин в Azure являются доверенными расширениями от Майкрософт или сторонних компаний, которые могут помочь в решении конкретных потребностей и рисков, таких как антивирусное ПО, вредоносное ПО, защита от угроз и многое другое.

• Расширение "Гостевая конфигурация"
  • Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация".
  • К гостевым параметрам относятся конфигурация операционной системы, конфигурация или наличие приложения и параметры среды.
  • После установки будут доступны политики в режиме гостя, такие как "Защита от уязвимостей Windows должна быть включена".
• Агент сбора данных о сетевом трафике
  • Microsoft Defender for Cloud использует агент зависимостей Майкрософт для сбора данных сетевого трафика с Azure виртуальных машин.
  • Этот агент реализует расширенные функции защиты, например визуализацию трафика на карте сети, выдачу рекомендаций по улучшению безопасности и обработку конкретных сетевых угроз.
• Оцените расширения от Корпорации Майкрософт и третьих сторон для решения защиты от вредоносных программ, требуемого состояния, обнаружения угроз, предотвращения и исправления для решения угроз на уровне операционной системы, компьютера и сети.

Соответствие FIPS

FIPS — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах и системах информационных технологий. Для некоторых программ соответствия требованиям правительства США, таких как FedRAMP или Руководство по обеспечению безопасности министерства обороны, требуется использование проверенного шифрования FIPS.

SQL Server может быть совместимым с FIPS в SQL Server 2016 и более поздних или SQL Server 2014 с расширенными обновлениями безопасности.

Чтобы обеспечить соответствие FIPS SQL Server на виртуальных машинах Azure, необходимо использовать Windows Server 2022, которая включена по умолчанию. Windows Server 2019 также может быть совместимым с FIPS, если FIPS включен вручную с помощью политики, указанной в Руководстве по технической реализации безопасности (STIG) по результатам проверки V-93511.

SQL Server в настоящее время не соответствует FIPS на виртуальных машинах Linux Azure.

Риск безопасности восстановления резервных копий из ненадежных источников

В этом разделе описывается риск безопасности, связанный с восстановлением резервных копий из ненадежных источников в любую среду SQL Server, включая локальную, Azure SQL Managed Instance, SQL Server on Azure Virtual Machines (виртуальные машины) и любую другую среду.

Почему это важно

Восстановление файлов резервного копирования SQL (.bak) приводит к потенциальному риску при возникновении резервной копии из ненадежного источника. Риск безопасности усугубляется еще больше, когда среда SQL Server имеет несколько экземпляров, так как она усиливает область угрозы. Хотя резервные копии, оставшиеся в пределах доверенной границы, не вызывают проблем безопасности, восстановление вредоносной резервной копии может скомпрометировать безопасность всей среды.

Вредоносный .bak файл может:

• Перехватите управление всем экземпляром сервера SQL.
• Повышение привилегий и получение несанкционированного доступа к базовому узлу или виртуальной машине.

Эта атака происходит перед выполнением любых проверочных скриптов или проверок безопасности, что делает её чрезвычайно опасной. Восстановление ненадежной резервной копии эквивалентно запуску ненадежных приложений на критическом сервере или виртуальной машине и внедрению произвольного выполнения кода в среду.

Лучшие практики

Выполните следующие рекомендации по обеспечению безопасности резервного копирования, чтобы снизить угрозу для сред SQL Server:

• Восстановление резервных копий рассматривается как операция с высоким риском.
• Уменьшите область воздействия угроз с помощью изолированных экземпляров.
• Разрешить только доверенные резервные копии: никогда не восстанавливайте резервные копии из неизвестных или внешних источников.
• Разрешите только те резервные копии, которые остаются внутри доверенной зоны: убедитесь, что резервные копии поступают из этой зоны.
• Не обходите механизмы безопасности ради удобства.
• Включите аудит на уровне сервера для записи событий резервного копирования и восстановления и устранения ошибки аудита.

Связанный контент

Ознакомьтесь с наилучшими практиками безопасности для SQL Server и виртуальных машин Azure, а затем прочтите эту статью о лучших практиках, которые применяются конкретно к SQL Server на виртуальных машинах Azure.

Подробные рекомендации по каждой области оптимизации:

• Быстрый контрольный список . Просмотрите полный контрольный список рекомендаций
• Размер виртуальной машины — выбор правильной серии и конфигурации виртуальных машин
• Хранилище — оптимизация конфигурации и производительности диска
• Параметры HADR — настройка высокой доступности и аварийного восстановления
• Сбор базовых показателей — создание базовых показателей производительности
• Обновление SQL Server — поддержание актуальности SQL Server

Ознакомьтесь с другими статьями, посвященными виртуальным машинам SQL Server, в разделе Обзор SQL Server на виртуальных машинах Azure. Если у вас есть вопросы о виртуальных машинах SQL Server, ознакомьтесь с Часто задаваемыми вопросами.