Implementación de la seguridad para proteger Azure SQL

  • 9 minutos

Comprender y administrar eficazmente las reglas de firewall de servidor y base de datos, así como Microsoft Defender para SQL, es esencial para garantizar la protección de los recursos de Azure SQL durante la migración y versiones posteriores.

Configuración de reglas de firewall de servidor y base de datos

En Azure SQL Database, puede configurar reglas de firewall tanto en el nivel de servidor como en el nivel de base de datos.

Reglas de firewall de nivel de servidor

Las reglas de firewall de nivel de servidor controlan el acceso a Azure SQL Database en un nivel más amplio y determinan qué direcciones IP pueden conectarse al servidor. Por el contrario,

Captura de pantalla de la administración de reglas de servidor a través de Azure Portal.

Las reglas de firewall de nivel de servidor permiten a los usuarios conectarse a todas las bases de datos de servidor, mientras que los firewalls de nivel de base de datos controlan el acceso de direcciones IP específicas a bases de datos individuales.

Puede configurar reglas de firewall de nivel de servidor a través de Azure Portal o mediante el sp_set_firewall_rule procedimiento almacenado dentro de la base de datos maestra .

Nota:

La opción Permitir que los servicios y recursos de Azure accedan a esta configuración de servidor cuenta como una única regla de firewall cuando está habilitada. De forma predeterminada, bloquee todo el acceso y ábralo solo cuando sea necesario.

Reglas de firewall de nivel de base de datos

Las reglas de nivel de base de datos ofrecen un control más específico dentro de bases de datos individuales. Puede configurar reglas de firewall de nivel de base de datos a través de T-SQL solo mediante el procedimiento almacenado sp_set_database_firewall_rule desde la base de datos de usuario.

Al conectarse, Azure SQL Database comprueba si hay una regla de firewall de nivel de base de datos específica del nombre de la base de datos proporcionada. Si no se encuentra esa regla, comprueba las reglas de firewall de IP de nivel de servidor, que se aplican a todas las bases de datos del servidor. Si existe alguna regla, se establece la conexión.

Si no existe ninguna regla y el usuario usa SQL Server Management Studio o Azure Data Studio para conectarse, se le pedirá que cree una regla de firewall.

Captura de pantalla que muestra el cuadro de diálogo nueva regla de firewall de SQL Server Management Studio.

Para más información sobre las reglas de firewall de nivel de servidor y las reglas de firewall de nivel de base de datos, consulte Reglas de firewall de IP de Azure SQL Database y Azure Synapse.

Microsoft Defender para SQL

Microsoft Defender para SQL es una solución de seguridad completa para Azure SQL Database, Azure SQL Managed Instance y SQL Server en máquinas virtuales de Azure. Supervisa y evalúa continuamente la seguridad de la base de datos, ofreciendo recomendaciones personalizadas para reforzarla.

Además, proporciona funcionalidades de seguridad avanzadas, incluida la evaluación de vulnerabilidades de SQL y Advanced Threat Protection, para proteger proactivamente el estado de los datos. Esta solución todo en uno le ayuda a mantener un alto nivel de seguridad en el entorno de SQL.

Hay dos maneras diferentes de habilitar Microsoft Defender para SQL.

Método Descripción
Nivel de suscripción (recomendado) Habilite en el nivel de suscripción para una protección completa de todas las bases de datos de Azure SQL Database e Instancia administrada de Azure SQL. Puede deshabilitarlos individualmente si es necesario.
Nivel de recurso Como alternativa, puede habilitarlo en el nivel de recurso si prefiere administrar la protección de bases de datos específicas manualmente.

Evaluación de vulnerabilidad de SQL

La evaluación de vulnerabilidades de SQL usa una base de conocimiento de reglas basadas en los procedimientos recomendados de Microsoft. Marca vulnerabilidades de seguridad, configuraciones incorrectas, permisos excesivos y datos confidenciales no protegidos.

Tiene dos opciones de configuración para la evaluación de vulnerabilidades de SQL:

  1. Configuración rápida: es la opción predeterminada y no requiere almacenamiento externo para los resultados de línea base y examen.

  2. Configuración clásica: necesita administrar una cuenta de Azure Storage para almacenar los datos de resultados de línea base y de examen.

Captura de pantalla que muestra el panel de evaluación de vulnerabilidades de SQL en Azure Portal.

Protección contra amenazas avanzada

Advanced Threat Protection mejora la seguridad de Azure SQL mediante la detección y respuesta a intentos de acceso a bases de datos inusuales o potencialmente perjudiciales.

Proporciona alertas de seguridad para actividades sospechosas de base de datos, posibles vulnerabilidades, ataques por inyección de código SQL y patrones de acceso anómalos, integrados con Microsoft Defender for Cloud. Esta integración ofrece información y acciones recomendadas para investigar y mitigar amenazas, lo que hace que sea accesible para expertos que no son de seguridad.

Captura de pantalla que muestra la lista de recomendaciones de protección contra amenazas avanzada en Azure Portal.

Para obtener una lista de alertas, consulte Alertas para SQL Database y Azure Synapse Analytics en Microsoft Defender for Cloud.