Proteger o SQL do Azure no Edge
Importante
O SQL do Azure no Edge será desativado em 30 de setembro de 2025. Para obter mais informações e opções de migração, confira o aviso de desativação.
Observação
O SQL do Azure no Edge encerrou o suporte à plataforma ARM64.
Com o aumento da adoção da computação da Internet das Coisas e do Edge em todos os setores, há um aumento no número de dispositivos e nos dados gerados a partir desses dispositivos. O aumento no volume de dados e o número de pontos de extremidade do dispositivo representam um desafio significativo em termos de segurança de dados e dispositivos.
O SQL do Azure no Edge oferece vários recursos e funcionalidades que tornam relativamente mais fácil proteger os dados de IoT dentro dos bancos de dados do SQL Server. O SQL do Azure no Edge é criado usando o mesmo mecanismo de banco de dados que alimenta o Microsoft SQL Server e o SQL do Azure, compartilhando os mesmos recursos de segurança, o que facilita a extensão das mesmas políticas e práticas de segurança da nuvem para a borda.
Assim como o Microsoft SQL Server e o SQL do Azure, a proteção das implantações do SQL do Azure no Edge pode ser exibida como uma série de etapas que envolvem quatro áreas: a plataforma, a autenticação, os objetos (incluindo dados) e os aplicativos que acessam o sistema.
Segurança do sistema e da plataforma
A plataforma do SQL do Azure no Edge inclui o host físico do Docker, o sistema operacional no host e os sistemas de rede que conectam o dispositivo físico a aplicativos e clientes.
A implementação da segurança de plataforma começa mantendo usuários não autorizados afastados da rede. Algumas das melhores práticas incluem, dentre outras:
- Implementar regras de firewall para garantir a política de segurança organizacional.
- Verificar se o sistema operacional no dispositivo físico tem todas as atualizações de segurança mais recentes aplicadas.
- Especificar e restringir as portas de host que estão sendo usadas no SQL do Azure no Edge
- Garantir que o controle de acesso adequado seja aplicado a todos os volumes de dados que hospedam os dados do SQL do Azure no Edge.
Para obter mais informações sobre pontos de extremidade TDS e protocolos de rede do SQL do Azure no Edge, confira Protocolos de rede e pontos de extremidade TDS.
Autenticação e autorização
Autenticação
A autenticação é o processo de provar que o usuário é quem diz ser. O SQL do Azure no Edge atualmente dá suporte apenas ao mecanismo SQL Authentication.
Autenticação do SQL:
A autenticação SQL refere-se à autenticação de um usuário ao se conectar ao SQL do Azure no Edge usando nome de usuário e senha. A senha de logon sa do SQL precisa ser especificada durante a implantação do SQL no Edge. Depois disso, os usuários e logons do SQL adicionais podem ser criados pelo administrador do servidor, que permite que os usuários se conectem usando nome de usuário e senha.
Para obter mais informações sobre como criar e gerenciar logons e usuários no SQL Edge, confira Criar um logon e Criar um usuário do banco de dados.
Autorização
A autorização refere-se às permissões atribuídas a um usuário em um banco de dados no SQL do Azure no Edge e determina as permissões do usuário. As permissões são controladas pela adição de contas de usuário em funções de banco de dados e a atribuição de permissões de nível de banco de dados a essas funções ou concessão ao usuário de determinadas permissões de nível de objeto. Para obter mais informações, confira Logons e usuários.
Como prática recomendada, crie funções personalizadas quando necessário. Adicione usuários à função com os privilégios mínimos necessários para executar a função do trabalho. Não atribua permissões diretamente aos usuários. A conta do administrador do servidor é um membro da função db_owner interna, que tem permissões extensas e só deve ser concedida a poucos usuários com tarefas administrativas. Para aplicativos, use EXECUTE AS para especificar o contexto de execução do módulo chamado ou usar Funções de Aplicativo com permissões limitadas. Essa prática garante que o aplicativo que se conecta ao banco de dados tenha os privilégios mínimos exigidos pelo aplicativo. Seguir essas práticas recomendadas também promove a separação de tarefas.
Segurança do objeto de banco de dados
As entidades de segurança são os indivíduos, grupos e processos que recebem acesso ao SQL no Edge. "Protegíveis" são servidores, bancos de dados e objetos que o banco de dados contém. Cada um tem um conjunto de permissões que pode ser configurado para ajudar a reduzir a área da superfície. A tabela a seguir contém informações sobre entidades e protegíveis.
| Para obter informações sobre | Consulte |
|---|---|
| Usuários, funções e processos do servidor e do banco de dados | Mecanismo de Banco de Dados de Entidades |
| Segurança de objetos do servidor e do banco de dados | Protegíveis |
Criptografia e certificados
A criptografia não resolve problemas de controle de acesso. Porém, aumenta a segurança, limitando a perda de dados mesmo se os controles de acesso forem ignorados, o que é raro. Por exemplo, se o computador host do banco de dados estiver configurado incorretamente e um usuário mal-intencionado obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas poderão ser inúteis se forem criptografadas. A tabela a seguir contém mais informações sobre criptografia no SQL do Azure no Edge.
| Para obter informações sobre | Consulte |
|---|---|
| Implementando conexões seguras | Criptografar conexões |
| Funções de criptografia | Funções criptográficas (Transact-SQL) |
| Criptografia de dados inativos | Transparent Data Encryption |
| Always Encrypted | Always Encrypted |
Observação
As limitações de segurança descritas no SQL Server em Linux também se aplicam ao SQL do Azure no Edge.
Observação
O SQL do Azure no Edge não inclui o utilitário mssql-conf. Todas as configurações que incluem a configuração relacionada à criptografia precisam ser executadas por meio do arquivo mssql.conf ou das variáveis de ambiente.
Semelhante ao SQL do Azure e ao Microsoft SQL Server, o SQL do Azure no Edge fornece o mesmo mecanismo para criar e usar certificados para aprimorar a segurança do objeto e da conexão. Para obter mais informações, confira CREATE CERTIFICATE (TRANSACT-SQL).
Segurança de aplicativo
Programas clientes
As práticas recomendadas de segurança do SQL do Azure no Edge incluem a gravação de aplicativos cliente seguros. Para obter mais informações sobre como ajudar a proteger aplicativos cliente na camada de rede, consulte Configuração de Rede Cliente.
Funções e exibições do catálogo de segurança
As informações de segurança são expostas em várias exibições e funções que são otimizadas para desempenho e utilitário. A tabela a seguir contém informações sobre as exibições e funções de segurança no SQL do Azure no Edge.
| Funções e exibições | Links |
|---|---|
| Exibições do catálogo de segurança que retornam informações sobre permissões, entidades, funções etc., de nível de servidor e banco de dados. Além disso, há exibições do catálogo que fornecem informações sobre chaves de criptografia, certificados e credenciais. | Exibições do catálogo de segurança (Transact-SQL) |
| Funções de segurança que retornam informações sobre o usuário atual, permissões e esquemas. | Funções de segurança (Transact-SQL) |
| Exibições de gerenciamento dinâmico de segurança. | Funções e exibições de gerenciamento dinâmico relacionadas à segurança (Transact-SQL) |
Auditoria
O SQL do Azure no Edge fornece os mesmos mecanismos de auditoria que o SQL Server. Para obter mais informações, confira Auditoria do SQL Server (Mecanismo de Banco de Dados).