Implementar a segurança para proteger o SQL do Azure

  • 9 minutos

Entender e gerenciar efetivamente regras de firewall de servidor e banco de dados, bem como o Microsoft Defender para SQL, é essencial para garantir a proteção aos recursos do SQL do Azure durante a migração e além.

Configurar regras de firewall de servidor e banco de dados

No Banco de Dados SQL do Azure, você pode configurar regras de firewall no nível do servidor e no nível do banco de dados.

Regras de firewall no nível do servidor

As regras de firewall no nível do servidor controlam o acesso ao Banco de Dados SQL do Azure em um nível mais amplo, determinando quais endereços IP podem se conectar ao servidor. Por outro lado,

Captura de tela do gerenciamento de regras do servidor por meio do portal do Azure.

As regras de firewall no nível do servidor permitem que os usuários se conectem a todos os bancos de dados de servidor, enquanto os firewalls no nível do banco de dados controlam o acesso a endereços IP específicos a bancos de dados individuais.

Você pode configurar regras de firewall no nível do servidor por meio do portal do Azure ou usando o sp_set_firewall_rule procedimento armazenado no banco de dados mestre .

Observação

A configuração de servidor Permitir que serviços e recursos do Azure acessem este servidor conta como uma única regra de firewall quando habilitada. Por padrão, bloqueie todo o acesso e abra-o apenas quando necessário.

Regras de firewall no nível de banco de dados

As regras no nível do banco de dados oferecem um controle mais específico em bancos de dados individuais. Você pode configurar regras de firewall no nível do banco de dados por meio do T-SQL usando apenas o procedimento armazenado sp_set_database_firewall_rule de dentro do banco de dados do usuário.

Ao se conectar, o Banco de Dados SQL do Azure verifica uma regra de firewall no nível do banco de dados específica ao nome do banco de dados fornecido. Se essa regra não for encontrada, ela verificará as regras de firewall de IP no nível do servidor, que se aplicam a todos os bancos de dados no servidor. Se houver uma regra, a conexão será estabelecida.

Se nenhuma regra existir e o usuário estiver usando o SQL Server Management Studio ou o Azure Data Studio para se conectar, ele será solicitado a criar uma regra de firewall.

Captura de tela mostrando a nova caixa de diálogo de regra de firewall do SQL Server Management Studio.

Para saber mais sobre regras de firewall no nível do servidor e regras de firewall no nível do banco de dados, consulte as regras de firewall de IP do Banco de Dados SQL do Azure e do Azure Synapse.

Microsoft Defender para SQL

O Microsoft Defender para SQL é uma solução de segurança abrangente para o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure e o SQL Server na VM do Azure. Ele monitora e avalia continuamente a segurança do banco de dados, oferecendo recomendações personalizadas para fortalecê-lo.

Além disso, ele fornece recursos avançados de segurança, incluindo de avaliação de vulnerabilidade do SQL e de Proteção Avançada contra Ameaças, para proteger proativamente seu estado de dados. Essa solução all-in-one ajuda você a manter um alto nível de segurança em seu ambiente SQL.

Há duas maneiras diferentes de habilitar o Microsoft Defender para SQL.

Método Descrição
Nível de assinatura (recomendado) Habilite-o no nível da assinatura para proteção abrangente de todos os bancos de dados no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL do Azure. Você pode desabilitá-los individualmente, se necessário.
Nível de recurso Como alternativa, você pode habilitá-lo no nível do recurso se preferir gerenciar a proteção para bancos de dados específicos manualmente.

Avaliação de vulnerabilidade do SQL

A avaliação de vulnerabilidades do SQL usa uma base de dados de conhecimento de regras com base nas práticas recomendadas da Microsoft. Ele sinaliza vulnerabilidades de segurança, configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.

Você tem duas opções de configuração para a Avaliação de Vulnerabilidades do SQL:

  1. Configuração Expressa: é a opção padrão e não requer armazenamento externo para resultados de linha de base e verificação.

  2. Configuração Clássica: isso requer que você mesmo gerencie uma conta de armazenamento do Azure para armazenar dados da linha de base e dos resultados de verificação.

Captura de tela mostrando o painel de avaliação de vulnerabilidades do SQL no portal do Azure.

Proteção Avançada contra Ameaças

A Proteção Avançada contra Ameaças aprimora a segurança do SQL do Azure detectando e respondendo a tentativas de acesso de banco de dados incomuns ou potencialmente prejudiciais.

Ele fornece alertas de segurança para atividades suspeitas de banco de dados, possíveis vulnerabilidades, ataques de injeção de SQL e padrões de acesso anormais, integrados ao Microsoft Defender para Nuvem. Essa integração oferece insights e ações recomendadas para investigar e mitigar ameaças, tornando-a acessível a especialistas em não segurança.

Captura de tela mostrando a lista avançada de recomendações de proteção contra ameaças no portal do Azure.

Para obter uma lista de alertas, consulte os Alertas do Banco de Dados SQL e do Azure Synapse Analytics no Microsoft Defender para Nuvem.