Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe una colección de Azure SQL Database y Azure Synapse Analytics procedimientos recomendados de seguridad para proteger las aplicaciones web y móviles de la plataforma como servicio (PaaS). Estos procedimientos recomendados se derivan de nuestra experiencia con Azure y las experiencias de los clientes como usted mismo.
Azure SQL Database y Azure Synapse Analytics proporcionan un servicio de base de datos relacional para las aplicaciones basadas en Internet. Echemos un vistazo a los servicios que ayudan a proteger las aplicaciones y los datos al usar Azure SQL Database y Azure Synapse Analytics en una implementación de PaaS:
- Autenticación de Microsoft Entra (en lugar de autenticación de SQL Server)
- firewall de Azure SQL
- Transparent Data Encryption (TDE)
Usar un repositorio de identidades centralizado
Azure SQL Database se puede configurar para usar uno de los dos tipos de autenticación:
La autenticación SQL utiliza un nombre de usuario y una contraseña. Al crear el servidor para la base de datos, especificó un inicio de sesión de "administrador del servidor" con un nombre de usuario y una contraseña. Con estas credenciales, puede autenticarse en cualquier base de datos de ese servidor como propietario de la base de datos.
Microsoft Entra authentication usa identidades administradas por Microsoft Entra ID y es compatible con dominios administrados e integrados. Para usar la autenticación de Microsoft Entra, debe crear otro administrador de servidor denominado "administrador de Microsoft Entra", que puede administrar usuarios y grupos de Microsoft Entra. Este administrador también puede realizar todas las operaciones de un administrador de servidor normal.
Microsoft Entra authentication es un mecanismo para conectarse a Azure SQL Database y Azure Synapse Analytics mediante identidades en Microsoft Entra ID. Microsoft Entra ID proporciona una alternativa a la autenticación de SQL Server para evitar la proliferación de identidades de usuario a través de los servidores de bases de datos. La autenticación de Microsoft Entra le permite administrar de forma centralizada las identidades de los usuarios de la base de datos y otros servicios de Microsoft en una ubicación central. La administración de identificadores central ofrece una ubicación única para administrar usuarios de base de datos y simplifica la administración de permisos.
Ventajas de usar Microsoft Entra ID en lugar de la autenticación de SQL
- Permite la rotación de contraseñas en un solo lugar.
- Administra los permisos de la base de datos mediante grupos externos de Microsoft Entra.
- Elimina el almacenamiento de contraseñas habilitando la Windows authentication integrada y otras formas de autenticación admitidas por Microsoft Entra ID.
- Utiliza usuarios de bases de datos independientes para autenticar identidades en el nivel de base de datos.
- Admite la autenticación basada en tokens para las aplicaciones que se conectan a SQL Database.
- Admite la federación de dominio con Active Directory Federation Services (ADFS) o la autenticación nativa de usuario y contraseña para un Microsoft Entra ID local sin sincronización de dominios.
- Admite conexiones desde SQL Server Management Studio que utilizan Autenticación Universal de Active Directory, que incluye Autenticación Multifactor (MFA). MFA incluye autenticación sólida con una variedad de opciones de verificación sencillas. Las opciones de verificación son llamadas telefónicas, mensajes de texto, tarjetas inteligentes con PIN o notificaciones de aplicaciones móviles. Para obtener más información, consulte Autenticación Universal con SQL Database y Azure Synapse Analytics.
Para obtener más información sobre la autenticación de Microsoft Entra, consulte:
- Use la autenticación de Microsoft Entra para la autenticación con SQL Database, Managed Instance o Azure Synapse Analytics
- Autenticación para Azure Synapse Analytics
- Compatibilidad con la autenticación basada enToken para Azure SQL Database mediante la autenticación de Microsoft Entra
Nota:
Para asegurarse de que Microsoft Entra ID es una buena opción para su entorno, consulte Características y limitaciones deMicrosoft Entra.
Restringir access en función de la dirección IP
Puede crear reglas de firewall que especifiquen rangos de direcciones IP aceptables. Estas reglas se pueden orientar tanto a nivel de servidor como a nivel de base de datos. Recomendamos usar reglas de firewall a nivel de base de datos siempre que sea posible para mejorar la seguridad y hacer que la base de datos sea más portátil. Las reglas de firewall de nivel de servidor se usan mejor para los administradores y cuando tiene muchas bases de datos que tienen los mismos requisitos de access, pero no desea dedicar tiempo a configurar cada base de datos individualmente.
Las restricciones de direcciones IP de origen predeterminadas de SQL Database permiten acceso desde cualquier dirección de Azure, incluidas otras suscripciones y tenentes. Puede restringir esto para que solo se permita a las direcciones IP acceder a la instancia. Incluso con el firewall SQL y las restricciones de direcciones IP, se sigue necesitando una autenticación sólida. Consulte las recomendaciones hechas anteriormente en este artículo.
Para más información sobre las restricciones de ip y firewall de Azure SQL, consulte:
- Control de acceso de Azure SQL Database y Azure Synapse Analytics
- Azure SQL Database y reglas de firewall de Azure Synapse Analytics
Cifrado de datos en reposo
Transparent Data Encryption (TDE) está habilitado de forma predeterminada. TDE cifra de forma transparente SQL Server, Azure SQL Database y archivos de registro de Azure Synapse Analytics. TDE protege contra un compromiso de acceso directo a los archivos o a su copia de seguridad. Esto le permite cifrar datos en reposo sin cambiar las aplicaciones existentes. TDE debe permanecer siempre habilitado; sin embargo, esto no detendrá a un atacante que use la ruta de acceso normal. TDE proporciona la capacidad de cumplir con muchas leyes, regulaciones y pautas establecidas en diversas industrias.
Azure SQL administra los problemas principales relacionados con el TDE. Al igual que con TDE, se debe tener especial cuidado en las instalaciones para garantizar la capacidad de recuperación y al mover bases de datos. En escenarios más sofisticados, las claves se pueden administrar explícitamente en Azure Key Vault mediante la administración extensible de claves. Consulte Habilitar TDE en SQL Server usando EKM. Esto también permite usar tu propia clave (BYOK) a través de la funcionalidad BYOK de Azure Key Vaults.
Azure SQL proporciona cifrado para las columnas a través de Always Encrypted. Esto solo permite que las aplicaciones autorizadas accedan a las columnas confidenciales. El uso de este tipo de cifrado limita las consultas SQL para columnas cifradas a valores basados en igualdad.
El cifrado a nivel de aplicación también debe usarse para datos selectivos. Los problemas de soberanía de los datos a veces se pueden mitigar cifrando los datos con una clave que se mantenga en el país o región correctos. Esto evita que incluso la transferencia accidental de datos cause un problema, ya que es imposible descifrar los datos sin la clave, suponiendo que se utilice un algoritmo fuerte (como AES 256).
Puede utilizar precauciones adicionales para ayudar a proteger la base de datos, como diseñar un sistema seguro, cifrar activos confidenciales y crear un firewall alrededor de los servidores de bases de datos.
Pasos siguientes
En este artículo se presentó una colección de procedimientos recomendados de seguridad de SQL Database y Azure Synapse Analytics para proteger las aplicaciones web y móviles de PaaS. Para obtener más información sobre cómo proteger las implementaciones de PaaS, vea: