Skydda Azure SQL Edge
Viktigt!
Azure SQL Edge dras tillbaka den 30 september 2025. Mer information och migreringsalternativ finns i meddelandet Om pensionering.
Kommentar
Azure SQL Edge stöder inte längre ARM64-plattformen.
I och med det ökade införandet av IoT- och Edge-databehandling mellan olika branscher ökar antalet enheter och de data som genereras från dessa enheter. Den ökade mängden data och antalet enhetsslutpunkter utgör en betydande utmaning när det gäller datasäkerhet och enheterna.
Azure SQL Edge erbjuder flera funktioner som gör det relativt enklare att skydda IoT-data i SQL Server-databaserna. Azure SQL Edge skapas med samma databasmotor som driver Microsoft SQL Server och Azure SQL och delar samma säkerhetsfunktioner, vilket gör det enklare att utöka samma säkerhetsprinciper och metoder från molnet till gränsen.
Precis som Microsoft SQL Server och Azure SQL kan skydd av Azure SQL Edge-distributioner ses som en serie steg som omfattar fyra områden: plattform, autentisering, objekt (inklusive data) och program som har åtkomst till systemet.
Plattforms- och systemsäkerhet
Plattformen för Azure SQL Edge innehåller den fysiska Docker-värden, operativsystemet på värden och nätverkssystemen som ansluter den fysiska enheten till program och klienter.
Implementering av plattformssäkerhet börjar med att hålla obehöriga användare borta från nätverket. Några av de bästa metoderna omfattar, men är inte begränsade till:
- Implementera brandväggsregler för att säkerställa organisationens säkerhetsprincip.
- Se till att operativsystemet på den fysiska enheten har alla de senaste säkerhetsuppdateringarna tillämpade.
- Ange och begränsa värdportar som använder för Azure SQL Edge
- Se till att rätt åtkomstkontroll tillämpas på alla datavolymer som är värdar för Azure SQL Edge-data.
Mer information om Azure SQL Edge-nätverksprotokoll och TDS-slutpunkter finns i Nätverksprotokoll och TDS-slutpunkter.
Autentisering och auktorisering
Autentisering
Autentisering är en process där användare bevisar sin identitet. Azure SQL Edge stöder för närvarande endast mekanismen SQL Authentication .
SQL-autentisering:
SQL-autentisering avser autentisering av en användare när du ansluter till Azure SQL Edge med användarnamn och lösenord. Sql sa-inloggningslösenordet måste anges under SQL Edge-distributionen. Därefter kan ytterligare SQL-inloggningar och användare skapas av serveradministratören, vilket gör det möjligt för användare att ansluta med användarnamn och lösenord.
Mer information om hur du skapar och hanterar inloggningar och användare i SQL Edge finns i Skapa en inloggning och skapa databasanvändare.
Auktorisering
Auktorisering refererar till de behörigheter som tilldelats en användare i en databas i Azure SQL Edge och avgör vad användaren får göra. Behörigheter styrs genom att användarkonton läggs till i databasroller och behörigheter på databasnivå tilldelas till dessa roller eller genom att användaren beviljas vissa behörigheter på objektnivå. Mer information finns i Inloggningar och användare.
Vi rekommenderar att du skapar anpassade roller när det behövs. Lägg till användare i rollen med de minsta behörigheter som krävs för att utföra sin jobbfunktion. Tilldela inte behörigheter direkt till användare. Serveradministratörskontot är medlem i den inbyggda db_owner rollen, som har omfattande behörigheter och bör endast beviljas till få användare med administrativa uppgifter. För program använder du EXECUTE AS för att ange körningskontexten för den anropade modulen eller använda programroller med begränsade behörigheter. Den här metoden säkerställer att programmet som ansluter till databasen har de minsta behörigheter som krävs av programmet. Genom att följa dessa bästa metoder främjas också ansvarsfördelning.
Säkerhet för databasobjekt
Huvudnamn är de individer, grupper och processer som beviljas åtkomst till SQL Edge. "Skyddsbara objekt" är den server, databas och de objekt som databasen innehåller. Var och en har en uppsättning behörigheter som kan konfigureras för att minska ytan. Följande tabell innehåller information om huvudkonton och skyddsbara objekt.
| Mer information om | Gå till |
|---|---|
| Server- och databasanvändare, roller och processer | Databasmotor för huvudnamn |
| Säkerhet för server- och databasobjekt | Skyddsbara |
Kryptering och certifikat
Kryptering löser inte problem med åtkomstkontroll. Det förbättrar dock säkerheten genom att begränsa dataförlusten även i den sällsynta förekomsten att åtkomstkontroller kringgås. Om databasvärddatorn till exempel är felkonfigurerad och en obehörig användare får känsliga data, till exempel kreditkortsnummer, kan den stulna informationen vara värdelös om den krypteras. Följande tabell innehåller mer information om kryptering i Azure SQL Edge.
| Mer information om | Gå till |
|---|---|
| Implementera säkra anslutningar | Kryptera anslutningar |
| Krypteringsfunktioner | Kryptografiska funktioner (Transact-SQL) |
| Vilande datakryptering | Transparent datakryptering |
| Alltid krypterad | Alltid krypterad |
Kommentar
De säkerhetsbegränsningar som beskrivs för SQL Server på Linux gäller även för Azure SQL Edge.
Kommentar
Azure SQL Edge innehåller inte verktyget mssql-conf . Alla konfigurationer, inklusive krypteringsrelaterad konfiguration, måste utföras via mssql.conf-filen eller miljövariablerna.
Precis som i Azure SQL och Microsoft SQL Server har Azure SQL Edge samma mekanism för att skapa och använda certifikat för att förbättra objekt- och anslutningssäkerheten. Mer information finns i SKAPA CERTIFIKAT (TRANSACT-SQL).
Programsäkerhet
Klientprogram
Metodtips för Azure SQL Edge-säkerhet är att skriva säkra klientprogram. Mer information om hur du skyddar klientprogram på nätverksnivån finns i Klientnätverkskonfiguration.
Vyer och funktioner i säkerhetskatalogen
Säkerhetsinformationen visas i flera vyer och funktioner som är optimerade för prestanda och verktyg. Följande tabell innehåller information om säkerhetsvyer och funktioner i Azure SQL Edge.
| Funktioner och vyer | Länkar |
|---|---|
| Säkerhetskatalogvyer som returnerar information om behörigheter på databasnivå och servernivå, huvudnamn, roller och så vidare. Dessutom finns det katalogvyer som innehåller information om krypteringsnycklar, certifikat och autentiseringsuppgifter. | Säkerhetskatalogvyer (Transact-SQL) |
| Säkerhetsfunktioner som returnerar information om den aktuella användaren, behörigheter och scheman. | Säkerhetsfunktioner (Transact-SQL) |
| Vyer för dynamisk hantering av säkerhet. | Säkerhetsrelaterade vyer och funktioner för dynamisk hantering (Transact-SQL) |
Granskning
Azure SQL Edge tillhandahåller samma granskningsmekanismer som SQL Server. Mer information finns i SQL Server-granskning (databasmotor).