Considerações de segurança para o SQL Server em Máquinas Virtuais do Azure

Aplica-se a:SQL Server na VM do Azure

Este artigo inclui diretrizes gerais de segurança que ajudam a estabelecer acesso seguro a instâncias do SQL Server em uma máquina virtual (VM) do Azure.

O Azure está em conformidade com vários regulamentos e padrões do setor que podem permitir que você crie uma solução compatível com o SQL Server em execução em uma máquina virtual. Para obter informações sobre conformidade regulatória com o Azure, consulte Central de Confiabilidade do Azure.

Primeiro, revise as práticas recomendadas de segurança para SQL Server e VMs do Azure e, em seguida, revise este artigo para obter as práticas recomendadas que se aplicam ao SQL Server em VMs do Azure especificamente.

Para saber mais sobre as práticas recomendadas de VM do SQL Server, consulte os outros artigos desta série: Lista de verificação, tamanho da VM, configuração HADR e Coletar linha de base.

Lista de Verificação

Analise a lista de verificação a seguir nesta seção para obter uma breve visão geral das práticas recomendadas de segurança que o restante do artigo aborda com mais detalhes.

Os recursos e capacidades do SQL Server fornecem um método de segurança no nível de dados e é como você obtém defesa profunda no nível de infraestrutura para soluções híbridas e baseadas em nuvem. Além disso, com as medidas de segurança do Azure, é possível criptografar seus dados confidenciais, proteger máquinas virtuais contra vírus e malware, proteger o tráfego de rede, identificar e detetar ameaças, atender aos requisitos de conformidade e fornecer um único método de administração e relatórios para qualquer necessidade de segurança na nuvem híbrida.

  • Use o Microsoft Defender for Cloud para avaliar e tomar medidas para melhorar a postura de segurança do seu ambiente de dados. Recursos como a ATP (Proteção Avançada contra Ameaças) do Azure podem ser aproveitados em suas cargas de trabalho híbridas para melhorar a avaliação de segurança e dar a capacidade de reagir a riscos. O registro de sua VM do SQL Server com a extensão do SQL IaaS Agent apresenta as avaliações do Microsoft Defender for Cloud dentro do recurso de máquina virtual SQL do portal do Azure.
  • Use o Microsoft Defender for SQL para descobrir e mitigar possíveis vulnerabilidades do banco de dados, bem como detetar atividades anômalas que possam indicar uma ameaça à sua instância do SQL Server e à camada de banco de dados.
  • A Avaliação de Vulnerabilidades é uma parte do Microsoft Defender for SQL que pode descobrir e ajudar a corrigir riscos potenciais para o seu ambiente SQL Server. Ele fornece visibilidade sobre seu estado de segurança e inclui etapas acionáveis para resolver problemas de segurança.
  • Use VMs confidenciais do Azure para reforçar a proteção de seus dados em uso e dados em repouso contra o acesso do operador de host. As VMs confidenciais do Azure permitem que você armazene com confiança seus dados confidenciais na nuvem e atenda aos rigorosos requisitos de conformidade.
  • Se você estiver no SQL Server 2022, considere usar a autenticação do Microsoft Entra para se conectar à sua instância do SQL Server.
  • O Azure Advisor analisa a configuração de recursos e a telemetria de uso e, em seguida, recomenda soluções que podem ajudá-lo a melhorar a relação custo-eficácia, o desempenho, a alta disponibilidade e a segurança dos recursos do Azure. Aproveite o Consultor do Azure no nível de máquina virtual, grupo de recursos ou assinatura para ajudar a identificar e aplicar as práticas recomendadas para otimizar suas implantações do Azure.
  • Use o Azure Disk Encryption quando suas necessidades de conformidade e segurança exigirem que você criptografe os dados de ponta a ponta usando suas chaves de criptografia, incluindo a criptografia do disco efêmero (temporário conectado localmente).
  • Os Discos Gerenciados são criptografados em repouso por padrão usando a Criptografia do Serviço de Armazenamento do Azure, onde as chaves de criptografia são chaves gerenciadas pela Microsoft armazenadas no Azure.
  • Para obter uma comparação das opções de criptografia de disco gerenciado, revise o gráfico de comparação de criptografia de disco gerenciado
  • As portas de gerenciamento devem ser fechadas em suas máquinas virtuais - As portas de gerenciamento remoto abertas expõem sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.
  • Ativar o acesso Just-in-time (JIT) para máquinas virtuais do Azure
  • Use o Azure Bastion sobre RDP (Remote Desktop Protocol).
  • Bloqueie portas e permita apenas o tráfego de aplicativo necessário usando o Firewall do Azure, que é um Firewall como Serviço (FaaS) gerenciado que concede/nega acesso ao servidor com base no endereço IP de origem.
  • Usar NSGs (Grupos de Segurança de Rede) para filtrar o tráfego de rede de e para recursos do Azure em Redes Virtuais do Azure
  • Aproveite os Grupos de Segurança de Aplicativos para agrupar servidores com requisitos de filtragem de porta semelhantes, com funções semelhantes, como servidores Web e servidores de banco de dados.
  • Para servidores Web e de aplicativos, aproveite a proteção contra DDoS (Distributed Denial of Service) do Azure. Os ataques DDoS são projetados para sobrecarregar e esgotar os recursos da rede, tornando os aplicativos lentos ou sem resposta. É comum que os ataques DDos tenham como alvo interfaces de usuário. A proteção contra DDoS do Azure limpa o tráfego de rede indesejado, antes que afete a disponibilidade do serviço
  • Use extensões de VM para ajudar a lidar com antimalware, estado desejado, deteção de ameaças, prevenção e correção para lidar com ameaças nos níveis de sistema operacional, máquina e rede:
  • Use a Política do Azure para criar regras de negócios que podem ser aplicadas ao seu ambiente. As Políticas do Azure avaliam os recursos do Azure comparando as propriedades desses recursos com as regras definidas no formato JSON.
  • O Azure Blueprints permite que os arquitetos da cloud e os grupos de tecnologias de informação definam um conjunto repetível de recursos do Azure que implemente e adira às normas, padrões e requisitos de uma organização. Os Azure Blueprints são diferentes das Políticas do Azure.

