Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, se describe una recopilación de los procedimientos recomendados de seguridad de Azure SQL Database y Azure Synapse Analytics para proteger las aplicaciones web y móviles de plataforma como servicio (PaaS). Estos procedimientos recomendados proceden de nuestra experiencia con Azure y las experiencias de clientes como usted.
Azure SQL Database y Azure Synapse Analytics proporcionan un servicio de base de datos relacional para las aplicaciones basadas en Internet. Echemos un vistazo a los servicios que ayudan a proteger las aplicaciones y los datos al usar Azure SQL Database y Azure Synapse Analytics en una implementación de PaaS:
- Autenticación de Microsoft Entra (en lugar de autenticación de SQL Server)
- Firewall de Azure SQL
- Cifrado de datos transparente (TDE)
Usar un repositorio de identidades centralizado
Azure SQL Database se puede configurar para usar uno de estos dos tipos de autenticación:
La autenticación SQL utiliza un nombre de usuario y una contraseña. Al crear el servidor para la base de datos, especificó un inicio de sesión de "administrador del servidor" con un nombre de usuario y una contraseña. Con estas credenciales, puede autenticarse en cualquier base de datos de ese servidor como propietario de la base de datos.
La autenticación de Microsoft Entra usa identidades administradas por el identificador de Microsoft Entra y es compatible con dominios administrados e integrados. Para usar la autenticación de Microsoft Entra, debe crear otro administrador de servidor denominado "administrador de Microsoft Entra", que puede administrar usuarios y grupos de Microsoft Entra. Este administrador también puede realizar todas las operaciones de un administrador de servidor normal.
La autenticación de Microsoft Entra es un mecanismo de conexión a Azure SQL Database y Azure Synapse Analytics mediante identidades en el identificador de Microsoft Entra. El identificador de Microsoft Entra proporciona una alternativa a la autenticación de SQL Server para que pueda detener la proliferación de identidades de usuario en los servidores de bases de datos. La autenticación de Microsoft Entra le permite administrar de forma centralizada las identidades de los usuarios de la base de datos y otros servicios de Microsoft en una ubicación central. La administración de identificadores central ofrece una ubicación única para administrar usuarios de base de datos y simplifica la administración de permisos.
Ventajas de usar el identificador de Microsoft Entra en lugar de la autenticación SQL
- Permite la rotación de contraseñas en un solo lugar.
- Administra los permisos de la base de datos mediante grupos externos de Microsoft Entra.
- Elimina el almacenamiento de contraseñas al habilitar la autenticación integrada de Windows y otras formas de autenticación compatibles con Microsoft Entra ID.
- Utiliza usuarios de bases de datos independientes para autenticar identidades en el nivel de base de datos.
- Admite la autenticación basada en tokens para las aplicaciones que se conectan a SQL Database.
- Admite la federación de dominios con Servicios de federación de Active Directory (ADFS) o la autenticación de usuario y contraseña nativa para un identificador local de Microsoft Entra sin sincronización de dominio.
- Admite conexiones de SQL Server Management Studio que usan la autenticación universal de Active Directory, que incluye la autenticación multifactor (MFA). MFA incluye autenticación sólida con una variedad de opciones de verificación sencillas. Las opciones de verificación son llamadas telefónicas, mensajes de texto, tarjetas inteligentes con PIN o notificaciones de aplicaciones móviles. Para más información, consulte Autenticación universal con SQL Database y Azure Synapse Analytics.
Para obtener más información sobre la autenticación de Microsoft Entra, consulte:
- Use la autenticación de Microsoft Entra para la autenticación con SQL Database, Managed Instance o Azure Synapse Analytics
- Autenticación en Azure Synapse Analytics
- Compatibilidad con la autenticación basada en tokens para Azure SQL Database mediante la autenticación de Microsoft Entra
Nota:
Para asegurarse de que el identificador de Microsoft Entra es una buena opción para su entorno, consulte Características y limitaciones de Microsoft Entra.
Restrinja el acceso en función de la dirección IP
Puede crear reglas de firewall que especifiquen rangos de direcciones IP aceptables. Estas reglas se pueden orientar tanto a nivel de servidor como a nivel de base de datos. Recomendamos usar reglas de firewall a nivel de base de datos siempre que sea posible para mejorar la seguridad y hacer que la base de datos sea más portátil. Las reglas de firewall de nivel de servidor se utilizan mejor para los administradores y cuando tiene muchas bases de datos que tienen los mismos requisitos de acceso, pero no desea perder tiempo configurando cada base de datos individualmente.
Las restricciones de direcciones IP de origen predeterminadas de SQL Database permiten el acceso desde cualquier dirección de Azure, incluidas otras suscripciones e inquilinos. Puede restringir esto para permitir que solo sus direcciones IP accedan a la instancia. Incluso con el firewall SQL y las restricciones de direcciones IP, se sigue necesitando una autenticación sólida. Consulte las recomendaciones hechas anteriormente en este artículo.
Para más información sobre Azure SQL Firewall y las restricciones de IP, consulte:
- Control de acceso de Azure SQL Database y Azure Synapse Analytics
- Reglas de firewall de Azure SQL Database y Azure Synapse Analytics
Cifrado de datos en reposo
El cifrado de datos transparente (TDE) está habilitado de forma predeterminada. TDE cifra de forma transparente los archivos de datos y registros de SQL Server, Azure SQL Database y Azure Synapse Analytics. TDE protege contra un compromiso del acceso directo a los archivos o su copia de seguridad. Esto le permite cifrar datos en reposo sin cambiar las aplicaciones existentes. TDE siempre debe permanecer habilitado; Sin embargo, esto no detendrá a un atacante que utilice la ruta de acceso normal. TDE proporciona la capacidad de cumplir con muchas leyes, regulaciones y pautas establecidas en diversas industrias.
Azure SQL administra los principales problemas relacionados con TDE. Al igual que con TDE, se debe tener especial cuidado en las instalaciones para garantizar la capacidad de recuperación y al mover bases de datos. En escenarios más sofisticados, las claves se pueden administrar explícitamente en Azure Key Vault a través de la administración de claves extensible. Consulte Habilitación de TDE en SQL Server mediante EKM. Esto también permite Bring Your Own Key (BYOK) a través de la funcionalidad BYOK de Azure Key Vaults.
Azure SQL proporciona cifrado para columnas a través de Always Encrypted. Esto permite que solo las aplicaciones autorizadas accedan a las columnas confidenciales. El uso de este tipo de cifrado limita las consultas SQL para columnas cifradas a valores basados en igualdad.
El cifrado a nivel de aplicación también debe usarse para datos selectivos. Los problemas de soberanía de los datos a veces se pueden mitigar cifrando los datos con una clave que se mantenga en el país o región correctos. Esto evita que incluso la transferencia accidental de datos cause un problema, ya que es imposible descifrar los datos sin la clave, suponiendo que se utilice un algoritmo fuerte (como AES 256).
Puede utilizar precauciones adicionales para ayudar a proteger la base de datos, como diseñar un sistema seguro, cifrar activos confidenciales y crear un firewall alrededor de los servidores de bases de datos.
Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de seguridad de SQL Database y Azure Synapse Analytics para proteger las aplicaciones web y móviles de PaaS. Para obtener más información sobre cómo proteger las implementaciones de PaaS, vea: