El documento describe las diferentes características y capacidades de seguridad disponibles en Azure SQL Database y Azure SQL Data Warehouse. Incluye gráficos que muestran el número de vulnerabilidades abordadas desde 2010 hasta 2018 y describe opciones como cifrado de datos en tránsito y en reposo, autenticación multifactor, firewalls, detección de amenazas, auditoría y más. El objetivo es ayudar a los clientes a proteger y auditar sus datos de manera segura en la nube.
Proyecto integrador. Las TIC en la sociedad S4.pptx
Seguridad en SQL Azure
1.
2.
17
552
207
90
59
33
0
100
200
300
400
500
600
Vulnerabilities
(2010
–
2018)
Permisos SQL
Row-level security *
Column-level security
Encryption-in-flight (TLS de seguridad de capa de transporte)
Cifrado en reposo (TDE de cifrado de datos transparente)
Las claves administradas por el usuario o el servicio, el cifrado
de backup
Encriptación en uso (Always Encrypted) *
Detección y clasificación de datos *
Detección de amenazas SQL
Auditoría de SQL
Evaluación de vulnerabilidad
* Disponible próximamente para Azure
SQL DW
Seguridad de red
Autenticación
Control de acceso
Protección de
datos
Protección contra amenazas
Autenticación de SQL
Autenticación de Azure Active Directory (w/MFA)
RED virtual
Firewall de SQL (nivel de servidor y base de datos)
5. Compatibilidad con
SQL Server
• Instancia SQL de pleno
derecho con casi el
100% Compat con on-
prem
DBaaS totalmente
administrado
• Construido en la
misma infraestructura
que SQL DB
• Todas las
características de
DBaaS
Aislamiento total y seguridad
• Todas las características de
seguridad existentes
Más
• VNET incluye inyección de VNET
• Direcciones IP privadas
• Conectividad Express Route / VPN
Base de datos SQL
de Azure (PaaS)
Elastic
Pool
Instancia
administrada
Base de
datos única
Nuevo modelo de
negocio
• Transparente
• Sin fricción
• Competitivo
6. a las violaciones de datos y los incidentes de seguridad
, buscando datos de tarjetas de
pago, información personal o propiedades intelectuales
, mientras que el 72% perpetrado por forasteros
Verizon Data Breach Investigation Report 2018
$3trillion
Valor de mercado
estimado anual
destruido de la industria
de la ciberdelincuencia
DETECTAR
• Inyección de consultas
• Robo/fuga de credenciales
• Fuga/extracción de datos
PROTEGER
• Control de acceso
• Cifrado de datos
• Ofuscación
DESCUBRIR
• Datos confidenciales
• Misconfigurations
• Cumplimiento
7. SEGURIDAD Física*
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
DATOS DEL CLIENTE
PROTECCIÓN DE LA INFORMACIÓN
17
552
207
90
59
33
0
100
200
300
400
500
600
Vulnerabilities
(2010
–
2018)
8.
9. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA
INFORMACIÓN
DATOS DEL CLIENTE
10.
11. Escenarios soportados
• Azure SQL DB/SQL DW en una red virtual o subred
• Asigne una IP privada desde la red virtual o la subred
• VPN/ER para conectividad local
• No se requiere ninguna IP pública de salida
12. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Base de datos SQL de Azure
Instancia administrada
VNet
Leyenda:
Datos
13. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Base de datos SQL de Azure
Instancia administrada
Azure
VNet
Leyenda:
Datos
Administración
14. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Plano de administración e implementación
Azul
Base de datos SQL de Azure
Instancia administrada
Mantenimiento
Corpnet
Azure
VNet
Leyenda:
Datos
Administración
15.
