El documento describe las diferentes características y capacidades de seguridad disponibles en Azure SQL Database y Azure SQL Data Warehouse. Incluye gráficos que muestran el número de vulnerabilidades abordadas desde 2010 hasta 2018 y describe opciones como cifrado de datos en tránsito y en reposo, autenticación multifactor, firewalls, detección de amenazas, auditoría y más. El objetivo es ayudar a los clientes a proteger y auditar sus datos de manera segura en la nube.

2. 
17
552
207
90
59
33
0
100
200
300
400
500
600
Vulnerabilities
(2010
–
2018)
Permisos SQL
Row-level security *
Column-level security
Encryption-in-flight (TLS de seguridad de capa de transporte)
Cifrado en reposo (TDE de cifrado de datos transparente)
Las claves administradas por el usuario o el servicio, el cifrado
de backup
Encriptación en uso (Always Encrypted) *
Detección y clasificación de datos *
Detección de amenazas SQL
Auditoría de SQL
Evaluación de vulnerabilidad
* Disponible próximamente para Azure
SQL DW
Seguridad de red
Autenticación
Control de acceso
Protección de
datos
Protección contra amenazas
Autenticación de SQL
Autenticación de Azure Active Directory (w/MFA)
RED virtual
Firewall de SQL (nivel de servidor y base de datos)


4. 




5. Compatibilidad con
SQL Server
• Instancia SQL de pleno
derecho con casi el
100% Compat con on-
prem
DBaaS totalmente
administrado
• Construido en la
misma infraestructura
que SQL DB
• Todas las
características de
DBaaS
Aislamiento total y seguridad
• Todas las características de
seguridad existentes
Más
• VNET incluye inyección de VNET
• Direcciones IP privadas
• Conectividad Express Route / VPN
Base de datos SQL
de Azure (PaaS)
Elastic
Pool
Instancia
administrada
Base de
datos única
Nuevo modelo de
negocio
• Transparente
• Sin fricción
• Competitivo

6. a las violaciones de datos y los incidentes de seguridad
, buscando datos de tarjetas de
pago, información personal o propiedades intelectuales
, mientras que el 72% perpetrado por forasteros
Verizon Data Breach Investigation Report 2018
$3trillion
Valor de mercado
estimado anual
destruido de la industria
de la ciberdelincuencia
DETECTAR
• Inyección de consultas
• Robo/fuga de credenciales
• Fuga/extracción de datos
PROTEGER
• Control de acceso
• Cifrado de datos
• Ofuscación
DESCUBRIR
• Datos confidenciales
• Misconfigurations
• Cumplimiento

7. SEGURIDAD Física*
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
DATOS DEL CLIENTE
PROTECCIÓN DE LA INFORMACIÓN

17
552
207
90
59
33
0
100
200
300
400
500
600
Vulnerabilities
(2010
–
2018)


9. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA
INFORMACIÓN
DATOS DEL CLIENTE

11. Escenarios soportados
• Azure SQL DB/SQL DW en una red virtual o subred
• Asigne una IP privada desde la red virtual o la subred
• VPN/ER para conectividad local
• No se requiere ninguna IP pública de salida

12. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Base de datos SQL de Azure
Instancia administrada
VNet
Leyenda:
Datos

13. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Base de datos SQL de Azure
Instancia administrada
Azure
VNet
Leyenda:
Datos
Administración

14. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Plano de administración e implementación
Azul
Base de datos SQL de Azure
Instancia administrada
Mantenimiento
Corpnet
Azure
VNet
Leyenda:
Datos
Administración

16. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Gestión e Implementación
Azure Base de datos SQL de Azure
Instancia administrada
verificación
del
certificado
Entidades de certificación
Internet
Tls Tls
Tls
Tls
Mantenimiento
Corpnet
Azure
VNet
Leyenda:
Datos
Administración
Certificado

17. Red local
Subred de administración
Subred de Active Directory
Red virtual del
concentrador
Subred de puerta
de enlace
JumpBox
ExpressRoute
Gateway
Subred DMZ
Nva
Subred de administración
Spoke 1 red virtual
JumpBox
Subred de carga de trabajo
Subred de administración
Spoke 2 red virtual
JumpBox
Subred de carga de trabajo
Circuito
ExpressRoute
vnet peering
vnet peering

18. Red local
Subred de administración
Subred de Active Directory
Red virtual del
concentrador
Subred de puerta
de enlace
JumpBox
ExpressRoute
Gateway
Subred DMZ
Nva
Subred de administración
Spoke 1 red virtual
JumpBox
Subred de carga de trabajo
Subred de administración
Spoke 2 red virtual
JumpBox
Subred de carga de trabajo
Circuito
ExpressRoute
vnet peering
vnet peering
Subred de instancia
administrada

19. Escenarios soportados
• Restrinja el acceso a DB/DW de las máquinas virtuales en una red virtual o
subred determinada
• Separación de roles entre los equipos de administración de redes y DB
• Mantenga los datos en la red de Azure
• Simplifique la gestión de VIPs y reglas de firewall; no permitir que todos los
servicios de Azure
Limitaciones
• Quite SQLDB/DW de la IP pública
• Eliminación de saliente a SQLDB IP en NSG
• Configuración de VPN/ Express Route Private Peering
• Posibilidad de asignar IPs a SQLDB

21. Red de centros de
datos
Nivel web
Internet
Equilibrador
de carga
Nivel de
negocio
Nivel de datos
Administración Active Directory
JumpBox
Clúster SQL
HA
Equilibrador
de carga
Equilibrador
de carga

22. Red de centros de
datos
Subred de
nivel web
Internet
Aplicación
de Azure
Gateway
Subred de
nivel
empresarial
Subred de instancia
administrada
Subred de administración
JumpBox
Equilibrador
de carga
Azure Active
Directory

23. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA INFORMACIÓN
DATOS DEL CLIENTE

24. Clúster virtual
VNet
Nodo
Punto final TDS (IP privada)
Sql
Motor
Administració
n de SQL
Agente de
nodo
Lb
ILB
Gw
Gw
Gw
mymi. <clusterid>.database.windows.net
Tls
Tls
Tls
Firewall de Windows
Administración de SQL (IP pública)
Nodo
nodo principal
Nodo

26. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA INFORMACIÓN
DATOS DEL CLIENTE

27. Administración de
permisos simplificada
Central ID
Management
Puede ayudarle a
eliminar el
almacenamiento de
contraseñas
Configuración flexible
Compatible con
muchas herramientas
y controladores
Autenticación
universal/interactiva

28. La autenticación de Azure Active Directory, soporte para
• B2B
• MFA mediante directivas de acceso condicional,
• Los usuarios basados en AAD en Db

29. • ¿Cómo puedo descubrir datos confidenciales
en mi base de datos?
• ¿Cómo protejo los datos confidenciales
contra usuarios no autorizados (con
privilegios elevados)?
• ¿Qué opciones de administración de claves tengo?

30. Protección de
datos
 Encryption-in-flight
(aka TLS de seguridad de capa de transporte)
 Cifrado en reposo
(también conocido como cifrado de datos transparente
TDE)
• Service o User-managed keys
• Backup encryption
 Encryption-in-use (Always Encrypted)– futuro para DW
 Administración de claves con Azure Key Vault

32. cceso
utomático de
columnas con datos confidenciales
 Añadir Etiquetas de datos
confidenciales
d acceso a los
datos confidenciales
para todo el
tenant de Azure mediante Azure
Security Center

36. Obtenga visibilidad
Remediar
Personalizar
Informe
Evaluación de
vulnerabilidad
Desarrollador/DBA
SQL Server local
Azure SQL Database, Azure SQL Data Warehouse
Sql

37. Ejecute un análisis
Ver un informe
Desglosar los resultados
Corrija los problemas
Establezca una línea
base
Detecte desviaciones
1
2
3
4
5
6

38. •
•
•
•
Azure SQL Database
Azure SQL DW
Detección de
amenazas
Usuario
malintencionado
interno
Atacante externo
Aplicación
Web
Alerta
Sql

39. Base de datos SQL de
Azure
Aplicacione
s
Registro
de
auditoría
Detección de amenazas
(1) Activar la detección de
amenazas
(3) Alertas procesables en
tiempo real
(2) Posible amenaza a
datos de acceso / violación

40. Explorar
Configure Alertas

41. Datos de aplicación
•
•
•
•
•
SQL Data Warehouse
Azure Storage
Auditoría
Registro
de
auditoría
SQL Database

42. (1) Active la auditoría de SQL
(2) Analice el registro de
auditoría
Azure SQL
Database
Registr
o de
auditorí
a Storage account
 Amplio conjunto de
herramientas para
• Investigar
acceso

44. Regulaciones
Monetaria
Autoridad
de Singapur
Sox
Fca
Hitech
Hipaa
RGPD
Ncua
748
Fisma
Glba
PCI-DSS
La India
Cláusula 49
BASILEA II
Las mejores prácticas
Descubrimiento
de datos +
evaluación de
riesgos
Monitor
+
Auditoría
Administración de
derechos de
usuario
Detección de
anomalías
Informes específicos de tareas y políticas
Fda