Bom dia/tarde/noite a todos,
como estão?
Continuando com nossa série, ainda no tópico de configuração e autenticação dos bancos no dados no Azure.
Implementar segurança para dados em trânsito
Vamos entender as práticas de proteção dos firewalls de um Azure SQL Server. O Always Encrpyted é usado para também nos ajudar a proteger os dados, em transito.
Firewalls
Os firewalls são usados para impedir que usuários não autorizados acessem os recursos protegidos. Cada SQL do Azure
O banco de dados é mapeado para um endereço IP público hospedado pela Microsoft. Cada região do Azure terá um ou
mais endereços IP públicos onde você pode acessar seu gateway de banco de dados, que o levará ao seu
base de dados. Para proteger seu banco de dados e seus dados, o Azure fornece firewalls integrados para limitar
acesso. No Banco de Dados SQL do Azure, há dois conjuntos de regras de firewall, regras de firewall no nível do servidor e banco de dados regras de firewall de nível. Os firewalls no nível do servidor e do banco de dados usam regras de endereço IP em vez do SQL Server Logins. Isso permite que todos os usuários no mesmo endereço IP público acessem o SQL Server. Na maioria das empresas este será o endereço IP de saída da empresa.
Os firewalls no nível do servidor são configurados para permitir que os usuários se conectem ao banco de dados mestre e a todos os bancos de dados na instância. Os firewalls de nível de banco de dados são usados para conceder ou bloquear o acesso de endereços IP específicos
bancos de dados específicos.
As regras de firewall no nível do servidor podem ser configuradas usando o portal do Azure ou usando sp_set_database_firewall_
procedimento armazenado de regra de dentro do banco de dados mestre. As regras de firewall no nível do banco de dados estão configuradas
por meio de T-SQL usando apenas o procedimento armazenado sp_delete_database_firewall_rule de dentro do usuário
base de dados. Após a conexão, o Banco de Dados SQL do Azure procurará primeiro uma regra de firewall no nível do servidor no
banco de dados master e, em seguida, uma regra de firewall no nível do banco de dados, se a cadeia de conexão especificar um nome de banco de dados. Se qualquer um deles existir, a conexão será concluída. Se nenhum deles existir e o usuário estiver se conectando por meio de SQL Server Management Studio ou Azure Data Studio, se o usuário se autenticar no banco de dados, eles
ser solicitado a criar uma regra de firewall.
Pontos de extremidade de rede virtual
Os pontos de extremidade de rede virtual permitem o tráfego de uma rede virtual específica do Azure. Essas regras se aplicam no
nível do servidor, não apenas o nível do banco de dados. Além disso, o endpoint de serviço se aplica a apenas uma região,
que é a região do endpoint subjacente. Uma preocupação adicional é que a rede virtual que é conectar-se ao Banco de Dados SQL do Azure deve ter acesso de saída ao endereço IP público do Azure Banco de Dados SQL, que pode ser configurado usando marcas de serviço para Banco de Dados SQL do Azure.
Link Privado
O recurso Private Link permite que você se conecte ao Banco de Dados SQL do Azure (e outras ofertas de PaaS) usando um
terminal privado. Um ponto de extremidade privado permite que uma conexão com seu banco de dados SQL do Azure seja totalmente pela rede de backbone do Azure e não pela Internet pública. Este recurso fornece um IP privado endereço na sua Rede Virtual. Outra característica do link privado é que ele permite o Azure Express Route conexões através desse circuito. O link privado oferece vários benefícios adicionais, incluindo acesso privado entre regiões conectividade e proteção contra vazamento de dados, permitindo apenas conexões a recursos específicos
Transparent Data Encryption – TDE
Por padrão, os bancos de dados em uma instância gerenciada são criptografados usando Transparent Data Encryption (TDE)
com uma chave gerenciada pela Microsoft. Para fazer um backup somente de cópia iniciado pelo usuário, você deve desativar o TDE para o banco de dados específico. Se um banco de dados estiver criptografado, você pode restaurá-lo, no entanto, você precisará garantir que você tenha acesso ao certificado ou assimétrico chave que foi usada para criptografar o banco de dados. Se você não tiver nenhum desses dois itens, não será capaz de restaurar o banco de dados para uma instância gerenciada.
Criptografia de disco do Azure
Além desses recursos de segurança do SQL Server, as VMs do Azure incluem uma camada adicional de segurança, o Azure
Criptografia de disco — um recurso que ajuda a proteger e salvaguardar os dados e atender a organização e conformidade
compromissos. Se você estiver usando TDE, seus dados serão protegidos por várias camadas de criptografia. Disco Azure
Criptografia e criptografia dos arquivos de banco de dados do SQL Server e backup.
Dúvidas, estou a disposição.
Consultoria SQL SERVER 