Para obter mais informações sobre práticas recomendadas de segurança, consulte Práticas recomendadas de segurança do SQL Server e Protegendo o SQL Server.

Microsoft Defender para SQL em máquinas

O Microsoft Defender for Cloud é um sistema de gerenciamento de segurança unificado projetado para avaliar e fornecer oportunidades para melhorar a postura de segurança do seu ambiente de dados. O Microsoft Defender oferece proteção do Microsoft Defender for SQL em máquinas para SQL Server em VMs do Azure. Use o Microsoft Defender for SQL para descobrir e mitigar possíveis vulnerabilidades do banco de dados e detetar atividades anômalas que possam indicar uma ameaça à sua instância do SQL Server e à camada de banco de dados.

O Microsoft Defender para SQL oferece os seguintes benefícios:

Gestão do portal

Depois de registrar sua VM do SQL Server com a extensão do SQL IaaS Agent, você pode definir várias configurações de segurança usando o recurso de máquinas virtuais SQL no portal do Azure, como habilitar a integração do Cofre da Chave do Azure ou a autenticação SQL.

Além disso, depois de habilitar o Microsoft Defender for SQL em máquinas, você pode exibir os recursos do Defender for Cloud diretamente no recurso de máquinas virtuais SQL no portal do Azure, como avaliações de vulnerabilidade e alertas de segurança.

Consulte gerenciar VM do SQL Server no portal para saber mais.

VMs confidenciais

As VMs confidenciais do Azure fornecem um limite forte imposto por hardware que fortalece a proteção do SO convidado contra o acesso do operador de host. Escolher um tamanho de VM confidencial para seu SQL Server na VM do Azure fornece uma camada extra de proteção, permitindo que você armazene com confiança seus dados confidenciais na nuvem e atenda a requisitos de conformidade rigorosos.

As VMs confidenciais do Azure aproveitam os processadores AMD com a tecnologia SEV-SNP que criptografam a memória da VM usando chaves geradas pelo processador. Isso ajuda a proteger os dados enquanto estão em uso (os dados que são processados dentro da memória do processo do SQL Server) contra acesso não autorizado do sistema operacional host. O disco do sistema operacional de uma VM confidencial também pode ser criptografado com chaves vinculadas ao chip TPM (Trusted Platform Module) da máquina virtual, reforçando a proteção para dados em repouso.

Para obter etapas detalhadas de implantação, consulte Guia de início rápido: implantar o SQL Server em uma VM confidencial.

As recomendações para criptografia de disco são diferentes para VMs confidenciais do que para os outros tamanhos de VM. Consulte a encriptação de disco para saber mais.

Autenticação do Microsoft Entra

A partir do SQL Server 2022, você pode se conectar ao SQL Server usando qualquer um dos seguintes métodos de autenticação com o Microsoft Entra ID (anteriormente Azure Ative Directory):

  • A senha oferece autenticação com credenciais do Microsoft Entra
  • Universal com MFA adiciona autenticação multifator
  • Integrado usa provedores de federação como os Serviços de Federação do Ative Directory (ADFS) para habilitar experiências de logon único (SSO)
  • A Entidade de Serviço habilita a autenticação de aplicativos do Azure
  • A Identidade Gerenciada permite a autenticação de aplicativos atribuídos a identidades do Microsoft Entra

Para começar, consulte Configurar a autenticação do Microsoft Entra para sua VM do SQL Server.

Assistente do Azure

O Azure Advisor é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure. O Azure Advisor analisa a configuração de recursos e a telemetria de uso e, em seguida, recomenda soluções que podem ajudá-lo a melhorar a relação custo-eficácia, o desempenho, a alta disponibilidade e a segurança dos recursos do Azure. O Azure Advisor pode avaliar no nível da máquina virtual, do grupo de recursos ou da assinatura.

Integração do Cofre de Chaves do Azure

Há vários recursos de criptografia do SQL Server, como criptografia de dados transparente (TDE), criptografia de nível de coluna (CLE) e criptografia de backup. Essas formas de criptografia exigem que você gerencie e armazene as chaves criptográficas usadas para criptografia. O serviço Azure Key Vault foi projetado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server use essas chaves do Cofre de Chaves do Azure.

Considere o seguinte:

  • O Azure Key Vault armazena segredos de aplicativos em um local centralizado na nuvem para controlar com segurança as permissões de acesso e separar o log de acesso.
  • Ao trazer suas próprias chaves para o Azure, é recomendável armazenar segredos e certificados no Cofre de Chaves do Azure.
  • O Azure Disk Encryption usa o Azure Key Vault para controlar e gerenciar chaves e segredos de criptografia de disco.

Controlo de acesso

Quando você cria uma máquina virtual do SQL Server com uma imagem de galeria do Azure, a opção Conectividade do SQL Server oferece a opção de Local (dentro da VM), Privada (dentro da Rede Virtual) ou Pública (Internet).

Diagram showing SQL Server connectivity.

Para obter a melhor segurança, escolha a opção mais restritiva para o seu cenário. Por exemplo, se você estiver executando um aplicativo que acessa o SQL Server na mesma VM, Local é a opção mais segura. Se você estiver executando um aplicativo do Azure que exija acesso ao SQL Server, o Private protegerá a comunicação com o SQL Server somente dentro da rede virtual do Azure especificada. Se você precisar de acesso público (Internet) à VM do SQL Server, siga outras práticas recomendadas neste tópico para reduzir a área da superfície de ataque.

As opções selecionadas no portal usam regras de segurança de entrada no NSG (grupo de segurança de rede) da VM para permitir ou negar tráfego de rede para sua máquina virtual. Você pode modificar ou criar novas regras NSG de entrada para permitir o tráfego para a porta do SQL Server (padrão 1433). Você também pode especificar endereços IP específicos que têm permissão para se comunicar por essa porta.

Diagram showing network security group rules.

Além das regras NSG para restringir o tráfego de rede, você também pode usar o Firewall do Windows na máquina virtual.

Se você estiver usando pontos de extremidade com o modelo de implantação clássico, remova todos os pontos de extremidade na máquina virtual se você não usá-los. Para obter instruções sobre como usar ACLs com pontos de extremidade, consulte Gerenciar a ACL em um ponto de extremidade. Isso não é necessário para VMs que usam o Gerenciador de Recursos do Azure.

