Databases
Advanced Threat Protection Voor Azure Databases
Advanced Threat Protection (ATP) vormt een kritieke beveiligingslaag voor alle Azure-databases door real-time detectie van beveiligingsbedreigingen zoals SQL-injectieaanvallen, brute-forcepogingen, abnormale toegangspatronen en datalekken. Deze intelligente bedreigingsdetectie is essentieel voor het identificeren van actieve aanvallen voordat significante schade optreedt en vormt een verplichte maatregel voor alle productiedatabases met gevoelige gegevens.
Azure SQL Database: Always Encrypted Configuratie
Always Encrypted is een client-side versleutelingstechnologie voor Azure SQL Database die gevoelige gegevens versleutelt op kolomniveau, zowel in rust als tijdens gebruik. In tegenstelling tot Transparent Data Encryption die alleen data-at-rest beschermt, blijft data met Always Encrypted versleuteld in het geheugen, waardoor databasebeheerders en onbevoegde gebruikers met database-toegang nooit onversleutelde gevoelige gegevens kunnen zien, zelfs niet wanneer zij directe toegang hebben tot de database.
Azure Cosmos DB: Firewall-regels Configureren Voor Toegangsbeperking
Azure Cosmos DB firewall-configuratie beperkt database-toegang tot specifieke IP-adressen en IP-ranges, waardoor ongeautoriseerde toegangspogingen worden geblokkeerd en het aanvalsoppervlak voor NoSQL-databases drastisch wordt gereduceerd. Deze netwerklaag-beveiliging vormt een essentiële verdedigingslijn naast authenticatie op basis van credentials.
Azure Cosmos DB: Private Endpoints Configureren Voor Netwerkisolatie
Private Endpoints voor Azure Cosmos DB brengen NoSQL database-toegang volledig binnen een Azure Virtual Network met private IP-adressen, waardoor publieke blootstelling aan internet wordt geëlimineerd. Deze netwerkisolatie is essentieel voor Zero Trust-architecturen en voldoet aan NIS2-vereisten voor netwerksegmentatie van kritieke data-assets.
Azure Database For PostgreSQL: SSL-versleuteling Afdwingen
SSL enforcement voor Azure Database for PostgreSQL dwingt versleutelde client-verbindingen af via TLS, waardoor man-in-the-middle-aanvallen en credential-interceptie tijdens database-communicatie worden voorkomen. Deze maatregel is essentieel voor het beschermen van gevoelige data in transit en verplicht onder PCI-DSS en de AVG.
Azure SQL Database: Advanced Threat Protection Inschakelen
Azure SQL Advanced Threat Protection (onderdeel van Microsoft Defender for SQL) detecteert verdachte database-activiteiten zoals SQL-injectieaanvallen, brute-forcepogingen en abnormale toegangspatronen door middel van machine learning en gedragsanalyse. Deze realtime bedreigingsdetectie is essentieel voor het identificeren van actieve aanvallen voordat significante schade optreedt.
Azure SQL Database: Database Auditing Inschakelen
Azure SQL Auditing registreert database-gebeurtenissen naar Azure Storage, Log Analytics of Event Hubs voor naleving van compliance-vereisten, onderzoek naar beveiligingsincidenten en detectie van afwijkende patronen. Deze audittrail is wettelijk verplicht onder de AVG en essentieel voor het onderzoeken van beveiligingsincidenten en het detecteren van bedreigingen van binnenuit waarbij medewerkers of gecompromitteerde accounts kwaadwillende activiteiten uitvoeren.
Azure SQL Database: Firewall-regels Documenteren En Periodiek Reviewen
Azure SQL Database firewallregels moeten gedocumenteerd, gejustificeerd en regelmatig worden beoordeeld om onnodige IP-whitelists te elimineren en het aanvalsoppervlak te minimaliseren. Zonder governance leiden firewallregels tot wildgroei, verouderde toegangsrechten en onnodige beveiligingsblootstelling.
Azure SQL Database: Publieke Endpoints Uitschakelen Voor Netwerkisolatie
Azure SQL Databases zonder publieke endpoints zijn uitsluitend toegankelijk via Private Endpoints vanuit een Azure Virtual Network, waardoor internet exposure volledig wordt geëlimineerd en het aanvalsoppervlak met ongeveer 99% wordt gereduceerd. Deze netwerkisolatie is essentieel voor Zero Trust-architecturen en NIS2-compliance.
Azure SQL Database: Private Endpoints Configureren Voor VNet-toegang
Private Endpoints voor Azure SQL Database brengen databasetoegang volledig binnen een Azure Virtual Network met privé IP-adressen, zonder internetrouting. Deze netwerkarchitectuur is essentieel voor Zero Trust-principes en voldoet aan NIS2-vereisten voor netwerkisolatie van kritieke systemen.
Azure SQL Database: Transparent Data Encryption Met Customer-Managed Keys
Transparent Data Encryption met door de klant beheerde sleutels (TDE CMK) geeft organisaties volledige controle over databaseversleutelingssleutels via Azure Key Vault. Deze sleutelcontrole is vereist voor strikte gegevenssoevereiniteitsvereisten en compliance in gereguleerde sectoren zoals financiële dienstverlening, gezondheidszorg en overheidsinstellingen.
Azure SQL Database: Transparent Data Encryption (TDE) Inschakelen
Transparent Data Encryption (TDE) voor Azure SQL Database versleutelt automatisch database-bestanden, transactielogs en backups bij rust zonder applicatiewijzigingen te vereisen. Deze versleuteling beschermt tegen fysieke media-diefstal en ongeautoriseerde toegang tot opslagniveau data, en is verplicht onder de AVG en PCI-DSS.
Azure SQL Database: Vulnerability Assessment Inschakelen Voor Security Scanning
SQL Vulnerability Assessment (onderdeel van Microsoft Defender for SQL) scant automatisch Azure SQL Databases op beveiligingsmisconfiguraties, zwakke wachtwoordbeleid, ontbrekende versleuteling en compliancehiaten. De tool biedt actiegerichte herstelrichtlijnen met T-SQL scripts om geïdentificeerde kwetsbaarheden te verhelpen.
Azure Databases: Transparent Data Encryption (TDE) Overzicht
Transparent Data Encryption (TDE) vormt de fundamentele beveiligingslaag voor alle Azure-databases door automatische versleuteling van data-at-rest zonder applicatiewijzigingen. Deze versleutelingstechnologie beschermt databasebestanden, transactielogs en backups tegen ongeautoriseerde toegang op opslagniveau en is verplicht onder AVG, PCI-DSS, ISO 27001 en andere compliance-frameworks voor Nederlandse overheidsorganisaties.