"Molnet är osäkert."
Ett vanligt argument för att inte använda molnet är att det är osäkert. Oftast går man inte in på detaljer eftersom man inte känner till dem, och ibland rättfärdigas argumentet med att "juristerna" eller "lagen" inte tillåter det. I de absolut flesta fall håller argumentet inte, och när det används som en generell ursäkt för att inte använda moln baseras det på felaktiga grunder.
I del ett av den här artikelserien i tre delar gav jag min syn på varför det inte är ett problem att alla relevanta molnleverantörer är baserade i USA. I del två beskrev jag vad en molnleverantör gör för att skydda er information och varför jag anser att detta innebär att molnet är säkrare än ert eget datacenter och i del tre gick jag igenom de tekniska förmågor molnleverantörerna använder för att skydda er information.
I denna den sista delen(?) kommer jag beskriva vilka möjligheter ni själva har att säkra er information i molnet.
Som vanligt är ni mer än välkomna att komma med tankar, frågor, funderingar och motargument i kommentarerna.
Vad kommer jag skriva om?
Återigen kommer jag fokusera på Microsoft, men den här gången specifik på Azure. Jag kommer med andra ord endast att prata om IaaS och PaaS. Dels på grund av att det är det område jag behärskar bäst men också på grund av att det finns jämförelsevis lite ni som kund kan påverka i en SaaS-tjänst.
Jag vill emellertid vara tydlig med att när det gäller PaaS kommer jag inte inkludera alla de tjänster Microsoft erbjuder, dels på grund av att de bokstavligt talat erbjuder hundratals tjänster och dels på grund av att artikeln utgår från ert eget datacenter. I den händelse att ni själva kör, exempelvis, Blockchain-tjänster i ert datacenter behöver ni ta kontakt med någon som vet exakt hur en sådan tjänst skall säkras upp.
För att det skall vara så enkelt som möjligt att hitta det ni är intresserade av kommer jag gruppera tjänsterna i kategorier. Dessa kategorier blir på samma gång lite flytande och väldigt fyrkantiga men min förhoppning är att de skall göra mer nytta än skada.
Detta är en mer informationstät artikel då det finns ett stort antal sätt ni kan påverka hur er information skyddas i Azure. Jag kommer inte jämföra med vad ni kan göra i ert eget datacenter då det skulle resultera i en ännu längre artikel.
Server
I den här kategorin kommer jag inkludera den typ av "beräkningskraft" ni rimligtvis även kan köra i ert eget datacenter; VM, containers samt web servrar.
Confidential Computing
Den mest säkra typen av VM ni kan köra i Azure är i tjänsten 'Confidential Computing' [1].
Confidential computing adds new data security capabilities using trusted execution environments (TEEs) or encryption mechanisms to protect your data while in use. TEEs are hardware or software implementations that safeguard data being processed from access outside the TEE. The hardware provides a protected container by securing a portion of the processor and memory. Only authorized code is permitted to run and to access data, so code and data are protected against viewing and modification from outside of TEE.
För en mer detaljerad beskrivning av tjänsten refererar jag er till Mark Russinovich's YouTube-klipp i ämnet [2].
Microsoft Antimalware for Azure
Om ni så önskar kan ni utan extra kostnad installera 'Microsoft Antimalware for Azure' på de av era VM som kör supporterade versioner av Windows [3].
Microsoft Antimalware for Azure is a free real-time protection that helps identify and remove viruses, spyware, and other malicious software. It generates alerts when known malicious or unwanted software tries to install itself or run on your Azure systems.
The Microsoft Antimalware Client and Service is […] available as an optional feature through the Azure portal and Visual Studio Virtual Machine configuration under Security Extensions.
Azure Dedicated Host
Den här tjänsten är den som mest påminner om ert eget datacenter, men om ni vill dra nytta av alla de fördelar jag räknade upp i min förra artikel och lägga till ännu ett lager av säkerhet är 'Azure Dedicated Host' ett alternativ.
Viktigt att notera är att detta inte är traditionell co-location utan "endast" tillgång till samma typ av serverhårdvara i samma datacenter som Microsoft redan kör för Azure [4].
Azure Dedicated Host is a service that provides physical servers - able to host one or more virtual machines - dedicated to one Azure subscription. Dedicated hosts are the same physical servers used in our data centers, provided as a resource. You can provision dedicated hosts within a region, availability zone, and fault domain. Then, you can place VMs directly into your provisioned hosts, in whatever configuration best meets your needs.
Azure Kubernetes Service
Det finns flera olika sätt att köra containers på i Azure [6] men 'Azure Kubernetes Service' (AKS) är snarlik vad ni kan implementera i ert eget datacenter (Red Hats OpenShift är ett kapitel för sig) varför jag nämner den tjänsten här.
Den främsta fördelen med AKS ur ett säkerhetsperspektiv är att det är en PaaS-tjänst vilket innebär att ni drar nytta av alla de fördelar jag räknade upp i min förra artikel. Specifikt för AKS tar detta sig bland annat uttryck i att Microsoft hanterar den så kallade 'Kubernetes master' [7].
Each AKS cluster has its own single-tenanted, dedicated Kubernetes master to provide the API Server, Scheduler, etc. This master is managed and maintained by Microsoft.
Utöver detta applicerar Microsoft automatiskt säkerhetsuppdateringar på Linuxbaserade noder (noder baserade på Windows Server är fortfarande i 'Preview' och har inte samma automatisering) [8].
The Azure platform automatically applies OS security patches to Linux nodes on a nightly basis. If a Linux OS security update requires a host reboot, that reboot is not automatically performed.
Om ni vill höja säkerheten ännu en nivå kan ni köra AKS på tjänsten 'Confidential Computing' (beskriven ovan) [9].
Use the open enclave SDK for confidential computing in code. Create a Kubernetes cluster on hardware that supports Intel SGX, such as the DC-series virtual machines running Ubuntu 16.04 or Ubuntu 18.04 and install the confidential computing device plugin into those virtual machines.
Om ni behöver hjälp med att förstå, implementera eller vidareutveckla en containerplattform kan jag varmt rekommendera att ni tar kontakt med Svenska Middlewaregruppen [10].
Azure App Service
Tjänsten 'Azure App Service' används för att köra web-applikationer [11].
Azure App Service is an HTTP-based service for hosting web applications, REST APIs, and mobile back ends. You can develop in your favorite language, be it .NET, .NET Core, Java, Ruby, Node.js, PHP, or Python. Applications run and scale with ease on both Windows and Linux-based environments.
Den främsta anledningen till att använda 'Azure App Service' ur ett säkerhetsperspektiv är att även detta är en PaaS-tjänst med alla de fördelar det innebär. För att säkra upp er 'Azure App Service' än mer kan ni använda 'Access Restrictions' [12].
Access restrictions enable you to define a priority ordered allow/deny list that controls network access to your app. The list can include IP addresses or Azure Virtual Network subnets. When there are one or more entries, there is then an implicit "deny all" that exists at the end of the list.
The access restrictions capability works with all App Service hosted work loads including; web apps, API apps, Linux apps, Linux container apps, and Functions.
Lagring
Även för något så till synes enkelt som lagring finns det ett flertal tjänster som är för komplexa eller specifika för att gå in i detalj på, exempelvis 'Azure Data Lake Storage' eller 'Avere vFXT for Azure.' Är ni intresserade av att veta mer om de tjänster jag inte nämner får ni gärna ta kontakt med mig direkt.
Azure Storage
Mitt fokus för den här kategorin är på vad ni kan göra för att de mer generella lagringsmöjligheter ni kan använda - exempelvis Blob, Files och Disk - skall vara så säkra som möjligt. Dessa tjänster är så pass sammanhängande att jag inte kommer dela in dem i underkategorier, och mycket av det jag beskriver applicerar på dem alla. I det fall att en specifik tjänst inte omfattas noterar jag detta.
All information som lagras på disk, oavsett typ av lagring eller prestanda, är automatiskt krypterad [13] men ni kan säkra upp er information ytterligare genom att själva hantera de nycklar som används för att kryptera er information [14]. Detta går dock endast att applicera på 'Blob Storage' och 'Azure Files,' eller i det fall att ni inte alls vill blanda in Microsoft endast på 'Blob Storage.'
För att garantera att överföringar till och från er lagring i Azure är så säker som möjligt skall ni aktivera alternativet 'Secure transfer required' [15] samt kräva HTTPS om ni använder er av s.k. 'Shared Access Signature' för att komma åt er lagring [15].
Ni kan säkra upp de virtuella hårddiskar era VM använder med hjälp av 'Azure Disk Encryption' [16].
Azure Disk Encryption allows you to encrypt the OS and Data disks used by an IaaS Virtual Machine. […] For Windows, the drives are encrypted using industry-standard BitLocker encryption technology. For Linux, the disks are encrypted using the DM-Crypt technology.
För mer detaljerad information om 'Azure Disk Encryption' hänvisar jag er till dokumentet 'Azure Disk Encryption for virtual machines and virtual machine scale sets' [17].
