En este artículo, aprenderemos sobre los aspectos de protección de datos de Azure SQL. Azure SQL proporciona un paquete unificado de funcionalidades inteligentes de seguridad de SQL, que incluye:
- Clasificación de datos
- Evaluación de vulnerabilidad
- Protección contra amenazas avanzadas
Descubrimiento y clasificación de datos SQL:
Este servicio se utiliza para descubrir, clasificar, proteger y rastrear el acceso a datos confidenciales. Esta herramienta ayuda a los usuarios en los siguientes frentes de protección de datos:
- Descubrimiento y recomendaciones: escanea su base de datos y busca datos confidenciales y le brinda al usuario una descripción general de los mismos para que pueda revisarlos y realizar cambios según sus requisitos.
- Etiquetado: puede etiquetar los datos en sus columnas según su confidencialidad, lo que ayuda aún más a administrar y auditar los datos mientras protege su integridad.
- Sensibilidad del conjunto de resultados de consultas: la sensibilidad de los datos en un conjunto de consultas también se calcula en tiempo real, lo que garantiza que no se obtengan datos confidenciales con consultas SQL en el servidor y también puede ayudar durante la auditoría de los servidores y las bases de datos.
- Visibilidad: el portal azure tiene un tablero donde puede ver los detalles de las clasificaciones de las columnas en su base de datos y también brinda una opción para descargar el mismo para su revisión.
Evaluación de vulnerabilidad de SQL:
Esta herramienta se utiliza para descubrir, rastrear y corregir errores de configuración de seguridad. Este es un servicio que proporciona pasos procesables para resolver problemas de seguridad y mejorar la seguridad de la base de datos. Es un servicio de escaneo que emplea un conjunto de reglas que marca las vulnerabilidades de seguridad. Las reglas se basan en las mejores prácticas de Microsoft y se enfocan en los problemas de seguridad que son grandes riesgos para la base de datos.
Cubren problemas a nivel de la base de datos y problemas de seguridad a nivel del servidor, como la configuración del firewall del servidor y los permisos a nivel del servidor. A continuación se enumeran algunas de las características de este servicio:
- Identifica configuraciones erróneas de seguridad presentes en el servidor SQL.
- El servicio proporciona un conjunto de pasos de remediación accionables.
- El servicio también ayuda a configurar una línea de base de seguridad que se ajusta a su entorno.
- Tiene soporte tanto para escaneos manuales como periódicos.
Nota: Este servicio es parte de Microsoft Defender para SQL, que es un paquete unificado para capacidades avanzadas de seguridad de SQL.
Protección contra amenazas avanzadas
Se utiliza para detectar intentos inusuales y dañinos de violar su base de datos.
Es una solución que ayuda a garantizar la seguridad de extremo a extremo en los vectores de ataque en el lugar de trabajo moderno. La solución Advanced Threat Protection funciona con las señales de Microsoft Intelligent Security Graph, que proporciona 6,5 billones de señales diarias solo del correo electrónico. Con esto, obtiene seguridad integral para el lugar de trabajo moderno, servicios totalmente integrados que se comunican entre sí, todo respaldado por una de las redes de amenazas más grandes a través de Microsoft Intelligent Security Graph. Proporciona una nueva capa de seguridad, que permite a los clientes detectar y responder a amenazas potenciales a medida que ocurren al proporcionar alertas de seguridad sobre actividades anómalas y simplifica el tratamiento de amenazas potenciales a la base de datos sin la necesidad de ser un experto en seguridad o administrar avanzados. sistemas de monitoreo de seguridad.
En resumen, SQL Threat Detection le permite responder a intentos inusuales y dañinos de violar su base de datos.
- Es más fácil de habilitar y no requiere modificaciones en el código.
- Proporciona algoritmos que aprenden, perfilan y detectan posibles inyecciones de SQL y patrones de comportamiento inusuales.
- Activa alertas de seguridad al detectar una anomalía, con descripciones detalladas y pasos procesables de investigación y remediación.
Paquete de protección contra amenazas avanzadas
SQL Threat Detection desenstring el siguiente tipo de alertas de seguridad, cada una de las cuales se analiza en detalle a continuación:
- Inyecciones SQL: Indica si alguien ha intentado o ha logrado atacar su base de datos utilizando métodos de inyección SQL.
- Anomalías de acceso: Indica un cambio en el patrón de acceso al servidor SQL en forma de fuerza bruta, aplicación dañina, ubicación habitual.
- Anomalías de consultas: indica un cambio en el patrón de consulta al servidor SQL en forma de exfiltración de datos habitual o comandos sospechosos.
Posibles ataques de inyección SQL:
- Intento de SQLi: una aplicación generó una instrucción SQL defectuosa, lo que puede indicar una posible vulnerabilidad de la aplicación a la inyección SQL.
- Ataque SQLi: Explotación potencial de la vulnerabilidad del código de la aplicación a la inyección SQL, lo que puede indicar un ataque de inyección SQL.
Patrones de acceso anómalos:
- Alguien ha iniciado sesión desde una ubicación inusual: Se refiere a un cambio en el patrón de acceso desde una ubicación geográfica inusual
- Un principal desconocido se registró con éxito: se refiere a un cambio en el patrón de acceso utilizando un usuario de SQL inusual.
- Alguien está intentando utilizar la fuerza bruta en las credenciales de SQL para obtener un número anormalmente alto de inicios de sesión fallidos con diferentes credenciales.
- Alguien ha iniciado sesión desde una aplicación potencialmente dañina.
Patrones de consultas anómalas:
- Exfiltración de datos por volumen: alguien ha extraído cantidades anómalas de datos en una hora o mediante una sola consulta
- Exfiltración de datos por ubicación: alguien tiene una base de datos de respaldo en una ubicación de almacenamiento inusual,
- Comandos no seguros: Alguien ha ejecutado comandos no seguros (por ejemplo, xp_cmdshell…)