雲數據安全：SQL Azure 數據保護

    毫無疑問，將數據遷移到雲是當前討論的一大焦點。你能夠在微軟的SQL Azure雲數據庫中快速運行一個SQL Server實例，併爲一個新的事務性應用程序或報表等數據分析應用迅速加載數據。

    可是，將數據遷移到SQL Azure或Amazon的EC2須要很是當心。保護SQL Server雲中數據是很是重要的，由於你不但願向不相干的人暴露客戶數據。

    SQL Azure數據保護

    Azure防火牆。首先要記得開始使用SQL Azure並非向外界打開數據庫。默認狀況下，SQL Azure的數據庫只能由微軟的內部Azure服務器訪問。爲直接鏈接到SQL Azure的實例，配置你的SQL Azure防火牆以容許家中或辦公室的IP地址能夠鏈接。在 Windows Azure的管理門戶進行登陸，在訂閱標籤下你應該能夠看到你的SQL Azure訂閱，如1圖所示。

 

圖1顯示了Windows Azure的訂閱和防火牆規則。

    選擇服務器 「fz9fnjspok」，從訂閱菜單中能夠看到防火牆規則按鈕如圖1中的右側。點擊它，你能夠查看和編輯SQL Azure實例的防火牆規則。

    正如圖2所示，此例中只有兩項防火牆規則。 最佳實踐認爲你應使用盡量少的防火牆規則。若是之後您有活動好比你在開會或度假須要添加規則，當完成後再刪除它。這將有助於防止未經受權的人闖入SQL Azure實例，停掉防火牆甚至很短的一段時間也是很是危險的。

 

圖2 SQL Azure這個實例上的防火牆規則。

    對象級權限。除了?保護您的SQL Azure實例的防火牆，你也會但願他們遵循最佳實踐，即授予用戶或者登陸者最少的權限以足夠完成他們的工做。目前的客戶端工具不容易作到這一點，當鏈接到 SQL Azure的數據庫，SQL Server Management Studio中沒有修改權限的用戶界面。SQL Azure不支持數據庫角色以及對象級權限，所以配置賬戶即應用程序使用者以儘量少的最低權限來鏈接SQL Azure數據庫。這使用戶沒法訪問他們並不須要的對象，而這正是你在一個傳統的SQL Server數據庫實例中所作的。

    SQL注入和Azure。由Azure託管的應用程序正如一個傳統的Web應用程序容易受到SQL注入***。這樣被返回到最終用戶瀏覽器的這些數據是不該該獲得信任的，且全部數據庫調用應是設置成參數化的(而不是在應用程序內作字符串鏈接)。若是您使用一個相似對象關係映射(ORM)的實體框架(EF)來編寫應用程序代碼，ORM 將會爲你參數化數據庫調用。不過，若是你不是使用ORM，應用程序對數據庫調用的參數化必須是安全的。而使用一個單一的非參數化應用程序調用將容許***者進入你的數據庫。