Mycket av säkerheten för 'Azure Files' hänger på hur ni autentiserar era användare, exempelvis via 'Azure Active Directory,' men detta återkommer jag till senare i avsnittet om skalskydd.
OBS! När denna artikel skrivs existerar det ett kritiskt säkerhetshål i Microsofts protokoll SMBv3 [18], ett protokoll som även används för att kommunicera med 'Azure Files' från klienter utanför Azure. Var säkra på att ni hanterat denna risk om ni använder er av 'Azure Files' med klienter utanför Azure.
Azure Backup
Precis som all annan information som lagras på disk i Azure krypteras era backuper. Det finns dock en möjlighet att gå med i ett beta-program som tillåter er att själva hantera nycklarna för den här krypteringen [19].
Ni bör även aktivera 'Azure Multi Factor Authentication' (MFA) för de i er personal som jobbar med er backupdata för att få ett extra lager av säkerhet [20].
When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. Enabling Azure Multi-Factor Authentication adds a layer of security. Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.
Nätverk
Gränsen mellan nätverksrelaterad säkerhet och det jag väljer att kalla skalskydd är ganska luddig så om ni inte hittar det ni förväntar er här bör ni kolla även under avsnittet för skalskydd.
Azure VPN Gateway & ExpressRoute
Om ni vill vara säkra på att er data skyddas när ni skickar den mellan ert datacenter och Azure skall ni använda 'Azure VPN Gateway' [21]. Om ni använder er av tjänsten 'ExpressRoute' är det viktigt att veta att trafiken inte är krypterad som standard [22].
While traffic that travels over an ExpressRoute circuit is not encrypted by default, it is possible create a solution that allows you to send encrypted traffic over an ExpressRoute circuit.
ExpressRoute stöder dock kryptering både via MACse och IPsec [23].
Azure Virtual Network
'Azure Virtual Network' (VNet) används i första hand för att låta era VM kommunicera sinsemellan men kan även ansluta till andra resurser i Azure. Det finns flera sätt att skydda trafiken i ett VNet på.
Det första skyddet att se över är 'Network Security Groups' (NSG) som används för att filtrera trafik på ett VNet [24].
Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. A flow record is created for existing connections. Communication is allowed or denied based on the connection state of the flow record. The flow record allows a network security group to be stateful.
Noggrant definierade regler för de NSG som appliceras på ett VNet kan markant öka säkerheten.
Förutom noggrant definierade NSG-regler bör ni använda er av 'Service Endpoints' i era VNet [25].
Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network. […] Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.
Med hjälp av 'service endpoints' kan ni även säkra upp accessen till er lagring i Azure [26].
Endpoint policies allow you to specify the Azure Storage accounts that are allowed virtual network outbound access and restricts access to all the other storage accounts. This gives much more granular security control for protecting data exfiltration from your virtual network.
För Kubernetes finns det specifika så kallade 'Azure Network Policies' som används tillsammans med NSG [27].
When implementing security for your cluster, use network security groups (NSGs) to filter North-South traffic, that is, traffic entering and leaving your cluster subnet, and use Kubernetes network policies for East-West traffic, that is, traffic between pods in your cluster.
Skalskydd
Här inkluderar jag allting från brandväggar till identitetshantering, helt enkelt på grund av att det blir lite för många kategorier annars.
Azure DDoS Protection Standard
Alla resurser i Azure skyddas av ett grundläggande DDoS-skydd kallat 'Azure DDoS Protection Basic' [28]. För att öka säkerheten kan ni köpa till det utökade skyddet kallat 'Azure DDoS Protection Standard' [28].
DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. When coupled with the Application Gateway web application firewall, or a third-party web application firewall deployed in a virtual network with a public IP, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.
Azure Application Gateway
Om ni använder er av tjänsten 'Azure Application Gateway' för att skydda era applikationer bör ni överväga att aktivera så kallad "end to end SSL" [29].
When configured with end to end SSL communication mode, application gateway terminates the SSL sessions at the gateway and decrypts user traffic. It then applies the configured rules to select an appropriate backend pool instance to route traffic to. Application gateway then initiates a new SSL connection to the backend server and re-encrypts data using the backend server's public key certificate before transmitting the request to the backend. Any response from the web server goes through the same process back to the end user.
Om ni dessutom använder den här tjänsten för att specifikt skydda era webb-applikationer skall ni aktivera 'Azure Web Application Firewall' (WAF) för att få ett extra lager av skydd [30].