Considere habilitar conexões criptografadas para a instância do Mecanismo de Banco de Dados do SQL Server em sua máquina virtual do Azure. Configure a instância do SQL Server com um certificado assinado. Para obter mais informações, consulte Habilitar conexões criptografadas com o mecanismo de banco de dados e sintaxe de cadeia de conexão.

Considere o seguinte ao proteger a conectividade de rede ou o perímetro:

  • Firewall do Azure - Um Firewall como Serviço (FaaS) gerenciado e com monitoração de estado que concede/nega acesso ao servidor com base no endereço IP de origem, para proteger os recursos da rede.
  • Proteção de negação de serviço distribuída (DDoS) do Azure - os ataques DDoS sobrecarregam e esgotam os recursos da rede, tornando os aplicativos lentos ou sem resposta. A proteção contra DDoS do Azure limpa o tráfego de rede indesejado antes que ele afete a disponibilidade do serviço.
  • Grupos de Segurança de Rede (NSGs) - Filtra o tráfego de rede de, e de, recursos do Azure nas Redes Virtuais do Azure
  • Grupos de Segurança de Aplicativos - Fornece o agrupamento de servidores com requisitos de filtragem de porta semelhantes e agrupa servidores com funções semelhantes, como servidores Web.

Encriptação de disco

Esta seção fornece orientação para criptografia de disco, mas as recomendações variam dependendo se você estiver implantando um SQL Server convencional na VM do Azure ou o SQL Server em uma VM confidencial do Azure.

VMs convencionais

Os discos gerenciados implantados em VMs que não são VMs confidenciais do Azure usam criptografia do lado do servidor e a Criptografia de Disco do Azure. A criptografia do lado do servidor fornece criptografia em repouso e protege seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. A Encriptação de Disco do Azure utiliza a tecnologia BitLocker ou DM-Crypt e integra-se com o Cofre da Chave do Azure para encriptar o SO e os discos de dados.

Considere o seguinte:

  • Azure Disk Encryption - Criptografa discos de máquina virtual usando o Azure Disk Encryption para máquinas virtuais Windows e Linux.
    • Quando seus requisitos de conformidade e segurança exigirem que você criptografe os dados de ponta a ponta usando suas chaves de criptografia, incluindo a criptografia do disco efêmero (temporário conectado localmente), use a criptografia de disco do Azure.
    • O Azure Disk Encryption (ADE) aproveita o recurso BitLocker padrão do setor do Windows e o recurso DM-Crypt do Linux para fornecer criptografia de sistema operacional e disco de dados.
  • Encriptação de Disco Gerido
    • Os Discos Gerenciados são criptografados em repouso por padrão usando a Criptografia do Serviço de Armazenamento do Azure, onde as chaves de criptografia são chaves gerenciadas pela Microsoft armazenadas no Azure.
    • Os dados nos discos gerenciados do Azure são criptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2.
  • Para obter uma comparação das opções de criptografia de disco gerenciado, revise o gráfico de comparação de criptografia de disco gerenciado.

VMs confidenciais do Azure

Se você estiver usando uma VM confidencial do Azure, considere as seguintes recomendações para maximizar os benefícios de segurança:

  • Configure a criptografia de disco confidencial do sistema operacional, que vincula as chaves de criptografia de disco do sistema operacional ao chip TPM (Trusted Platform Module) da máquina virtual e torna o conteúdo do disco protegido acessível apenas à VM.
  • Criptografe seus discos de dados (quaisquer discos que contenham arquivos de banco de dados, arquivos de log ou arquivos de backup) com o BitLocker e habilite o desbloqueio automático - revise manage-bde autounlock ou EnableBitLockerAutoUnlock para obter mais informações. O desbloqueio automático garante que as chaves de criptografia sejam armazenadas no disco do sistema operacional. Em conjunto com a criptografia de disco confidencial do sistema operacional, isso protege os dados em repouso armazenados nos discos da VM contra acesso não autorizado ao host.

Lançamento confiável

Ao implantar uma máquina virtual de 2ª geração, você tem a opção de habilitar a inicialização confiável, que protege contra técnicas de ataque avançadas e persistentes.

Com o lançamento confiável, você pode:

  • Implante máquinas virtuais com segurança com carregadores de inicialização, kernels de sistema operacional e drivers verificados.
  • Proteja com segurança chaves, certificados e segredos nas máquinas virtuais.
  • Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
  • Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.

Os seguintes recursos não são suportados no momento quando você habilita a inicialização confiável para seu SQL Server em VMs do Azure:

  • Azure Site Recovery
  • Discos Ultra
  • Imagens gerenciadas
  • Virtualização aninhada

Gerir contas

Você não quer que os invasores adivinhem facilmente nomes de contas ou senhas. Use as seguintes dicas para ajudar:

  • Crie uma conta de administrador local exclusiva que não seja denominada Administrador.

  • Use senhas fortes complexas para todas as suas contas. Para obter mais informações sobre como criar uma senha forte, consulte o artigo Criar uma senha forte.

  • Por padrão, o Azure seleciona a Autenticação do Windows durante a configuração da máquina virtual do SQL Server. Portanto, o login SA está desativado e uma senha é atribuída pela configuração. Recomendamos que o login SA não seja usado ou ativado. Se você deve ter um logon SQL, use uma das seguintes estratégias:

    • Crie uma conta SQL com um nome exclusivo que tenha associação sysadmin . Você pode fazer isso no portal habilitando a Autenticação SQL durante o provisionamento.

      Gorjeta

      Se você não habilitar a Autenticação SQL durante o provisionamento, deverá alterar manualmente o modo de autenticação para o SQL Server e o Modo de Autenticação do Windows. Para obter mais informações, consulte Alterar o modo de autenticação do servidor.

    • Se você precisar usar o login SA, habilite o login após o provisionamento e atribua uma nova senha forte.

Nota

Não há suporte para a conexão a uma VM do SQL Server usando os Serviços de Domínio Microsoft Entra - use uma conta de domínio do Ative Directory.

Auditoria e relatórios

A auditoria com o Log Analytics documenta eventos e grava em um log de auditoria em uma conta segura do Armazenamento de Blobs do Azure. O Log Analytics pode ser usado para decifrar os detalhes dos logs de auditoria. A auditoria oferece a capacidade de salvar dados em uma conta de armazenamento separada e criar uma trilha de auditoria de todos os eventos selecionados. Você também pode aproveitar o Power BI em relação ao log de auditoria para análises rápidas e insights sobre seus dados, bem como para fornecer uma exibição de conformidade normativa. Para saber mais sobre auditoria nos níveis de VM e Azure, consulte Log e auditoria de segurança do Azure.

Acesso ao nível da máquina virtual

Feche portas de gerenciamento em sua máquina - As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.

  • Ative o acesso Just-in-time (JIT) para máquinas virtuais do Azure.
  • Aproveite o Azure Bastion sobre o RDP (Remote Desktop Protocol).

Extensões de máquina virtual

As extensões de Máquina Virtual do Azure são extensões confiáveis da Microsoft ou de terceiros que podem ajudar a atender a necessidades e riscos específicos, como antivírus, malware, proteção contra ameaças e muito mais.

  • Extensão de configuração de convidado
    • Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado.
    • As configurações no convidado incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente.
    • Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'.
  • Agente de coleta de dados de tráfego de rede
    • O Microsoft Defender for Cloud usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure.
    • Esse agente permite recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas.
  • Avalie extensões da Microsoft e de terceiros 3rd para lidar com antimalware, estado desejado, deteção de ameaças, prevenção e remediação para lidar com ameaças nos níveis de sistema operacional, máquina e rede.

Próximos passos

Analise as práticas recomendadas de segurança para SQL Server e VMs do Azure e, em seguida, revise este artigo para obter as práticas recomendadas que se aplicam ao SQL Server em VMs do Azure especificamente.

Para outros tópicos relacionados à execução do SQL Server em VMs do Azure, consulte Visão geral do SQL Server em Máquinas Virtuais do Azure. Se tiver dúvidas sobre máquinas virtuais do SQL Server, veja as Perguntas Mais Frequentes.

Para saber mais, consulte os outros artigos desta série de práticas recomendadas: