Lista de verificação de segurança do banco de dados do Azure

Para ajudar a melhorar a segurança, o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure incluem controles de segurança internos que podem ser usados para limitar e controlar o acesso, proteger dados e monitorar ameaças.

Os controles de segurança incluem:

Regras de firewall que limitam a conectividade por endereço IP e rede virtual
Autenticação do Microsoft Entra para gerenciamento de identidade centralizado
Conectividade segura usando criptografia TLS
Gerenciamento e autorização de acesso
Criptografia de dados em repouso e em trânsito
Auditoria de banco de dados e detecção de ameaças
Recursos avançados de segurança de dados

Introdução

A computação em nuvem requer novos paradigmas de segurança que podem não ser familiares para muitos usuários de aplicativos, administradores de banco de dados e programadores. As organizações podem aproveitar os recursos de segurança abrangentes do SQL do Azure para proteger dados confidenciais e atender aos requisitos de conformidade regulatória.

Lista de verificação

Recomendamos que você leia o artigo de práticas recomendadas de segurança do Banco de Dados SQL do Azure antes de examinar essa lista de verificação. Entender as práticas recomendadas ajudará você a obter o maior valor dessa lista de verificação. Use esta lista de verificação para verificar se você abordou os controles de segurança importantes na segurança do banco de dados do Azure.

Categoria da lista de verificação	Descrição
Proteger dados
Criptografia em trânsito	O TLS (Transport Layer Security) criptografa dados em movimento entre clientes e bancos de dados. O SQL do Azure requer TLS 1.2 ou superior para conexões seguras. O banco de dados requer uma comunicação segura de clientes com base no protocolo TDS (Fluxo de Dados Tabulares) no TLS.
Criptografia em repouso	O TDE (Transparent Data Encryption) criptografa dados e arquivos de log em repouso. O TDE é habilitado por padrão em todos os novos bancos de dados SQL do Azure. Traga sua própria chave (BYOK) permite que você gerencie chaves de criptografia TDE no Azure Key Vault.
Criptografia em uso	O Always Encrypted protege dados confidenciais criptografando-os em aplicativos cliente. As chaves de criptografia nunca chegam ao mecanismo de banco de dados, garantindo a separação entre os proprietários de dados e os gerenciadores de dados. Column-Level Encryption (CLE) criptografa colunas específicas usando criptografia simétrica para proteção adicional de dados confidenciais.
Controlar acesso
Acesso ao banco de dados	A autenticação do Microsoft Entra fornece gerenciamento de identidade centralizado com recursos de SSO (logon único). A autenticação SQL com senhas fortes fornece um método de autenticação alternativo. A autorização concede aos usuários os privilégios mínimos necessários usando o controle de acesso baseado em função.
Controle de acesso à rede	As regras de firewall de IP no nível do servidor restringem o acesso com base nos endereços IP de origem. As regras de firewall de IP no nível do banco de dados fornecem controle de acesso granular por banco de dados. Os pontos de extremidade de serviço de Rede Virtual permitem a conectividade de redes virtuais específicas do Azure. O Link Privado fornece conectividade privada ao Banco de Dados SQL do Azure usando um endereço IP privado em sua rede virtual.
Controle de acesso do aplicativo	Row-Level Security (RLS) restringe o acesso em nível de linha com base no contexto de identidade, função ou execução de um usuário. O Máscara de Dados Dinâmicos limita a exposição de dados confidenciais mascarando-os a usuários não privilegiados sem alterar os dados subjacentes. A Descoberta e Classificação de Dados identifica, classifica e rotula dados confidenciais para melhor proteção e conformidade.
Monitoramento proativo
Auditoria e detecção	A auditoria rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de Armazenamento do Azure, no workspace do Log Analytics ou nos Hubs de Eventos. Acompanhe a integridade do Banco de Dados SQL do Azure usando o Azure Monitor e as configurações de diagnóstico. O Microsoft Defender para SQL detecta atividades anômalas de banco de dados que indicam possíveis ameaças à segurança, incluindo injeção de SQL, ataques de força bruta e explorações de vulnerabilidade.
Avaliação de vulnerabilidade	A Avaliação de Vulnerabilidades descobre, rastreia e ajuda a corrigir possíveis vulnerabilidades de banco de dados. Fornece recomendações de segurança acionáveis e relatórios de risco para conformidade.
Gerenciamento de segurança centralizado	O Microsoft Defender para Nuvem fornece monitoramento e gerenciamento de segurança centralizados para o Banco de Dados SQL do Azure e outros serviços do Azure. Recomendações de segurança com base no parâmetro de comparação de segurança na nuvem da Microsoft.
Integridade de dados
Capacidade de Ledger	Ledger fornece capacidades de prova de violação, criando um registro imutável de transações de banco de dados. Ajuda a atender aos requisitos de conformidade para verificação de integridade de dados.

Conclusão

O Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure fornecem plataformas de banco de dados robustas com recursos de segurança abrangentes que atendem aos requisitos de conformidade organizacional e regulatória. Você pode proteger dados em todo o ciclo de vida , em repouso, em trânsito e em uso, usando Transparent Data Encryption, Always Encrypted e TLS. Controles de acesso refinados, incluindo segurança Row-Level, máscara dinâmica de dados e autenticação do Microsoft Entra, garantem que apenas usuários autorizados acessem dados confidenciais. O monitoramento contínuo por meio da auditoria, do Microsoft Defender para SQL e da Avaliação de Vulnerabilidades ajuda a identificar e corrigir ameaças de segurança proativamente.

Próximas etapas

Você pode melhorar a proteção do banco de dados contra usuários mal-intencionados ou acesso não autorizado com algumas etapas simples:

Configurar regras de firewall para seu servidor e bancos de dados
Proteger seus dados com criptografia
Habilitar a auditoria do Banco de Dados SQL
Habilitar o Microsoft Defender para SQL para detecção de ameaças
Examinar as práticas recomendadas de segurança

Comentários

Esta página foi útil?

Last updated on 2025-11-07