Overenie prístupu k Azure SQL – Kompletný návodAzure SQL Access Verification – Complete Guide

Posted on By Martin Hasin Žiadne komentáre na Overenie prístupu k Azure SQL – Kompletný návodAzure SQL Access Verification – Complete Guide
TL;DR – Rýchle zhrnutie: Overenie prístupu k Azure SQL podporuje SQL Authentication (login/heslo), Entra ID (cloudová identita s MFA), OAuth2 tokeny a Hybrid AD. Preferujte Entra ID pre lepšiu bezpečnosť. Používajte skupiny namiesto individuálnych účtov a heslá ukladajte v Azure Key Vault.
Rýchle fakty o Azure SQL autentifikácii:

  • Metódy: SQL Auth, Entra ID, OAuth2 Token, Hybrid AD
  • Odporúčané: Microsoft Entra ID (Azure AD)
  • Bezpečnosť: MFA, Conditional Access, Audit trail
  • Správa hesiel: Azure Key Vault
  • Best practice: Skupiny namiesto individuálnych účtov
  • Compliance: NIS2, ISO 27001

Overenie prístupu k Azure SQL je kritický aspekt zabezpečenia cloudových databáz. V tomto článku vám ukážem rôzne metódy autentifikácie pre Azure SQL Database a ako ich správne implementovať.

Správne overenie prístupu k Azure SQL je základom bezpečnej cloudovej infraštruktúry a súladu s reguláciami ako NIS2 a ISO 27001.

Metódy overenia prístupu k Azure SQL

Azure SQL Database podporuje niekoľko metód autentifikácie:

  • SQL Authentication – tradičné prihlásenie pomocou mena a hesla
  • Azure Active Directory (Entra ID) – moderná cloudová autentifikácia
  • Token-based access (OAuth2) – programový prístup cez tokeny
  • Hybrid AD – on-premises AD cez Azure AD Connect

Viac o autentifikačných metódach nájdete v Microsoft dokumentácii pre Azure SQL autentifikáciu.

SQL Authentication pre overenie prístupu k Azure SQL

Tradičná metóda využívajúca login a heslo:

-- Vytvorenie server-level loginu
CREATE LOGIN [app_user] WITH PASSWORD = 'SecurePassword123!';

-- Vytvorenie database usera
CREATE USER [app_user] FOR LOGIN [app_user];

-- Priradenie oprávnení
ALTER ROLE db_datareader ADD MEMBER [app_user];
ALTER ROLE db_datawriter ADD MEMBER [app_user];
Upozornenie: Nikdy neukladajte heslá v plaintext formáte v produkčných skriptoch. Použite Azure Key Vault.

Azure AD (Entra ID) autentifikácia

Modernejší a bezpečnejší prístup využívajúci cloudové identity:

-- Vytvorenie usera z externého providera (Entra ID)
CREATE USER [user@domain.com] FROM EXTERNAL PROVIDER;

-- Priradenie oprávnení
ALTER ROLE db_datareader ADD MEMBER [user@domain.com];

Výhody Entra ID autentifikácie

  • MFA podpora – viacfaktorové overenie
  • Centralizovaná správa – jeden účet pre všetky služby
  • Conditional Access – podmienený prístup podľa lokácie, zariadenia
  • Audit trail – kompletné logy prihlásení

Token-based prístup (OAuth2)

Pre aplikácie a automatizované procesy:

# PowerShell - získanie access tokenu
$token = Get-AzAccessToken -ResourceUrl "https://database.windows.net/"

# Pripojenie k databáze s tokenom
$connectionString = "Server=tcp:server.database.windows.net;Database=mydb;Authentication=Active Directory Default"

Konfigurácia Entra ID skupín

Pre efektívnu správu oprávnení vytvorte skupiny v Entra ID:

  1. V Azure portáli prejdite na Entra ID → Groups
  2. Vytvorte novú Security group (napr. „SQL-Readers“)
  3. Pridajte členov skupiny
  4. V SQL databáze vytvorte usera pre skupinu:
CREATE USER [SQL-Readers] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [SQL-Readers];

Best practices pre overenie prístupu k Azure SQL

  • Preferujte Entra ID pred SQL Authentication
  • Používajte skupiny namiesto individuálnych účtov
  • Implementujte MFA pre všetkých používateľov
  • Heslá ukladajte v Key Vault
  • Pravidelne auditujte oprávnenia a prístupy
  • Používajte Managed Identity pre aplikácie

Zhrnutie

Overenie prístupu k Azure SQL je kľúčové pre bezpečnosť vašich dát. Kľúčové body:

  • Entra ID autentifikácia je preferovaná metóda
  • MFA výrazne zvyšuje bezpečnosť
  • Skupiny zjednodušujú správu oprávnení
  • Key Vault chráni citlivé údaje

Často kladené otázky (FAQ)

Aké metódy autentifikácie podporuje Azure SQL Database?

Azure SQL podporuje SQL Authentication (login/heslo), Microsoft Entra ID (cloudová identita), OAuth2 tokeny pre aplikácie a Hybrid AD cez Azure AD Connect pre on-premises integráciu.

Prečo je Entra ID lepšie ako SQL Authentication?

Entra ID poskytuje MFA podporu, Conditional Access, centralizovanú správu identít a kompletný audit trail. SQL Authentication má len statické heslá bez pokročilých bezpečnostných funkcií.

Ako vytvoriť používateľa z Entra ID v Azure SQL?

Použite príkaz CREATE USER [user@domain.com] FROM EXTERNAL PROVIDER. Používateľ musí existovať v Entra ID a musíte mať nastavenú Azure AD autentifikáciu na SQL serveri.

Čo je Azure Key Vault a prečo ho použiť?

Azure Key Vault je služba na bezpečné ukladanie citlivých údajov (heslá, certifikáty, kľúče). Používa sa namiesto hardcoded hesiel v kóde, čím sa zvyšuje bezpečnosť a zjednodušuje rotácia credentials.

Ako implementovať MFA pre Azure SQL prístup?

MFA je automaticky dostupné pri použití Entra ID autentifikácie. Nakonfigurujte MFA politiky v Entra ID → Security → Conditional Access. Pri pripojení k databáze bude používateľ vyzvaný na druhý faktor.

Môžem použiť skupiny na správu oprávnení v Azure SQL?

Áno, vytvorte Security group v Entra ID, pridajte členov a v SQL databáze vytvorte usera: CREATE USER [GroupName] FROM EXTERNAL PROVIDER. Všetci členovia skupiny zdedia oprávnenia.

Ďalšie návody na Azure konfiguráciu nájdete v našej sekcii.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Uncategorized Tags:, ,

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *