Considerações de segurança para o SQL Server no Linux

Aplica-se a:SQL Server no Linux

Proteger o SQL Server no Linux é um processo contínuo porque o Linux é um sistema operacional heterogêneo e em constante evolução. Nosso objetivo é ajudar nossos clientes a melhorar a segurança de forma incremental, baseando-se no que eles já têm e refinando ao longo do tempo. Esta página serve como um índice de práticas-chave e recursos para proteger o SQL Server no Linux.

Começar com um sistema Linux seguro

Este artigo assume que você tenha implantado o SQL Server em um sistema Linux reforçado e seguro. As medidas de segurança variam de acordo com a distribuição do Linux. Para obter mais informações, consulte Introdução ao SQL Server no SELinux.

As práticas de segurança variam de acordo com a distribuição do Linux que você está usando. Para obter diretrizes detalhadas, entre em contato com seu provedor de distribuição e examine as melhores práticas recomendadas. Você também pode consultar a documentação, como:

Sempre valide sua plataforma e configuração escolhidas em um ambiente de teste controlado antes de implantar em produção.

Aplicar diretrizes de segurança do SQL Server

O SQL Server no Linux oferece uma estrutura de segurança robusta combinando várias camadas de proteção.

Crie contas e usuários de banco de dados sob o princípio de privilégios mínimos.
Use recursos avançados, como segurança em nível de linha e mascaramento de dados dinâmicos para controle de acesso granular.
A segurança do sistema de arquivos é imposta por meio de propriedade e permissões estritas, /var/opt/mssqlgarantindo que apenas o usuário e o mssql grupo tenham acesso apropriado.
Para a integração empresarial, a autenticação do Active Directory permite autenticação única (SSO) baseada em Kerberos, políticas de senha centralizadas e gerenciamento de acesso com base em grupos.
As conexões criptografadas protegem os dados em trânsito usando TLS, com opções para criptografia iniciada pelo servidor ou pelo cliente e suporte para certificados que atendem aos padrões do setor.

Juntos, esses recursos fornecem uma abordagem abrangente para proteger implantações do SQL Server no Linux. Examine e implemente recomendações desses principais recursos:

Auditoria do SQL Server no Linux

O SQL Server no Linux dá suporte ao recurso interno de Auditoria do SQL Server, permitindo que você acompanhe e registre eventos no nível do servidor e do banco de dados para monitoramento de conformidade e segurança.

Criar uma auditoria de servidor e uma especificação de auditoria de servidor

Práticas recomendadas comuns

Atualize regularmente o sistema operacional Linux e o SQL Server.
Dedique servidores de produção exclusivamente a cargas de trabalho do SQL Server.
Aplique o princípio de privilégio mínimo para contas e serviços.
Desabilite a conta SA como uma prática recomendada.

Para práticas recomendadas de segurança comuns no Windows e no Linux, consulte as práticas recomendadas de segurança do SQL Server

Desabilitar a conta SA como uma melhor prática

Ao se conecta à instância do SQL Server usando a conta de administrador do sistema (sa) pela primeira vez após a instalação, é importante seguir essas etapas e desabilitar imediatamente a conta sa como uma melhor prática de segurança.

Crie um novo logon e torne-o um membro da função de servidor sysadmin.
- Dependendo se você tem uma implantação de contêiner ou não contêiner, habilite a autenticação do Windows, crie um novo logon baseado no Windows e adicione-o à função de servidor sysadmin.
  - Tutorial: usar o adutil para configurar a autenticação do Active Directory com o SQL Server no Linux
  - Tutorial: Configurar a autenticação do Active Directory com contêineres do SQL Server em Linux
- Do contrário, crie um logon usando a autenticação do SQL Server e adicione-o à função de servidor sysadmin.
Conecte-se à instância do SQL Server usando o novo logon que você criou.
Desative a conta sa, conforme recomendado para as melhores práticas de segurança.

Limitações de segurança para SQL Server em Linux

O SQL Server em Linux atualmente tem as seguintes limitações:

A partir do SQL Server 2025 (17.x) no Linux, você pode impor a política de senha personalizada. Para obter mais informações, consulte Definir política de senha personalizada para logons sql no SQL Server no Linux.

No SQL Server 2022 (16.x) no Linux e em versões anteriores, fornecemos uma política de senha padrão:
- MUST_CHANGE é a única opção que você pode configurar.
- Com a opção CHECK_POLICY habilitada, somente a política padrão fornecida pelo SQL Server é imposta e não aplica as políticas de senha do Windows definidas nas políticas de grupo do Active Directory.
- A expiração da senha é embutida no código para acontecer a cada 90 dias se você usa a autenticação do SQL Server. Para contornar esse problema, considere alterar o ALTER LOGIN.
O EKM (Gerenciamento extensível de chaves) só tem suporte por meio do AKV (Azure Key Vault) no SQL Server 2022 (16.x) CU12 em diante e não está disponível em versões anteriores. Não há suporte para provedores EKM de terceiros para o SQL Server em sistemas operacionais Linux.
O modo de autenticação do SQL Server não pode ser desabilitado.
O SQL Server gera seu próprio certificado autoassinado para criptografar conexões. Você pode configurar o SQL Server para usar um certificado fornecido pelo usuário para TLS.
As implantações do SQL Server no Linux não são compatíveis com FIPS.

Proteger o SQL Server em implantações de contêiner do Linux

Para obter informações sobre como proteger contêineres do SQL Server, consulte Contêineres seguros do SQL Server Linux.

Comentários

Esta página foi útil?

Last updated on 2025-11-25