SQL Server 2016 新功能搶先看 – 資料列層級安全性

SQL Server 2016 搶先看第九波,這次要帶大家認識「資料列層級安全性」! 回顧系列專文: SQL Server 2016 新功能搶先看 – Stretch Database / Managed Backup (內含 Demo 畫面) SQL Server 2016 新功能搶先看 – Live Query Statistics / JSON SQL Server 2016 新功能搶先看 – 動態資料遮罩 / 多重 tempdb 資料檔 SQL Server 2016 新功能搶先看 – Stretch Database 詳解 SQL Server 2016 新功能搶先看 – Always Encrypted SQL Server…


保護您的資料中心及雲端環境遠離新型的資訊安全威脅

資訊安全已經成為現在不得不重視的一環。你不難看到某些公司遭受駭客的攻擊及入侵而造成資料外洩的新聞。資安專家也許會說:「這不過只是資安事件中的冰山一角」,但你不得不承認,這一小角其實對公司來說已經會造成非常巨大的影響了。 但是今非昔比,許多的攻擊者的動機已經有很大的改變,幾年前微軟高可信度電腦運算團隊( Trustworthy Computing group )所發布的內部文件,預測在資訊攻擊上從單純的攻擊癱瘓或者資訊詐騙,逐步轉變成進階持續性滲透攻擊 (Advanced Persistent Threats) , 簡稱 APT, 需要更深入了解此名詞可以參考 (台灣微軟資安部落格)。這個轉變促使各大領域的企業開始針對這種攻擊手法作對應的防範,而微軟的產品從 Microsoft Azure 公有雲,到 Windows 10 以及眾多的伺服器產品當然不可避免的需要顧及到 APT 的問題。  在同一時間,有許多的技術不斷地推演進化,這對資訊安全有深切的影響像是:虛擬化技術、大型雲端運算模型、公有雲等,這些技術產生服務租用戶跟服務提供者之間,在資料存放及使用信任的問題。而 Microsoft Azure 雲端服務,將會持續研發及進步,竭盡所能地為這個新的網路世界,提供安全的防護。 此篇文章將會向您介紹我們的產品服務將如何提升資料中心的安全,並且也適用於私有雲以及自建資料中心環境所用。大綱如下: 資訊安全保障設計原則及方案 資料中心以及雲端環境的安全 保護虛擬機器及運行的服務於實體架構的攻擊 (fabric attackes) 特權存取管理機制 威脅偵測機制 別忘了保護你的作業系統 總結 資訊安全保障設計原則及方案 在資訊安全保障設計這個部分,我們始終保持這幾個重要的設計原則:   假如服務的環境被入侵,那麼必須要分析這個攻擊將會衍生出什麼樣的問題,以及要採取什麼樣的措施。   在雲端技術多變及在大型虛擬化環境的安全機制要怎麼保持運作的一致性。   在現有的環境下,加入新的資訊安全防護功能不需要重新調整您的資料中心架構或者做出重大的升級。 在繼續閱讀本文章前,需要提醒您關於資訊安全保障及條約的一些事項。當您在閱讀這篇文章時,文內有一些額外的連結,而這些連結的內容至少附加一個或多個以上的保障條約說明。但這些條約及介紹功能說明並不能保證您能是完全安全的,我們將會採用最先進且持續保持更新的防突破安全技術來盡可能地提供最完整的保護給您。 資料中心以及雲端環境的安全 資訊專家指出,最近的攻擊方式大多都是使用合法的管理者帳戶所進行。我們知道透過社交工程,人們可以被愚弄欺騙,或者透過行賄的方式獲取這些管理者帳戶,導致攻擊其實是由內部而來。但有幾件事我們可以做,如果我們 “假設被入侵”,我們可以做的是盡可能透過資訊安全管控來控制住情勢。 當系統被入侵,或者管理帳號遭盜取時,我們採取的措施是我們該如何控制住因入侵所造成的損害,並且讓這些入侵或者盜取資料的行為是能被我們偵測到,且有能力去回應這些事情的發生。要因應這些問題,我們必須結合傳統的安全防護方式,先阻止外部的駭客入侵系統。 目前針對這個問題,我們使用三種因應策略:  避免入侵者由私有雲或者雲端服務提供者入侵虛擬機器  具備特權存取管理,能夠處理遭受盜取的管理員帳號,並追查威脅的來源  能夠偵測出威脅及惡意軟體的設計 保護虛擬機器及運行的服務於實體架構的攻擊 ( fabric attacks )…

