Контрольный список для обеспечения безопасности баз данных

Чтобы повысить безопасность, База данных SQL Azure и Управляемый экземпляр SQL Azure включают встроенные элементы управления безопасностью, которые можно использовать для ограничения доступа и контроля доступа, защиты данных и мониторинга угроз.

К элементам управления безопасностью относятся:

Правила брандмауэра, ограничивающие подключение по IP-адресу и виртуальной сети
Проверка подлинности Microsoft Entra для централизованного управления удостоверениями
Безопасное подключение с помощью шифрования TLS
Управление доступом и авторизация
Шифрование данных в покое и при передаче
Аудит базы данных и обнаружение угроз
Расширенные функции безопасности данных

Введение

Облачные вычисления требуют новых парадигм безопасности, которые могут быть незнакомы многим пользователям приложений, администраторам баз данных и программистам. Организации могут использовать комплексные функции безопасности SQL Azure для защиты конфиденциальных данных и соответствия нормативным требованиям.

Контрольный список

Перед проверкой этого контрольного списка рекомендуется ознакомиться со статьей по обеспечению безопасности базы данных SQL Azure . Понимание лучших практик поможет вам получить наибольшую пользу из этого контрольного списка. Используйте этот контрольный список, чтобы убедиться, что вы рассмотрели важные элементы управления безопасностью в базе данных Azure.

Категория контрольного списка	Description
Защита данных
Шифрование при передаче	Протокол TLS шифрует данные в движении между клиентами и базами данных. Для безопасных подключений sql Azure требуется TLS 1.2 или более поздней версии. База данных требует безопасного обмена данными от клиентов на основе протокола TDS (табличного потока данных) по протоколу TLS.
Шифрование при хранении	Прозрачное шифрование данных (TDE) шифрует неактивные файлы данных и журналов. TDE включен по умолчанию во всех новых базах данных SQL Azure. Использование собственного ключа (BYOK) позволяет управлять ключами шифрования TDE в Azure Key Vault.
Использование шифрования	Always Encrypted защищает конфиденциальные данные, шифруя их в клиентских приложениях. Ключи шифрования никогда не достигают ядра СУБД, обеспечивая разделение между владельцами данных и диспетчерами данных. Шифрование на уровне столбцов (CLE) шифрует определенные столбцы с помощью симметричного шифрования для дополнительной защиты конфиденциальных данных.
Контроль доступа
Доступ к базе данных	Проверка подлинности Microsoft Entra обеспечивает централизованное управление удостоверениями с возможностями единого входа. Проверка подлинности SQL с помощью надежных паролей предоставляет альтернативный метод проверки подлинности. Авторизация предоставляет пользователям минимальные привилегии, необходимые с помощью управления доступом на основе ролей.
Контроль доступа к сети	Правила брандмауэра IP на уровне сервера ограничивают доступ на основе исходных IP-адресов. Правила брандмауэра IP уровня базы данных предоставляют детальный контроль доступа для каждой базы данных. Конечные точки службы виртуальной сети позволяют подключаться из определенных виртуальных сетей Azure. Приватный канал обеспечивает частное подключение к базе данных SQL Azure с помощью частного IP-адреса в виртуальной сети.
Контроль доступа к приложениям	Безопасность на строковом уровне (RLS) ограничивает доступ на строковом уровне на основе удостоверения пользователя, роли или контекста выполнения. Динамическое маскирование данных ограничивает уязвимость конфиденциальных данных путем маскирования ее не привилегированным пользователям, не изменяя базовые данные. Обнаружение и классификация данных определяют, классифицируют и метки конфиденциальных данных для повышения защиты и соответствия требованиям.
Упреждающий мониторинг
Аудит и обнаружение	Аудит отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, рабочей области Log Analytics или Центрах событий. Отслеживание работоспособности базы данных SQL Azure с помощью Azure Monitor и параметров диагностики. Microsoft Defender для SQL обнаруживает аномальные действия базы данных, которые указывают на потенциальные угрозы безопасности, включая SQL-инъекции, атаки методом грубой силы и эксплойты уязвимостей.
Оценка уязвимостей	Оценка уязвимостей обнаруживает, отслеживает и помогает устранить потенциальные уязвимости базы данных. Предоставляет практические рекомендации по безопасности и отчеты о рисках для соответствия требованиям.
Централизованное управление безопасностью	Microsoft Defender для облака обеспечивает централизованный мониторинг безопасности и управление ими для базы данных SQL Azure и других служб Azure. Рекомендации по безопасности на основе теста microsoft cloud security.
Целостность данных
Возможность работы с реестрами	Реестр обеспечивает защиту от недобросовестных изменений, создавая неизменяемую запись операций в базе данных. Помогает соответствовать требованиям проверки целостности данных.

Заключение

База данных SQL Azure и Управляемый экземпляр SQL Azure предоставляют надежные платформы баз данных с комплексными функциями безопасности, отвечающими требованиям организации и нормативным требованиям. Вы можете защитить данные на протяжении всего жизненного цикла (неактивных, передаваемых и используемых) с помощью прозрачного шифрования данных, Always Encrypted и TLS. Детализированные элементы управления доступом, включая Row-Level Безопасность, динамическое маскирование данных и проверку подлинности Microsoft Entra, обеспечивают доступ только авторизованным пользователям к конфиденциальным данным. Непрерывный мониторинг с помощью аудита, Microsoft Defender для SQL и оценки уязвимостей помогает выявлять и устранять упреждающие угрозы безопасности.

Следующие шаги

Вы можете улучшить защиту базы данных от вредоносных пользователей или несанкционированного доступа с помощью нескольких простых действий.

Настройка правил брандмауэра для сервера и баз данных
Защита данных с помощью шифрования
Включение аудита базы данных SQL
Включите Microsoft Defender для SQL для обнаружения угроз
Ознакомьтесь с рекомендациями по обеспечению безопасности

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-11-07