Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
Azure SQL Managed Instance
Azure SQL Managed Instance es un motor de base de datos de plataforma como servicio (PaaS) totalmente administrado que proporciona casi 100% compatibilidad con el motor de base de datos de SQL Server más reciente. Combina lo mejor de SQL Server con las ventajas operativas de un servicio totalmente administrado. Dado que a menudo almacena datos empresariales críticos, incluidos los registros de clientes, la información financiera y la propiedad intelectual, proteger la instancia administrada de SQL es esencial para protegerse frente a infracciones de datos, acceso no autorizado y infracciones de cumplimiento.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure SQL Managed Instance.
Seguridad de red
La seguridad de red para SQL Managed Instance ayuda a evitar conexiones no autorizadas, reduce la exposición a ataques y garantiza que solo los orígenes de confianza puedan llegar a las bases de datos a través del aislamiento de red y los controles de acceso adecuados.
Implementación en una red virtual dedicada: coloque la instancia administrada en una subred dedicada dentro de la red virtual para proporcionar aislamiento de red y controlar el flujo de tráfico. Esto garantiza que la base de datos esté aislada de otros recursos y protegida por límites de red. Para más información, consulte Requisitos de red virtual.
Configurar grupos de seguridad de red (NSG): aplique grupos de seguridad de red a la subred de instancia administrada de SQL para controlar el tráfico entrante y saliente. Restrinja el acceso solo a los puertos y orígenes necesarios para minimizar la superficie expuesta a ataques. Para obtener más información, consulte Grupos de seguridad de red.
Use puntos de conexión privados siempre que sea posible: conéctese a la instancia administrada de SQL a través de direcciones IP privadas para evitar exponer la base de datos a la red pública de Internet. La conectividad privada reduce el riesgo de ataques externos y filtración de datos. Para obtener más información, consulte Conectividad de punto de conexión privado.
Deshabilitar los puntos de conexión públicos de forma predeterminada: solo habilite los puntos de conexión públicos si es absolutamente necesario para la arquitectura. Cuando se habilita, use reglas de firewall estrictas para limitar el acceso solo a direcciones IP autorizadas. Para obtener más información, consulte Introducción al punto de conexión público.
Implementación de ExpressRoute o VPN para la conectividad híbrida: use Azure ExpressRoute o VPN de sitio a sitio para conexiones privadas seguras entre la red local y Azure. Esto garantiza que los datos no atraviesan la red pública de Internet. Para obtener más información, consulte Arquitectura de conectividad.
Habilitar el cifrado de conexión: configure todas las conexiones de cliente para usar el cifrado en tránsito. Sql Managed Instance admite TLS 1.2 de forma predeterminada, lo que garantiza que los datos están protegidos mientras se mueven entre los clientes y la base de datos. TLS 1.3 también está disponible para SQL Managed Instance. Para obtener más información, consulte Seguridad de conexión.
Administración de identidades
Los controles de identidad y autenticación seguros garantizan que solo los usuarios y aplicaciones autorizados puedan acceder a los recursos de SQL Managed Instance, a la vez que proporcionan administración centralizada de identidades y un control más sencillo del ciclo de vida de las cuentas.
Configurar un administrador de Microsoft Entra: designe un administrador de Microsoft Entra para la instancia administrada de SQL para habilitar la administración centralizada de identidades y las características de seguridad avanzadas. Este administrador puede administrar las directivas de acceso y autenticación. Para más información, consulte Microsoft Entra Administrador.
Usar la autenticación de Microsoft Entra: prefiere la autenticación de Microsoft Entra a través de la autenticación de SQL para la administración centralizada de identidades y un control de ciclo de vida de cuentas más sencillo. Microsoft Entra ID proporciona seguridad superior y habilita características avanzadas como el acceso condicional. Para obtener más información, consulte Configurar la autenticación de Microsoft Entra.
Crear usuarios de base de datos independientes: use usuarios de base de datos independientes que se asignan a grupos de Microsoft Entra en lugar de inicios de sesión de nivel de servidor siempre que sea posible. Esto simplifica la administración de permisos y mejora la seguridad mediante la eliminación de la necesidad de acceso a nivel de servidor. Para obtener más información, vea Uso de bases de datos independientes - Conversión de la base de datos en portátil.
Habilitar la autenticación multifactor: requerir autenticación multifactor para cuentas administrativas y usuarios con privilegios para agregar una capa adicional de seguridad más allá de las contraseñas. Para más información, consulte Autenticación multifactor (MFA).
Uso de identidades administradas para aplicaciones: habilite identidades administradas para recursos de Azure para permitir que las aplicaciones se autentiquen sin almacenar credenciales. Esto elimina la necesidad de administrar cadenas de conexión con contraseñas incrustadas. Para más información, consulte Identidades administradas para recursos de Azure.
Aplicar directivas de contraseña segura: si se usa la autenticación de SQL, se requieren contraseñas complejas que no se pueden adivinar fácilmente. Implemente directivas de rotación de contraseñas y evite reutilizar contraseñas en distintas cuentas. Para obtener más información, consulte Directiva de contraseñas.
Acceso con privilegios
El control del acceso con privilegios evita cambios no autorizados, reduce el impacto de las cuentas en peligro y garantiza que las acciones administrativas se supervisen y controlen correctamente.
Implementar el acceso con privilegios mínimos: conceda a los usuarios solo los permisos mínimos necesarios para realizar sus funciones de trabajo. Revise y ajuste periódicamente los permisos para mantener el principio de privilegios mínimos. Para obtener más información, consulte Introducción a los permisos del motor de base de datos.
Roles administrativos independientes: evite conceder derechos de administrador a todos los administradores de bases de datos. Use permisos más pormenorizados como CONTROL SERVER siempre que sea posible e implemente la separación de tareas entre diferentes funciones administrativas. Para más información, consulte Permisos.
Uso del control de acceso basado en rol (RBAC) de Azure: implemente RBAC de Azure para controlar el acceso a las operaciones de administración de instancias administradas de SQL. Cree roles personalizados que proporcionen solo los permisos necesarios para tareas administrativas específicas. Para más información, consulte Azure RBAC para SQL Managed Instance.
Supervisión de actividades con privilegios: habilite la auditoría para realizar un seguimiento de todas las acciones realizadas por cuentas con privilegios. Revise periódicamente los registros de auditoría de actividades sospechosas o cambios no autorizados. Para obtener más información, consulte Auditoría de SQL Managed Instance.
Usar roles de servidor para el acceso a nivel de base de datos: aproveche los roles de servidor integrados y cree roles personalizados para implementar la seguridad basada en roles. Asigne usuarios a roles en lugar de conceder permisos individuales para simplificar la administración y reducir los errores. Para obtener más información, vea Roles de nivel de servidor.
Protección de los datos
La protección de datos protege su información a través del cifrado, los controles de acceso y la clasificación de datos para evitar la divulgación, manipulación o pérdida de información confidencial no autorizada.
Habilitar cifrado de datos transparente (TDE): use TDE para cifrar la base de datos, el registro y los archivos de copia de seguridad en reposo. Considere la posibilidad de usar claves administradas por el cliente en Azure Key Vault para un control adicional sobre las claves de cifrado. Para obtener más información, consulte Cifrado de datos transparente.
Implemente Always Encrypted para datos confidenciales: Utilice Always Encrypted para proteger los datos altamente confidenciales en uso, en reposo y en tránsito. Esto garantiza que incluso los administradores de bases de datos no puedan ver datos confidenciales en texto no cifrado. Para obtener más información, consulte Always Encrypted.
Uso de ledger en instancia administrada de SQL: habilite ledger para crear un registro inmutable de cambios en datos confidenciales, proporcionando un registro visible de alteraciones. Para obtener más información, consulte Información general del libro de contabilidad.
Usar enmascaramiento dinámico de datos: aplique enmascaramiento dinámico de datos para ofuscar datos confidenciales para usuarios no privados a la vez que conserva la funcionalidad de datos para las aplicaciones. Esto ayuda a evitar el acceso no autorizado a la información confidencial. Para obtener más información, consulte Enmascaramiento dinámico de datos.
Clasificación y etiquetado de datos confidenciales: use detección y clasificación de datos SQL para identificar, clasificar y etiquetar datos confidenciales en las bases de datos. Esto permite mejorar la protección y los informes de cumplimiento. Para obtener más información, consulte Detección y clasificación de datos.
Implementar la seguridad de nivel de columna: conceda permisos en el nivel de columna para restringir el acceso a datos confidenciales. Proporcione solo permisos SELECT, UPDATE o REFERENCES a los usuarios que necesiten acceso específicamente a columnas confidenciales. Para obtener más información, vea Cifrar una columna de datos.
Use Row-Level Security (RLS): implemente RLS para asegurarse de que los usuarios solo pueden acceder a las filas de datos que son relevantes para ellos. Esto proporciona seguridad de nivel de aplicación sin necesidad de cambios significativos en la aplicación. Para obtener más información, consulte Row-Level Security.
Copia de seguridad y recuperación
Los procesos de copia de seguridad y recuperación confiables protegen los datos frente a la pérdida debido a errores, desastres o ataques, a la vez que garantizan que puede cumplir los objetivos de tiempo y punto de recuperación.
Comprobar la configuración de copia de seguridad automatizada: asegúrese de que las copias de seguridad automatizadas están configuradas correctamente y los períodos de retención cumplen los requisitos empresariales. Azure SQL Managed Instance proporciona copias de seguridad automatizadas de forma predeterminada con períodos de retención configurables de hasta 35 días. El almacenamiento de copia de seguridad es independiente del almacenamiento de instancias y no tiene un tamaño limitado. Para obtener más información, consulte Copias de seguridad automatizadas.
Supervisión de la actividad de copia de seguridad: realice un seguimiento cuando se realicen copias de seguridad automatizadas en la instancia administrada de SQL para asegurarse de que las operaciones de copia de seguridad se completan correctamente. Para más información, consulte Supervisión de la actividad de copia de seguridad.
Uso del almacenamiento de copia de seguridad con redundancia geográfica: configure el almacenamiento con redundancia geográfica para las copias de seguridad para protegerse frente a desastres regionales. Esto garantiza que los datos se pueden recuperar incluso si la región primaria deja de estar disponible. Para obtener más información, consulte Redundancia de almacenamiento de respaldo.
Probar procedimientos de copia de seguridad y restauración: pruebe periódicamente los procedimientos de copia de seguridad y restauración para asegurarse de que funcionan correctamente y cumplen los objetivos de tiempo de recuperación. Compruebe que las bases de datos restauradas son totalmente funcionales y se mantiene la integridad de los datos. Para obtener más información, consulte Restauración a un momento dado.
Uso de funcionalidades nativas de copia de seguridad y restauración: aproveche las ventajas de la copia de seguridad y restauración nativas de Azure Blob Storage para escenarios de migración. Puede crear copias de seguridad completas de solo copia y restaurar desde archivos .bak (SQL Server 2005+). La copia de seguridad de solo lectura no es posible si la base de datos está cifrada por el TDE administrado por el servicio. Para obtener más información, consulte Restauración nativa desde la URL.
Implementar directivas de retención a largo plazo: configure la retención de copia de seguridad a largo plazo para los requisitos de cumplimiento que superen el período de retención predeterminado. Esto garantiza que puede cumplir los requisitos normativos para la retención de datos. Para obtener más información, consulte Retención de copias de seguridad a largo plazo.
Supervisión y detección de amenazas
La supervisión completa y la detección de amenazas le ayudan a identificar problemas de seguridad, detectar actividades anómalas y responder rápidamente a posibles amenazas contra la instancia administrada de SQL.