4

Microsoft Advanced Threat Analytics 公開預覽現已推出!

這是個對於微軟的身分識別和安全服務團隊大日子! 如果您看過此演講(”Identity is the new control plane”),您知道我們與眾不同的事情之一是專注於提供完整的混合式身分識別解決方案。我們希望提供您不管是在內部部署和雲端所有需要的身分驗證。這包括提供一套極佳的安全性和健康監控系統以及管理和保護您的身分識別控制平面。建構完整解決方案的願景,使我們建立 Azure AD Connect Health,在 Azure MFA 進行投資,以及運用機器學習做安全性偵測和防護。 現今在雲端中我們可以偵測並幫助保護您的組織免受主機攻擊,包括暴力密碼破解攻擊、匿名攻擊、非典型位置的異常攻擊和許多其他類型的攻擊。客戶告訴我們他們喜歡我們提供的監控和安全性等級。在許多案例下,雲端比他們內部部署可以獲得更多功能。客戶不斷問:「在我的內部部署 Active Directory,能不能提供給我在雲端 Azure AD 相同等級的監控和安全性?」 今天我很高興我們能回答:「是的,我們可以!」 我們剛發佈了 Microsoft Advanced Threat Analytics(ATA)。Microsoft ATA 是一個新的內部部署產品,提供 Azure AD 模式的安全性監控和異常偵測內部部署。Microsoft ATA 以 Aorato 為基礎,我們去年 11 月收購的新創公司所做的創新工作。 以下要讓您了解的詳細資訊是 Idan Plotnik (Aorato 前任 CEO, Microsoft ATA 團隊的 Principal Group Manager) 所寫的部落格文章。我們很興奮他們帶來的激情和能量,以及他們正在建構的產品!希望你會像我們一樣因為 Microsoft ATA 感到興奮。一如往常,我們很樂意得到任何的反饋和建議。 大家好!我是 Idan…


Azure SQL Database 資安講堂 – 認識資料列層級安全性

本文大綱: 說明、權限及限制 學習目標 建立 SQL Database 設定防火牆規則 實作資料列層級安全性 建立篩選述詞函式(Filter Predicate Function) 建立安全性原則(Security Policy) 測試資料列安全性原則 修改資料列層級安全性原則 參考資料 進階學習 說明 Microsoft Azure SQL Database V12 推出資料列層級安全性(Row-Level Security,RLS),為儲存在 SQL Database 裡的資料提供有別於以往的保護機制,要使用這項功能應用程式幾乎不需要過多的修改就可以相容於資料列層級安全性,直接享受資料列層級安全性所帶來的細緻存取控制特性,並且讓資料安全性邏輯集中於資料庫層級,管控資料的安全性可以交給資料庫來完成,應用程式只要像過去那樣連接資料庫並存取資料,藉由資料列層級安全性功能就可以達到資料隔絕的效果,有效避免應用程式開發時,可能因為疏忽而導致存取不該存取的資料。 截至本文撰寫為止,北歐和西歐地區的資料中心 Azure SQL Database V12 已經進入 GA 階段,其他地區除了東亞、東南亞及日本地區資料中心尚未公布 GA 時程外,將依照預定時程陸續於 2015 年 2 月初脫離預覽階段[1]。 權限 要使用資料列層級安全性功能,所需具備的權限如下: ALTER ANY SECURITY POLICY 的權限。 ALTER 結構描述的權限。 篩選述詞函式 SELECT 和 REFERENCE…

5