Lista de verificação de segurança do banco de dados do Azure

Para ajudar a melhorar a segurança, o Banco de Dados SQL do Azure e a Instância Gerenciada SQL do Azure incluem controles de segurança internos que você pode usar para limitar e controlar o acesso, proteger dados e monitorar ameaças.

Os controlos de segurança incluem:

Regras de firewall que limitam a conectividade por endereço IP e rede virtual
Autenticação do Microsoft Entra para gerenciamento centralizado de identidades
Conectividade segura usando criptografia TLS
Gestão e autorização de acessos
Encriptação de dados em repouso e em trânsito
Auditoria de banco de dados e deteção de ameaças
Recursos avançados de segurança de dados

Introdução

A computação em nuvem requer novos paradigmas de segurança que podem ser desconhecidos para muitos usuários de aplicativos, administradores de banco de dados e programadores. As organizações podem aproveitar os recursos de segurança abrangentes do Azure SQL para proteger dados confidenciais e atender aos requisitos de conformidade regulamentar.

Lista de Verificação

Recomendamos que leia o artigo de práticas recomendadas de segurança da Base de Dados SQL do Azure antes de rever esta lista de verificação. Compreender as melhores práticas irá ajudá-lo a obter o máximo valor desta lista de verificação. Use esta lista de verificação para verificar se você abordou os controles de segurança importantes na segurança do banco de dados do Azure.

Categoria da lista de verificação	Description
Proteger dados
Encriptação em trânsito	Transport Layer Security (TLS) criptografa dados em movimento entre clientes e bancos de dados. O SQL do Azure requer TLS 1.2 ou superior para conexões seguras. O banco de dados requer comunicação segura de clientes com base no protocolo TDS (Tabular Data Stream) sobre TLS.
Encriptação inativa	A Criptografia de Dados Transparente (TDE) criptografa dados e arquivos de log em repouso. A TDE é habilitada por padrão em todos os novos bancos de dados SQL do Azure. Bring Your Own Key (BYOK) permite que você gerencie chaves de criptografia TDE no Cofre de Chaves do Azure.
Encriptação em uso	O Always Encrypted protege dados confidenciais criptografando-os em aplicativos cliente. As chaves de criptografia nunca chegam ao mecanismo de banco de dados, garantindo a separação entre proprietários e gerentes de dados. Column-Level Encryption (CLE) criptografa colunas específicas usando criptografia simétrica para proteção adicional de dados confidenciais.
Controlar o acesso
Acesso à base de dados	A autenticação do Microsoft Entra fornece gerenciamento centralizado de identidades com recursos de logon único (SSO). A autenticação SQL com senhas fortes fornece um método de autenticação alternativo. A autorização concede aos usuários os privilégios mínimos necessários usando o controle de acesso baseado em função.
Controlo de acesso à rede	As regras de firewall IP no nível do servidor restringem o acesso com base nos endereços IP de origem. As regras de firewall IP no nível de banco de dados fornecem controle de acesso granular por banco de dados. Os pontos de extremidade do serviço de Rede Virtual permitem a conectividade de redes virtuais específicas do Azure. O Private Link fornece conectividade privada ao Banco de Dados SQL do Azure usando um endereço IP privado em sua rede virtual.
Controlo de acesso a aplicações	Row-Level Security (RLS) restringe o acesso em nível de linha com base na identidade, função ou contexto de execução de um usuário. O mascaramento dinâmico de dados limita a exposição de dados confidenciais mascarando-os a usuários sem privilégios sem alterar os dados subjacentes. O Data Discovery and Classification identifica, classifica e rotula dados confidenciais para melhorar a proteção e a conformidade.
Monitoramento proativo
Auditoria e deteção	A auditoria rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de Armazenamento do Azure, espaço de trabalho do Log Analytics ou Hubs de Eventos. Acompanhe a integridade do Banco de Dados SQL do Azure usando o Azure Monitor e as configurações de diagnóstico. O Microsoft Defender for SQL deteta atividades anômalas de banco de dados indicando possíveis ameaças à segurança, incluindo injeção de SQL, ataques de força bruta e explorações de vulnerabilidade.
Avaliação da vulnerabilidade	A Avaliação de Vulnerabilidades deteta, rastreia e ajuda a corrigir possíveis vulnerabilidades do banco de dados. Fornece recomendações de segurança acionáveis e relatórios de risco para fins de conformidade.
Gestão de segurança centralizada	O Microsoft Defender for Cloud fornece monitoramento e gerenciamento de segurança centralizados para o Banco de Dados SQL do Azure e outros serviços do Azure. Recomendações de segurança baseadas no benchmark de segurança na nuvem da Microsoft.
Integridade dos dados
Capacidade de contabilidade	Ledger fornece capacidades de detecção de adulterações ao criar um registo imutável de transações de bases de dados. Ajuda a atender aos requisitos de conformidade para verificação da integridade dos dados.

Conclusão

O Banco de Dados SQL do Azure e a Instância Gerenciada SQL do Azure fornecem plataformas de banco de dados robustas com recursos de segurança abrangentes que atendem aos requisitos de conformidade organizacional e regulamentar. Você pode proteger os dados durante todo o seu ciclo de vida — em repouso, em trânsito e em uso — usando criptografia de dados transparente, sempre criptografada e TLS. Controles de acesso refinados, incluindo Segurança Row-Level, Mascaramento Dinâmico de Dados e autenticação Microsoft Entra, garantem que apenas usuários autorizados acessem dados confidenciais. O monitoramento contínuo por meio de auditoria, Microsoft Defender for SQL e avaliação de vulnerabilidades ajuda a identificar e remediar ameaças à segurança de forma proativa.

Próximos passos

Você pode melhorar a proteção do seu banco de dados contra usuários mal-intencionados ou acesso não autorizado com algumas etapas simples:

Configurar regras de firewall para seu servidor e bancos de dados
Proteja os seus dados com encriptação
Habilitar auditoria do Banco de Dados SQL
Habilitar o Microsoft Defender for SQL para deteção de ameaças
Rever as práticas recomendadas de segurança

Feedback

Esta página foi útil?

Last updated on 2025-11-07