Implémenter la sécurité pour protéger Azure SQL

  • 9 minutes

Comprendre et gérer efficacement les règles de pare-feu de serveur et de base de données, ainsi que Microsoft Defender pour SQL, est essentiel pour garantir la protection de vos ressources Azure SQL pendant la migration et au-delà.

Configurer des règles de pare-feu de serveur et de base de données

Dans Azure SQL Database, vous pouvez configurer des règles de pare-feu au niveau du serveur et au niveau de la base de données.

Règles de pare-feu au niveau du serveur

Les règles de pare-feu au niveau du serveur contrôlent l’accès à Azure SQL Database sur un niveau plus large, en déterminant les adresses IP qui peuvent se connecter au serveur. En revanche,

Capture d’écran de la gestion des règles de serveur via le portail Azure.

Les règles de pare-feu au niveau du serveur permettent aux utilisateurs de se connecter à toutes les bases de données serveur, tandis que les pare-feu au niveau de la base de données contrôlent l’accès pour des adresses IP spécifiques à des bases de données individuelles.

Vous pouvez configurer des règles de pare-feu au niveau du serveur via le portail Azure ou à l’aide de la sp_set_firewall_rule procédure stockée dans la base de données master .

Remarque

Le paramètre de serveur Autoriser les services et ressources Azure à accéder à ce serveur compte comme une seule règle de pare-feu lorsqu'il est activé. Par défaut, bloquez tout accès et ouvrez-le uniquement si nécessaire.

Règles de pare-feu au niveau de la base de données

Les règles au niveau de la base de données offrent un contrôle plus spécifique dans des bases de données individuelles. Vous pouvez configurer des règles de pare-feu au niveau de la base de données via T-SQL uniquement à l’aide de la procédure stockée sp_set_database_firewall_rule à partir de la base de données utilisateur.

Lors de la connexion, Azure SQL Database recherche une règle de pare-feu au niveau de la base de données spécifique au nom de la base de données fournie. Si cette règle est introuvable, elle vérifie les règles de pare-feu IP au niveau du serveur, qui s’appliquent à toutes les bases de données sur le serveur. Si l’une ou l’autre règle existe, la connexion est établie.

Si aucune règle n’existe et que l’utilisateur utilise SQL Server Management Studio ou Azure Data Studio pour se connecter, il est invité à créer une règle de pare-feu.

Capture d’écran montrant la boîte de dialogue nouvelle règle de pare-feu à partir de SQL Server Management Studio.

Pour en savoir plus sur les règles de pare-feu au niveau du serveur et les règles de pare-feu au niveau de la base de données, consultez les règles de pare-feu IP Azure SQL Database et Azure Synapse.

Microsoft Defender pour SQL

Microsoft Defender pour SQL est une solution de sécurité complète pour Azure SQL Database, Azure SQL Managed Instance et SQL Server sur une machine virtuelle Azure. Il surveille et évalue en permanence la sécurité de votre base de données, offrant des recommandations personnalisées pour la renforcer.

Il fournit également des fonctionnalités de sécurité avancées, notamment l’évaluation des vulnérabilités SQL et Advanced Threat Protection, pour protéger de manière proactive votre état des données. Cette solution tout-en-un vous aide à maintenir un niveau élevé de sécurité dans votre environnement SQL.

Il existe deux façons différentes d’activer Microsoft Defender pour SQL.

Méthode Descriptif
Niveau d’abonnement (recommandé) Activez-le au niveau de l’abonnement pour une protection complète de toutes les bases de données dans Azure SQL Database et Azure SQL Managed Instance. Vous pouvez les désactiver individuellement si nécessaire.
Niveau de ressource Vous pouvez également l’activer au niveau de la ressource si vous préférez gérer la protection pour des bases de données spécifiques manuellement.

Évaluation des vulnérabilités SQL

L’évaluation des vulnérabilités SQL utilise une base de connaissances de règles basée sur les meilleures pratiques de Microsoft. Il signale les vulnérabilités de sécurité, les configurations incorrectes, les autorisations excessives et les données sensibles non protégées.

Vous avez deux choix de configuration pour l’évaluation des vulnérabilités SQL :

  1. Configuration Express : il s’agit de l’option par défaut et ne nécessite pas de stockage externe pour les résultats de référence et d’analyse.

  2. Configuration classique : il vous faut gérer un compte de stockage Azure pour stocker les données de base de référence et d’analyse des résultats.

Capture d’écran montrant le tableau de bord d’évaluation des vulnérabilités SQL sur le portail Azure.

Protection avancée contre les menaces

Advanced Threat Protection améliore la sécurité d’Azure SQL en détectant et en répondant aux tentatives d’accès aux bases de données inhabituelles ou potentiellement dangereuses.

Il fournit des alertes de sécurité pour les activités suspectes de base de données, les vulnérabilités potentielles, les attaques par injection SQL et les modèles d’accès anormaux, intégrés à Microsoft Defender pour Cloud. Cette intégration offre des insights et des actions recommandées pour l’examen et l’atténuation des menaces, ce qui le rend accessible aux experts en non-sécurité.

Capture d’écran montrant la liste des recommandations avancées de protection contre les menaces sur le portail Azure.

Pour obtenir la liste des alertes, consultez les alertes pour SQL Database et Azure Synapse Analytics dans Microsoft Defender pour Cloud.