Azure Web Application Firewall (WAF) on Azure Application Gateway provides centralized protection of your web applications from common exploits and vulnerabilities. Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. SQL injection and cross-site scripting are among the most common attacks.
WAF on Application Gateway is based on Core Rule Set (CRS) 3.1, 3.0, or 2.2.9 from the Open Web Application Security Project (OWASP). The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.
Azure Front Door
Tjänsten 'Azure Front Door' kan också använda sig av 'Azure Web Application Firewall' [31].
Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. WAF defends your web services against common exploits and vulnerabilities. It keeps your service highly available for your users and helps you meet compliance requirements.
WAF on Front Door is a global and centralized solution. It's deployed on Azure network edge locations around the globe. WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.
Om ni har möjlighet skall ni även här aktivera WAF för att få ännu ett lager av säkerhet.
Azure Firewall
Ni kan använda 'Azure Firewall' som ett alternativ till (eller möjligen ett komplement till) 'Network Security Groups' (NSG) . Den här tjänsten driver en extra kostnad jämfört med NSG men är mer komplett [32].
Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.
You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. The service is fully integrated with Azure Monitor for logging and analytics.
Azure Bastion
Om ni vill fjärransluta till era VM i Azure på ett så säkert sätt som möjligt kan ni använda 'Azure Bastion' [33].
It provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. When you connect via Azure Bastion, your virtual machines do not need a public IP address.
Bastion provides secure RDP and SSH connectivity to all of the VMs in the virtual network in which it is provisioned. Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world, while still providing secure access using RDP/SSH.
Tjänsten är inte kostnadsfri.
Azure Active Directory
Jag beskriver 'Azure Active Directory' (AAD) i min förra artikel men kortfattat är det den identitetstjänst som hanterar alla identiteter i Azure samt många andra molntjänster[34].
Azure Active Directory (Azure AD) is Microsoft’s cloud-based identity and access management service, which helps your employees sign in and access resources in [...] External resources, such as Microsoft Office 365, the Azure portal, and thousands of other SaaS applications.
Alla tjänster jag beskriver kan göras än mer säkra genom ett korrekt användande av AAD för tilldelning av access och rättigheter. Detta är den främsta anledningen till att avsnittet om exempelvis server inte beskriver hur ni kan säkra upp en VM då detta görs med hjälp av AAD.
Källorna för tjänsterna jag nämner i artikeln innehåller i många fall referenser till hur ni säkrar upp respektive tjänst med AAD, och om ni behöver ännu mer information är dokumentationen för AAD [35] omfattande.
Azure Key Vault
'Azure Key Vault' är en tjänst i samma anda som AAD då den kan användas för att säkra upp många andra tjänster [36].
Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.
Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.
För att identifiera användare och applikationer används AAD. Se respektive källa för tjänsterna i artikeln för att se om 'Azure Key Vault' kan användas för att ytterligare säkra upp den specifika tjänsten.
Azure Database
I Azure kan ni som kund köra en mångfald av databastyper [37] och jag har ingen möjlighet att gå igenom dem alla. I stället kommer jag fokusera på de tre jag anser är mest relevanta för artikeln; 'Azure SQL Database,' 'Azure SQL Database managed instance' samt 'Azure Database for MySQL.'
Azure SQL Database
Den här tjänsten är som namnet antyder en SQL-databas som körs direkt i Azure som en PaaS-tjänst med de fördelar detta medför.
Microsoft har byggt säkerheten för den här tjänsten i lager, med nätverkssäkerhet som yttersta lagret [38]. Förutom de funktioner jag beskrev i avsnittet om nätverkssäkerhet har 'Azure SQL Database' en egen brandvägg [39]. För maximal säkerhet skall även den här brandväggen hanteras.
Genom att använda er av en 'Private Link' [40] kan låsa ner all åtkomst till er databas via en privat IP-adress (så kallad 'Private Endpoint') i ett specifikt VNet [41].
Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. Private Endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. The service could be an Azure service such as Azure Storage, Azure Cosmos DB, SQL, etc. […]
Ytterligare ett lager är 'Advanced Threat Protection' (ATP) [42].
[ATP] for single and pooled databases detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. Advanced Threat Protection can identify Potential SQL injection, Access from unusual location or data center, Access from unfamiliar principal or potentially harmful application, and Brute force SQL credentials […]
All information i en 'Azure SQL Database' är krypterad och om ni vill kan ni själva ta kontrollen över dessa nycklar [43].
Azure SQL Transparent Data Encryption (TDE) with customer-managed key enables Bring Your Own Key (BYOK) scenario for data protection at rest, and allows organizations to implement separation of duties in the management of keys and data.