16. Aplicaciones y herramientas para clientes
Local + red virtual de Azure
Dependencias de servicio
Azure
Gestión e Implementación
Azure Base de datos SQL de Azure
Instancia administrada
verificación
del
certificado
Entidades de certificación
Internet
Tls Tls
Tls
Tls
Mantenimiento
Corpnet
Azure
VNet
Leyenda:
Datos
Administración
Certificado
17. Red local
Subred de administración
Subred de Active Directory
Red virtual del
concentrador
Subred de puerta
de enlace
JumpBox
ExpressRoute
Gateway
Subred DMZ
Nva
Subred de administración
Spoke 1 red virtual
JumpBox
Subred de carga de trabajo
Subred de administración
Spoke 2 red virtual
JumpBox
Subred de carga de trabajo
Circuito
ExpressRoute
vnet peering
vnet peering
18. Red local
Subred de administración
Subred de Active Directory
Red virtual del
concentrador
Subred de puerta
de enlace
JumpBox
ExpressRoute
Gateway
Subred DMZ
Nva
Subred de administración
Spoke 1 red virtual
JumpBox
Subred de carga de trabajo
Subred de administración
Spoke 2 red virtual
JumpBox
Subred de carga de trabajo
Circuito
ExpressRoute
vnet peering
vnet peering
Subred de instancia
administrada
19. Escenarios soportados
• Restrinja el acceso a DB/DW de las máquinas virtuales en una red virtual o
subred determinada
• Separación de roles entre los equipos de administración de redes y DB
• Mantenga los datos en la red de Azure
• Simplifique la gestión de VIPs y reglas de firewall; no permitir que todos los
servicios de Azure
Limitaciones
• Quite SQLDB/DW de la IP pública
• Eliminación de saliente a SQLDB IP en NSG
• Configuración de VPN/ Express Route Private Peering
• Posibilidad de asignar IPs a SQLDB
20.
21. Red de centros de
datos
Nivel web
Internet
Equilibrador
de carga
Nivel de
negocio
Nivel de datos
Administración Active Directory
JumpBox
Clúster SQL
HA
Equilibrador
de carga
Equilibrador
de carga
22. Red de centros de
datos
Subred de
nivel web
Internet
Aplicación
de Azure
Gateway
Subred de
nivel
empresarial
Subred de instancia
administrada
Subred de administración
JumpBox
Equilibrador
de carga
Azure Active
Directory
23. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA INFORMACIÓN
DATOS DEL CLIENTE
24. Clúster virtual
VNet
Nodo
Punto final TDS (IP privada)
Sql
Motor
Administració
n de SQL
Agente de
nodo
Lb
ILB
Gw
Gw
Gw
mymi. <clusterid>.database.windows.net
Tls
Tls
Tls
Firewall de Windows
Administración de SQL (IP pública)
Nodo
nodo principal
Nodo
25.
26. SEGURIDAD FÍSICA
SEGURIDAD DE LA RED
SEGURIDAD DEL CLÚSTER
GESTIÓN DE ACCESOS
PROTECCIÓN CONTRA
AMENAZAS
PROTECCIÓN DE LA INFORMACIÓN
DATOS DEL CLIENTE
27. Administración de
permisos simplificada
Central ID
Management
Puede ayudarle a
eliminar el
almacenamiento de
contraseñas
Configuración flexible
Compatible con
muchas herramientas
y controladores
Autenticación
universal/interactiva
28. La autenticación de Azure Active Directory, soporte para
• B2B
• MFA mediante directivas de acceso condicional,
• Los usuarios basados en AAD en Db
29. • ¿Cómo puedo descubrir datos confidenciales
en mi base de datos?
• ¿Cómo protejo los datos confidenciales
contra usuarios no autorizados (con
privilegios elevados)?
• ¿Qué opciones de administración de claves tengo?
30. Protección de
datos
Encryption-in-flight
(aka TLS de seguridad de capa de transporte)
Cifrado en reposo
(también conocido como cifrado de datos transparente
TDE)
• Service o User-managed keys
• Backup encryption
Encryption-in-use (Always Encrypted)– futuro para DW
Administración de claves con Azure Key Vault
31.
32. cceso
utomático de
columnas con datos confidenciales
Añadir Etiquetas de datos
confidenciales
d acceso a los
datos confidenciales
para todo el
tenant de Azure mediante Azure
Security Center
39. Base de datos SQL de
Azure
Aplicacione
s
Registro
de
auditoría
Detección de amenazas
(1) Activar la detección de
amenazas
(3) Alertas procesables en
tiempo real
(2) Posible amenaza a
datos de acceso / violación
42. (1) Active la auditoría de SQL
(2) Analice el registro de
auditoría
Azure SQL
Database
Registr
o de
auditorí
a Storage account
Amplio conjunto de
herramientas para
• Investigar
acceso