Habilitar Microsoft Defender para SQL: configure Microsoft Defender para SQL para detectar intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. Esto proporciona funcionalidades de protección contra amenazas avanzadas, incluida la evaluación de vulnerabilidades y la detección de amenazas. Para obtener más información, consulte Microsoft Defender para SQL.
Configurar Advanced Threat Protection: configure Advanced Threat Protection para detectar amenazas específicas, como la posible inyección SQL, el acceso desde ubicaciones inusuales o centros de datos, el acceso desde principales desconocidos y las credenciales de SQL por fuerza bruta. Configure las notificaciones de correo electrónico y las cuentas de almacenamiento para las alertas de amenazas. Para obtener más información, consulte Configuración de Advanced Threat Protection.
Configuración de la auditoría de SQL: habilite la auditoría completa para realizar un seguimiento de los eventos de base de datos y escribirlos en Azure Storage, Log Analytics o Event Hubs. Esto proporciona registros detallados para el análisis de seguridad y los informes de cumplimiento. Para obtener más información, consulte Auditoría de SQL Managed Instance.
Configuración de Azure Monitor: use Azure Monitor para recopilar métricas de plataforma, registros de diagnóstico y crear alertas personalizadas para la instancia administrada de SQL. Supervise el consumo de recursos, las métricas de rendimiento y los eventos de seguridad en una ubicación centralizada. Para más información, consulte Supervisión de Azure SQL Managed Instance.
Crear alertas de métricas: configure alertas para actividades sospechosas, intentos de inicio de sesión erróneos, patrones de acceso a bases de datos inusuales y umbrales de consumo de recursos. Las métricas de alerta están disponibles para el nivel de instancia administrada de SQL, no para las bases de datos individuales. Para obtener más información, consulte Creación de alertas para SQL Managed Instance.
Usar la evaluación de vulnerabilidades de SQL: ejecute evaluaciones de vulnerabilidades periódicas para identificar errores de configuración de seguridad y posibles vulnerabilidades en la base de datos. Corrija los problemas identificados rápidamente para mantener una posición de seguridad sólida. Para obtener más información, consulte Evaluación de vulnerabilidades de SQL.
Supervisión con vistas de administración dinámica (DMVs): use las DMVs para supervisar el rendimiento, detectar consultas bloqueadas, cuellos de botella de recursos y actividades relacionadas con la seguridad. Las DMV proporcionan información detallada sobre las operaciones del motor de base de datos y los eventos de seguridad. Para más información, consulte Supervisión del rendimiento de Azure SQL Managed Instance mediante vistas de administración dinámica.
Implementar la supervisión de Query Store: habilitar Query Store para seguir el rendimiento a lo largo del tiempo, identificar regresiones de rendimiento y supervisar los patrones de ejecución de consultas. Esto ayuda a detectar un comportamiento de consulta inusual que podría indicar problemas de seguridad. Para obtener más información, consulte Supervisión del rendimiento mediante el Almacén de consultas.
Utilizar Eventos Extendidos para una supervisión detallada: Emplee Eventos Extendidos (XEvents) para una supervisión de bajo costo y detallada de las actividades de la base de datos, incluidos los eventos de seguridad y problemas de rendimiento. XEvents proporciona una supervisión más granular que SQL Profiler con menos impacto en el rendimiento. Para obtener más información, consulte los eventos extendidos.
Configuración del monitor de base de datos (versión preliminar): considere la posibilidad de usar el monitor de base de datos para la supervisión de cargas de trabajo en profundidad con paneles centralizados y información detallada sobre el rendimiento en todo el patrimonio de Azure SQL. Para más información, consulte Supervisión de cargas de trabajo de Azure SQL con el monitor de base de datos (versión preliminar).
Cumplimiento y gobernanza
Mantener el cumplimiento y la gobernanza garantiza que la implementación de SQL Managed Instance cumpla los requisitos normativos y las directivas de seguridad de la organización a través de controles y documentación adecuados.
Aplicación de Azure Policy para la gobernanza: use Azure Policy para aplicar los estándares de seguridad de la organización y garantizar una configuración coherente en todas las instancias administradas de SQL. Cree directivas personalizadas para requisitos de cumplimiento específicos. Considere las políticas para aplicar la autenticación exclusivamente de Microsoft Entra, la redundancia en el almacenamiento de copias de seguridad y los requisitos de ubicación de los datos. Para más información, consulte Azure Policy para SQL Managed Instance.
Exigir la autenticación solo de Microsoft Entra: use Azure Policy para exigir la autenticación solo de Microsoft Entra para las nuevas instancias de SQL administradas, asegurando que la autenticación de SQL esté deshabilitada para mejorar la seguridad. Esto proporciona administración de identidades centralizada y elimina las vulnerabilidades de autenticación basada en contraseña. Para más información, consulte Uso de Azure Policy para aplicar la autenticación solo de Microsoft Entra.
Implementar la estrategia de etiquetado de recursos: aplique etiquetas de Azure coherentes para identificar la propiedad de los recursos, la clasificación del entorno, los centros de costos y los requisitos de cumplimiento. Use etiquetas para la gobernanza automatizada, el seguimiento de costos y la administración de recursos. Para más información, consulte Desarrollo de la estrategia de nomenclatura y etiquetado para los recursos de Azure.
Aproveche Microsoft Purview para la gobernanza de datos: integre con Microsoft Purview para la clasificación de datos, el seguimiento de linaje y la gobernanza unificada de datos en todo el patrimonio de datos. Use etiquetas de confidencialidad y directivas de prevención de pérdida de datos para proteger los datos clasificados. Para obtener más información, consulte Microsoft Purview Information Protection.
Documentar procedimientos de seguridad: mantenga una documentación completa de los procedimientos de seguridad, los planes de respuesta a incidentes y las directivas de control de acceso. Revise y actualice periódicamente la documentación para reflejar los procedimientos actuales y los requisitos de cumplimiento. Para obtener más información, consulte Procedimientos recomendados de seguridad.
Realizar evaluaciones de seguridad periódicas: realice evaluaciones periódicas de seguridad para evaluar su posición de seguridad e identificar áreas para mejorar. Incluya pruebas de penetración y evaluaciones de vulnerabilidades en el programa de seguridad. Documente los esfuerzos de corrección para los informes de cumplimiento. Para obtener más información, consulte Evaluación de vulnerabilidades de SQL.
Mantener los registros de auditoría: asegúrese de que todas las acciones administrativas y el acceso a los datos se registran correctamente y se mantienen los registros de auditoría durante el período de retención necesario. Proteja los registros de auditoría frente a alteraciones o accesos no autorizados. Configure la retención del registro de auditoría en función de los requisitos normativos (SOX, PCI DSS). Para obtener más información, consulte Información general sobre auditoría.
Cumplir los estándares de cumplimiento normativo: Azure SQL Managed Instance admite el cumplimiento de varios marcos normativos, como ISO 27001, PCI DSS, FedRAMP y SOX. Revise e implemente controles específicos de sus requisitos del sector. Para más información, consulte la documentación de cumplimiento de Azure.
Uso de bloqueos de recursos: aplique bloqueos de recursos para evitar la eliminación accidental o la modificación de recursos críticos de instancia administrada de SQL. Esto ayuda a mantener la integridad de la configuración y evita cambios no autorizados que podrían afectar al cumplimiento. Para más información, consulte Bloqueos de recursos.
Supervisión con Azure Advisor: use Azure Advisor para recibir recomendaciones personalizadas de seguridad, optimización de costos, rendimiento y excelencia operativa. Revise e implemente periódicamente recomendaciones de advisor para mantener los procedimientos recomendados. Para más información, consulte Azure Advisor.
Contenido relacionado
Para obtener instrucciones de seguridad completas, consulte Procedimientos recomendados de seguridad de Azure SQL Managed Instance e Introducción a las funcionalidades de seguridad de Azure SQL Managed Instance.