Liste de contrôle de la sécurité des bases de données Azure

Pour améliorer la sécurité, Azure SQL Database et Azure SQL Managed Instance incluent des contrôles de sécurité intégrés que vous pouvez utiliser pour limiter et contrôler l’accès, protéger les données et surveiller les menaces.

Les contrôles de sécurité incluent :

Règles de pare-feu limitant la connectivité par adresse IP et réseau virtuel
Authentification Microsoft Entra pour la gestion centralisée des identités
Connectivité sécurisée à l’aide du chiffrement TLS
Gestion et autorisation des accès
Chiffrement des données au repos et en transit
Audit de base de données et détection des menaces
Fonctionnalités avancées de sécurité des données

Introduction

Le cloud computing nécessite de nouveaux paradigmes de sécurité qui peuvent ne pas être familiers à de nombreux utilisateurs d’applications, administrateurs de base de données et programmeurs. Les organisations peuvent tirer parti des fonctionnalités de sécurité complètes d’Azure SQL pour protéger les données sensibles et répondre aux exigences de conformité réglementaire.

Check-list

Nous vous recommandons de lire l’article relatif aux bonnes pratiques de sécurité Azure SQL Database avant de passer en revue cette liste de contrôle. Comprendre les meilleures pratiques vous aidera à tirer le meilleur parti de cette liste de contrôle. Utilisez cette liste de contrôle pour vérifier que vous avez résolu les contrôles de sécurité importants dans la sécurité de base de données Azure.

Catégorie de la liste de contrôle	Description
Protection les données
Chiffrement en transit	Transport Layer Security (TLS) chiffre les données en mouvement entre les clients et les bases de données. Azure SQL nécessite TLS 1.2 ou une version ultérieure pour les connexions sécurisées. La base de données nécessite une communication sécurisée à partir de clients basés sur le protocole TDS (Flux de données tabulaires) sur TLS.
Chiffrement au repos	Transparent Data Encryption (TDE) chiffre les données et les fichiers journaux à l'état de repos. TDE est activé par défaut sur toutes les nouvelles bases de données Azure SQL. Bring Your Own Key (BYOK) vous permet de gérer les clés de chiffrement TDE dans Azure Key Vault.
Chiffrement en cours d’utilisation	Always Encrypted protège les données sensibles en les chiffrant dans les applications clientes. Les clés de chiffrement n’atteignent jamais le moteur de base de données, ce qui garantit la séparation entre les propriétaires de données et les gestionnaires de données. Column-Level Encryption (CLE) chiffre des colonnes spécifiques à l’aide du chiffrement symétrique pour une protection supplémentaire des données sensibles.
Contrôle des accès
Accès à la base de données	L’authentification Microsoft Entra fournit une gestion centralisée des identités avec des fonctionnalités d’authentification unique (SSO). L’authentification SQL avec des mots de passe forts fournit une autre méthode d’authentification. L’autorisation accorde aux utilisateurs les privilèges minimaux nécessaires à l’aide du contrôle d’accès en fonction du rôle.
Contrôle d’accès réseau	Les règles de pare-feu IP au niveau du serveur limitent l’accès en fonction des adresses IP d’origine. Les règles de pare-feu IP au niveau de la base de données fournissent un contrôle d’accès granulaire par base de données. Les points de terminaison de service de réseau virtuel autorisent la connectivité à partir de réseaux virtuels Azure spécifiques. Private Link fournit une connectivité privée à Azure SQL Database à l’aide d’une adresse IP privée au sein de votre réseau virtuel.
Un contrôle d’accès aux applications	Row-Level Security (RLS) limite l’accès au niveau des lignes en fonction de l’identité, du rôle ou du contexte d’exécution d’un utilisateur. Le masquage dynamique des données limite l’exposition des données sensibles en le masquant aux utilisateurs non privilégiés sans modifier les données sous-jacentes. La découverte et la classification des données identifient, classifient et étiquettent les données sensibles pour une protection et une conformité améliorées.
Surveillance proactive
Audit et détection	L’audit effectue le suivi des événements de base de données et les écrit dans un journal d’audit dans votre compte stockage Azure, votre espace de travail Log Analytics ou Event Hubs. Suivez l’intégrité d’Azure SQL Database à l’aide d’Azure Monitor et des paramètres de diagnostic. Microsoft Defender pour SQL détecte les activités anormales de base de données indiquant les menaces de sécurité potentielles, notamment l’injection SQL, les attaques par force brute et les attaques par vulnérabilité.
Évaluation des vulnérabilités	L’évaluation des vulnérabilités détecte, suit et aide à corriger les vulnérabilités potentielles de la base de données. Fournit des recommandations de sécurité exploitables et des rapports de risque pour la conformité.
Gestion centralisée de la sécurité	Microsoft Defender pour Cloud fournit une supervision et une gestion centralisées de la sécurité pour Azure SQL Database et d’autres services Azure. Recommandations de sécurité basées sur le benchmark de sécurité cloud Microsoft.
Intégrité des données
Fonctionnalité de registre	Ledger offre des fonctionnalités de détection de falsification en créant un enregistrement immuable des transactions de base de données. Permet de répondre aux exigences de conformité pour la vérification de l’intégrité des données.

Conclusion

Azure SQL Database et Azure SQL Managed Instance fournissent des plateformes de base de données robustes avec des fonctionnalités de sécurité complètes répondant aux exigences de conformité organisationnelles et réglementaires. Vous pouvez protéger les données tout au long de son cycle de vie( au repos, en transit et en cours d’utilisation) à l’aide de Transparent Data Encryption, Always Encrypted et TLS. Les contrôles d’accès affinés, notamment la sécurité Row-Level, le masquage dynamique des données et l’authentification Microsoft Entra, garantissent que seuls les utilisateurs autorisés accèdent aux données sensibles. La surveillance continue grâce à l’audit, à Microsoft Defender pour SQL et à l’évaluation des vulnérabilités permet d’identifier et de corriger de manière proactive les menaces de sécurité.

Étapes suivantes

Vous pouvez améliorer la protection de votre base de données contre les utilisateurs malveillants ou l’accès non autorisé en quelques étapes simples :

Configurer des règles de pare-feu pour votre serveur et vos bases de données
Protéger vos données avec chiffrement
Activer la fonctionnalité d’audit de SQL Database
Activer Microsoft Defender pour SQL pour la détection des menaces
Passer en revue les meilleures pratiques en matière de sécurité

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-11-07