数据安全性是一个巨大的话题,它是当今太空中最重要的安全性类型之一。许多黑客和世界各国政府正试图闯入数据库,因为数据具有许多财务和其他价值。
Azure具有多层安全性视图,您不仅可以在数据周围有一个单一的屏障。您需要具有多个安全层,必须有效地违反其中的每个安全层,才能获取位于中心的客户数据。
1.网络安全:最顶层是网络安全。
- 默认情况下阻止:默认情况下, Azure SQL数据库的防火墙处于关闭状态。因此,除非IP列入白名单,否则您无法连接到它。您必须明确允许其他Azure服务甚至连接到它。即使您拥有用户名和密码之类的凭据,它也不仅仅向世界开放。您需要启用防火墙。
- 保护整个服务器或保护单个数据库:一旦将IP列入白名单,就可以访问数据库DV 1和数据仓库。但实际上,我们可以进入数据库并放置服务器级防火墙。因此,有一些有效的SQL命令可让您创建允许和阻止的防火墙。因此,如果您有多个数据库,但只希望它们访问一个数据库,则可以允许IP地址通过服务器,但可以在许多数据库上阻止该IP地址。
您可以允许或限制其他Azure服务,甚至可以将终结点添加到虚拟网络中,从而可以通过典型的虚拟网络安全保护来控制通过网络安全组的通信
2.访问管理:它有效地处理身份管理和身份验证。有两种方法可以实现此目的:
- SQL身份验证(用户名和密码)
- Azure Active Directory(Azure AD)
所有服务器都具有我们在安装过程中创建的主用户的root用户名和密码。但是,然后我们可以启用Azure Active Directory。我们必须为此启用一个根ID,然后才能创建Azure Active Directory用户,然后也可以为其授予访问权限。因此,一旦设置了管理员用户,便为其他用户通过Azure Active Directory(而不是SQL Server身份验证)进行身份验证打开了大门。它使您可以管理安全性集中的位置,而不必让SQL Server具有自己的身份验证数据库。
使用用户ID和密码登录后。您具有某些访问级别:
- 最小特权原则:Microsoft建议最小特权原则,该原则应继续说明您不应给人们过多的权限。即,每个人都不应该是管理员,不应使用管理员帐户来进行日常工作,并且您的应用程序不应以数据库所有者的权限运行。如果该帐户没有过多的特权,则为权限创建正确的级别,正确的用户和角色可以节省您的时间。
- 基于角色的访问控制(RBAC): Azure基于角色的访问控制(Azure RBAC)可帮助您管理谁可以访问Azure的资源,他们可以使用这些资源做什么以及他们可以访问的区域。 RBAC是另一种保护人们不应该访问的东西的方式。
- 行级安全性: SQL Server本身具有诸如行级安全性之类的安全性,您可以在其中允许用户访问特定区域。它在同一个数据库中,只是一个列过滤器,它将确定您是否有权访问它。因此,您可以一直进行细粒度的授权,直到数据级别的类型。
3.威胁防护: Azure Monitor是警报,日志文件,监视以及类似内容的集中来源。
- 先进的数据安全性:如果您注册了先进的数据安全性,则可以免费试用,然后每台服务器每月的费用约为20至30美元。之后,就威胁防护而言,您将获得这三个很酷的功能。
- 数据发现和分类:数据发现和分类非常酷。实际上,它将有效地检查您的数据以进行审核,并确定哪些数据字段是潜在的个人身份信息,但受到API严格的GDP限制。您可能希望围绕个人身份信息实施一些安全规则。因此,您实际上可以将这些列标记为潜在的敏感信息,然后再次基于列上的标记实施某些规则。
- 漏洞评估:如果人们可以在没有特定级别权限的情况下读取人员的姓名和地址,则漏洞评估将查看您的服务器并确定您是否启用了太多IP地址。如果您根据防火墙设置设置为,则服务器是否具有特权过多的用户或没有任何用处的用户角色,它将告诉您有关设置的重要安全事项。
- 先进的威胁防护:先进的威胁防护更像是防御SQL注入攻击以及一些常见的事情,在这些事情中,我们让黑客积极地试图通过多次猜测密码来侵入您的服务器。
4.信息安全
- 数据安全–静态:默认情况下,数据在Azure透明数据加密(TDE)中进行加密。 Azure控制密钥,并且加密通常对您是透明的。您可以使用Azure Key Vault控制密钥。如果有人闯入Azure数据中心,他们将无法读取您的数据。但是,如果它们通过网络,进行标识和授权检查,则可以。
- 数据安全性–传输中:这很重要,因为Internet是一系列连接的节点。位于一台服务器和另一台服务器之间的任何人都可以读取数据,因此使用SSL / TLS(即HTTPS)对数据进行加密非常重要。在Azure以外传输的所有数据都应加密传输
- 始终加密:某些Azure数据库服务支持“始终加密”模式。数据在客户端加密,并以加密状态存储。没有密钥,任何人都无法读取它,只有客户端才拥有密钥。如果客户端被黑客入侵,他们可以读取数据。
- 数据屏蔽–匿名化:有时,您不需要始终访问敏感数据字段。即,您可能需要知道订单金额,订单编号,订单日期,订购的产品等。您可以将访问客户的个人身份信息的权限限制为仅某些帐户。对于查询所需的某些字段,数据屏蔽将返回*****。
- 存储加密的数据:您始终可以选择让应用程序进行加密。如果要存储密码,请使用良好的哈希算法和盐对它们进行哈希处理。无需在服务器端以纯文本形式发送密码并对其进行加密,您可以进行哈希处理并在适当的算法中使用盐。
5.客户数据: SQL数据库和SQL托管实例通过动态的传输层安全性(TLS)加密来保护客户数据。