I förebyggande syfte kan ni använda er av tjänsten 'SQL Vulnerability Assessment' som hjälper er hitta och åtgärda säkerhetsbrister [44].
Vulnerability Assessment is a scanning service built into the Azure SQL Database service. The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data.
Azure SQL Database managed instance
Tjänsten 'Azure SQL Database managed instance' är en PaaS-tjänst som ger er möjligheten att köra en databas som är så snarlik en SQL Server i en VM som möjligt [45], men med de fördelar en PaaS-tjänst innebär.
Utöver de möjligheter att öka säkerheten som ges för tjänsten 'Azure SQL Database' kan ni för den här tjänsten även använda er av 'Azure SQL Database managed instance auditing' [46]. Detta ger er möjlighet att analysera loggar för eventuella säkerhetsrisker och intrång.
Azure Database for MySQL
'Azure Database för MySQL' är ett exempel på en av flera databaser Microsoft tillgängliggör i Azure som traditionellt körs på Linux, och en av de populäraste inom Open Source [47].
Många av de säkerhetsfunktioner som finns tillgängliga för Azure SQL Database finns också tillgängliga för den här tjänsten. 'Azure Database for MySQL server firewall' är en sådan funktion [48]. Även ATP kan aktiveras för tjänsten [49] och likaså loggning [50] samt 'Private Link' [51].
Avslutningsvis
I nästa del (ja, del fem av fyra) kommer jag sammanfatta hela artikelserien. Jag hade för avsikt att göra detta i den här delen men detta är den längsta och mest kompakta i hela serien varför en sammanfattning inte får plats. Till dess, tveka inte att kontakta mig, antingen via e-mail, telefon eller formuläret här på hemsidan, om ni är intresserade av att diskutera ämnet vidare med mig.
Tack för din tid!
Källor
https://azure.microsoft.com/en-us/solutions/confidential-compute/
https://docs.microsoft.com/en-us/azure/security/fundamentals/antimalware
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/dedicated-hosts
https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions
https://docs.microsoft.com/en-us/azure/aks/concepts-security#master-security
https://docs.microsoft.com/en-us/azure/aks/concepts-security#node-security
https://azure.microsoft.com/en-us/blog/bringing-confidential-computing-to-kubernetes/
https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions
https://docs.microsoft.com/en-us/azure/storage/common/storage-service-encryption
https://docs.microsoft.com/en-us/azure/storage/blobs/security-recommendations
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/managed-disks-overview#encryption
https://docs.microsoft.com/en-us/azure/security/fundamentals/azure-disk-encryption-vms-vmss
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
https://docs.microsoft.com/en-us/azure/backup/backup-azure-security-feature-cloud#encryption
https://docs.microsoft.com/en-us/azure/backup/backup-azure-security-feature#enable-security-features
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways#ExpressRoute
https://docs.microsoft.com/en-us/azure/expressroute/expressroute-about-encryption
https://docs.microsoft.com/en-us/azure/virtual-network/security-overview
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-service-endpoints-overview
https://docs.microsoft.com/en-us/azure/virtual-network/ddos-protection-overview
https://docs.microsoft.com/en-us/azure/application-gateway/ssl-overview#end-to-end-ssl-encryption
https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview
https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/afds-overview
https://docs.microsoft.com/en-us/azure/bastion/bastion-overview
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview#why-use-azure-key-vault
https://azure.microsoft.com/en-us/product-categories/databases/
https://docs.microsoft.com/en-us/azure/sql-database/sql-database-security-overview#network-security
https://docs.microsoft.com/en-us/azure/sql-database/sql-database-firewall-configure
https://docs.microsoft.com/en-us/azure/private-link/private-link-overview
https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview
https://docs.microsoft.com/en-us/azure/sql-database/sql-database-threat-detection
https://docs.microsoft.com/en-us/azure/sql-database/transparent-data-encryption-byok-azure-sql
https://docs.microsoft.com/en-us/azure/sql-database/sql-vulnerability-assessment
https://docs.microsoft.com/en-us/azure/sql-database/sql-database-managed-instance-auditing
https://docs.microsoft.com/en-us/azure/mysql/concepts-firewall-rules
https://docs.microsoft.com/en-us/azure/mysql/concepts-data-access-and-security-threat-protection
https://docs.microsoft.com/en-us/azure/mysql/concepts-audit-logs
https://docs.microsoft.com/en-us/azure/mysql/concepts-data-access-security-private-link
Комментарии