Compartilhar via


Proteger o SQL do Azure no Edge

Importante

O SQL do Azure no Edge será desativado em 30 de setembro de 2025. Para obter mais informações e opções de migração, veja o Aviso de aposentadoria.

Observação

O SQL do Azure no Edge encerrou o suporte à plataforma ARM64.

Com o aumento da adoção da computação da Internet das Coisas e do Edge em todos os setores, há um aumento no número de dispositivos e nos dados gerados a partir desses dispositivos. O aumento no volume de dados e o número de pontos de extremidade do dispositivo representam um desafio significativo em termos de segurança de dados e dispositivos.

O SQL do Azure no Edge oferece vários recursos e funcionalidades que tornam relativamente mais fácil proteger os dados de IoT dentro dos bancos de dados do SQL Server. O SQL do Azure no Edge é criado usando o mesmo mecanismo de banco de dados que alimenta o Microsoft SQL Server e o SQL do Azure, compartilhando os mesmos recursos de segurança, o que facilita a extensão das mesmas políticas e práticas de segurança da nuvem para a borda.

Assim como o Microsoft SQL Server e o SQL do Azure, a proteção das implantações do SQL do Azure no Edge pode ser exibida como uma série de etapas que envolvem quatro áreas: a plataforma, a autenticação, os objetos (incluindo dados) e os aplicativos que acessam o sistema.

Segurança do sistema e da plataforma

A plataforma do SQL do Azure no Edge inclui o host físico do Docker, o sistema operacional no host e os sistemas de rede que conectam o dispositivo físico a aplicativos e clientes.

A implementação da segurança de plataforma começa mantendo usuários não autorizados afastados da rede. Algumas das melhores práticas incluem, dentre outras:

  • Implementar regras de firewall para garantir a política de segurança organizacional.
  • Verificar se o sistema operacional no dispositivo físico tem todas as atualizações de segurança mais recentes aplicadas.
  • Especificar e restringir as portas de host que estão sendo usadas no SQL do Azure no Edge
  • Garantir que o controle de acesso adequado seja aplicado a todos os volumes de dados que hospedam os dados do SQL do Azure no Edge.

Para obter mais informações sobre pontos de extremidade TDS e protocolos de rede do SQL do Azure no Edge, confira Protocolos de rede e pontos de extremidade TDS.

Autenticação e autorização

Autenticação

A autenticação é o processo de provar que o usuário é quem diz ser. O SQL do Azure no Edge atualmente dá suporte apenas ao mecanismo SQL Authentication.

  • Autenticação do SQL:

    A autenticação SQL refere-se à autenticação de um usuário ao se conectar ao SQL do Azure no Edge usando nome de usuário e senha. A senha de logon sa do SQL precisa ser especificada durante a implantação do SQL no Edge. Depois disso, os usuários e logons do SQL adicionais podem ser criados pelo administrador do servidor, que permite que os usuários se conectem usando nome de usuário e senha.

    Para obter mais informações sobre como criar e gerenciar logons e usuários no SQL Edge, confira Criar um logon e Criar um usuário do banco de dados.

Autorização

A autorização refere-se às permissões atribuídas a um usuário em um banco de dados no SQL do Azure no Edge e determina as permissões do usuário. As permissões são controladas pela adição de contas de usuário em funções de banco de dados e a atribuição de permissões de nível de banco de dados a essas funções ou concessão ao usuário de determinadas permissões de nível de objeto. Para obter mais informações, confira Logons e usuários.

Como prática recomendada, crie funções personalizadas quando necessário. Adicione usuários à função com os privilégios mínimos necessários para executar a função do trabalho. Não atribua permissões diretamente aos usuários. A conta do administrador do servidor é um membro da função db_owner interna, que tem permissões extensas e só deve ser concedida a poucos usuários com tarefas administrativas. Para aplicativos, use EXECUTE AS para especificar o contexto de execução do módulo chamado ou usar Funções de Aplicativo com permissões limitadas. Essa prática garante que o aplicativo que se conecta ao banco de dados tenha os privilégios mínimos exigidos pelo aplicativo. Seguir essas práticas recomendadas também promove a separação de tarefas.

Segurança do objeto de banco de dados

As entidades de segurança são os indivíduos, grupos e processos que recebem acesso ao SQL no Edge. "Protegíveis" são servidores, bancos de dados e objetos que o banco de dados contém. Cada um tem um conjunto de permissões que pode ser configurado para ajudar a reduzir a área da superfície. A tabela a seguir contém informações sobre entidades e protegíveis.

Para obter informações sobre Consulte
Usuários, funções e processos do servidor e do banco de dados Mecanismo de Banco de Dados de Entidades
Segurança de objetos do servidor e do banco de dados Protegíveis

Criptografia e certificados

A criptografia não resolve problemas de controle de acesso. Porém, aumenta a segurança, limitando a perda de dados mesmo se os controles de acesso forem ignorados, o que é raro. Por exemplo, se o computador host do banco de dados estiver configurado incorretamente e um usuário mal-intencionado obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas poderão ser inúteis se forem criptografadas. A tabela a seguir contém mais informações sobre criptografia no SQL do Azure no Edge.

Para obter informações sobre Consulte
Implementando conexões seguras Criptografar conexões
Funções de criptografia Funções criptográficas (Transact-SQL)
Criptografia de dados inativos Transparent Data Encryption
Always Encrypted Always Encrypted

Observação

As limitações de segurança descritas no SQL Server em Linux também se aplicam ao SQL do Azure no Edge.

Observação

O SQL do Azure no Edge não inclui o utilitário mssql-conf. Todas as configurações que incluem a configuração relacionada à criptografia precisam ser executadas por meio do arquivo mssql.conf ou das variáveis de ambiente.

Semelhante ao SQL do Azure e ao Microsoft SQL Server, o SQL do Azure no Edge fornece o mesmo mecanismo para criar e usar certificados para aprimorar a segurança do objeto e da conexão. Para obter mais informações, confira CREATE CERTIFICATE (TRANSACT-SQL).

Segurança de aplicativo

Programas clientes

As práticas recomendadas de segurança do SQL do Azure no Edge incluem a gravação de aplicativos cliente seguros. Para obter mais informações sobre como ajudar a proteger aplicativos cliente na camada de rede, consulte Configuração de Rede Cliente.

Funções e exibições do catálogo de segurança

As informações de segurança são expostas em várias exibições e funções que são otimizadas para desempenho e utilitário. A tabela a seguir contém informações sobre as exibições e funções de segurança no SQL do Azure no Edge.

Funções e exibições Links
Exibições do catálogo de segurança que retornam informações sobre permissões, entidades, funções etc., de nível de servidor e banco de dados. Além disso, há exibições do catálogo que fornecem informações sobre chaves de criptografia, certificados e credenciais. Exibições do catálogo de segurança (Transact-SQL)
Funções de segurança que retornam informações sobre o usuário atual, permissões e esquemas. Funções de segurança (Transact-SQL)
Exibições de gerenciamento dinâmico de segurança. Funções e exibições de gerenciamento dinâmico relacionadas à segurança (Transact-SQL)

Auditoria

O SQL do Azure no Edge fornece os mesmos mecanismos de auditoria que o SQL Server. Para obter mais informações, confira Auditoria do SQL Server (Mecanismo de Banco de Dados).