Skip to main content
HashnodeAzure for architects

Command Palette

Search for a command to run...

🔐 Mejorando la seguridad de Azure SQL: ¿Azure AD o SQL Authentication?🧩

Aprende a elegir entre Azure AD y SQL Authentication para optimizar la seguridad en Azure SQL Database.

Published
🔐 Mejorando la seguridad de Azure SQL: ¿Azure AD o SQL Authentication?🧩
J
Jesús E, García O

Ingeniero de software senior con más de 12 años de experiencia, especializado en el desarrollo de aplicaciones empresariales y soluciones en Azure. Mi trayectoria incluye el diseño e implementación de Aplicaciones Web, Desktop, API's y Microservicios escalables, y desarrollo de arquitecturas robustas basadas en .NET.

Email: jesusegarcia@gmail.com CV Online: https://app.onlinecv.es/share/07cd112ed04b4f6db4904dca3be52244

Part of seriesAzure

¿Qué es este servicio?

Cuando hablamos de Azure SQL Database, nos referimos a un servicio de base de datos completamente gestionado por Microsoft, lo que elimina muchas de las tareas de administración y mantenimiento. Sin embargo, elegir el método de autenticación adecuado es crucial para la seguridad y eficiencia del acceso a tus datos.

Existen dos principales métodos de autenticación para acceder a las bases de datos en Azure SQL:

  • SQL Authentication: Un enfoque clásico que utiliza un nombre de usuario y contraseña.

  • Azure Active Directory (Azure AD): Un método más moderno que permite la autenticación a través de identidades gestionadas en Azure AD, eliminando la necesidad de contraseñas y mejorando la gestión de accesos.

¿Qué cubrirá este post?

Este artículo analizará las diferencias clave entre Azure AD y SQL Authentication, evaluando las ventajas y desventajas de cada método. También se mostrarán ejemplos de cómo migrar de SQL Authentication a Azure AD en una base de datos SQL.

¿Por qué es importante para los arquitectos de soluciones?

Como arquitecto de soluciones, la autenticación no es solo un aspecto técnico, sino un componente estratégico para garantizar la seguridad, la escalabilidad y la facilidad de administración de una solución. Entender las diferencias entre estos métodos de autenticación te permitirá diseñar soluciones más seguras y eficientes.

Justificación de las decisiones tomadas

  1. Azure AD como estándar de seguridad: Azure AD permite una integración profunda con las identidades corporativas, simplificando la gestión de accesos y eliminando la necesidad de contraseñas fijas.

  2. SQL Authentication como método tradicional: Este método sigue siendo relevante cuando se requiere compatibilidad con aplicaciones legadas que no soportan Azure AD.

Consideraciones de seguridad y mejores prácticas

  • Azure AD: Mejora la seguridad mediante el uso de identidades centralizadas y ofrece la posibilidad de habilitar MFA (Autenticación Multifactor). También permite aplicar políticas de acceso condicional.

  • SQL Authentication: Aunque es sencillo de implementar, las contraseñas suelen ser un punto débil, especialmente si no se implementan políticas de rotación o reglas de complejidad estrictas.

Ejercicio en Practica ⚙️

  1. Para empezar, necesitamos crear un servidor de base de datos en Azure. Este servidor actuará como la ubicación principal donde se alojarán nuestras bases de datos SQL. En el portal de Azure, navegamos a la sección de SQL Databases y seleccionamos la opción Create SQL Database Server.

    Aquí proporcionamos un nombre único para el servidor (en este ejemplo, "jezu85") y seleccionamos la región en la que deseamos que se aloje el servidor, en este caso US Central. Para la autenticación, seleccionamos SQL Authentication e ingresamos las credenciales del administrador del servidor.

  1. A continuación, procedemos a crear la base de datos dentro del servidor configurado. Seleccionamos la suscripción adecuada y el grupo de recursos donde se gestionarán los recursos. Nombramos la base de datos (en este caso, "bd_Designlabs") y seleccionamos el servidor recién creado como su alojamiento. Se debe configurar si queremos usar un SQL Elastic Pool (en este caso, seleccionamos "No"). Finalmente, seleccionamos el entorno de trabajo como Development y configuramos las opciones de almacenamiento

  2. En la pestaña de Networking, habilitamos la opción de Public Endpoint para permitir el acceso remoto a la base de datos desde nuestra máquina local.

  3. En la pestaña Review + create, revisamos toda la configuración realizada, asegurándonos de que los datos de la base de datos, el servidor, la autenticación y la redundancia del almacenamiento estén correctos

  4. Una vez creada la base de datos, accedemos a las propiedades de la misma y verificamos la cadena de conexión (Connection String), que usaremos para conectarnos mediante SQL Authentication

  5. utilizamos la cadena de conexión en un cliente SQL (como SQL Server Management Studio) para probar que tenemos acceso a la base de datos. Ingresamos las credenciales de autenticación SQL y comprobamos que se puede establecer la conexión

  6. accedemos al servidor SQL utilizando las credenciales proporcionadas durante la configuración inicial del servidor. Especificamos el tipo de conexión como SQL Login, ingresamos el nombre de usuario, la contraseña y habilitamos la opción de recordar la contraseña.

  7. Una vez ingresadas las credenciales, observamos que se ha establecido una conexión exitosa al servidor SQL y a la base de datos "bd_Designlabs"

  8. Desde el portal de Azure, navegamos a la base de datos "bd_Designlabs" y seleccionamos el servidor SQL en el que está alojada.

  9. Para mejorar la seguridad, configuramos un administrador de Azure Active Directory (Azure AD), lo que nos permitirá gestionar el acceso a la base de datos mediante cuentas corporativas en lugar de contraseñas SQL. Buscamos el usuario en nuestro directorio de Azure y lo asignamos como administrador del servidor SQL

  10. Buscamos en Azure AD al usuario deseado (en este caso "Jhon Smith") y lo asignamos como administrador del servidor SQL.

  11. Confirmamos que el usuario ha sido asignado correctamente como administrador de Microsoft Entra ID. Este paso es crucial para gestionar los accesos de manera centralizada y segura

  12. Ahora, conectamos al servidor SQL desde SSMS utilizando la autenticación de Azure AD con múltiples factores (MFA). Esto nos redirige a una ventana de autenticación en el navegador, donde ingresamos nuestras credenciales de Azure AD

  13. Al iniciar sesión, verificamos que la base de datos está accesible utilizando el usuario de Azure AD asignado, validando así que podemos usar identidades corporativas para administrar el acceso a la base de datos

  14. Otra opción para conectarse al servidor SQL es mediante la autenticación con Azure AD y una contraseña. En este caso, ingresamos tanto el usuario como la contraseña de nuestra cuenta de Azure AD

  15. También podemos utilizar la autenticación integrada de Azure AD, que aprovecha las credenciales del usuario que ha iniciado sesión en el sistema operativo, permitiendo un acceso más fluido si el usuario está registrado en el Azure AD de la organización

  16. Este proceso garantiza una administración centralizada y segura del acceso a las bases de datos en Azure SQL, utilizando las mejores prácticas de autenticación basadas en Azure Active Directory.

¿Qué problemas puede resolver? 🛠️

  • Simplificación de la gestión de credenciales: Azure AD elimina la necesidad de manejar múltiples contraseñas.

  • Seguridad mejorada: Al integrar con Azure AD, puedes implementar MFA y políticas de acceso condicional.

  • Facilidad de auditoría: Azure AD permite un registro más completo de los accesos a la base de datos a través de identidades gestionadas.

Casos de uso reales 📊

  1. Organizaciones con Azure AD: Para empresas que ya utilizan Azure AD, integrar esta autenticación con Azure SQL unifica la gestión de identidades y mejora la seguridad.

  2. Aplicaciones modernas en la nube: En aplicaciones que requieren autenticación Single Sign-On (SSO), Azure AD ofrece un enfoque nativo.

  3. Escenarios multiusuario: Cuando se gestionan cientos o miles de usuarios, Azure AD simplifica la administración y permite un control más granular de los permisos.

Buenas prácticas 🏆

  • Habilita MFA: Siempre que sea posible, utiliza MFA para proteger las cuentas de acceso a tu base de datos.

  • Desactiva SQL Authentication: Una vez hayas migrado completamente a Azure AD, desactiva los inicios de sesión basados en SQL Authentication para eliminar posibles vulnerabilidades.

  • Acceso condicional: Define políticas de acceso condicional para asegurar que solo usuarios autorizados puedan acceder desde ubicaciones o dispositivos aprobados.

Herramientas de apoyo 🛠️

  • Azure Active Directory Authentication Library (ADAL): Biblioteca que ayuda a las aplicaciones a autenticarse mediante Azure AD.

  • Azure Portal: Herramienta principal para configurar y gestionar las bases de datos y usuarios en Azure SQL.

  • Azure AD Privileged Identity Management (PIM): Permite gestionar roles con privilegios y controlarlos dinámicamente.

URL de apoyo 🔗

Consideraciones finales 📝

Elegir el método de autenticación adecuado para Azure SQL dependerá de los requisitos de tu organización y de la compatibilidad con tus aplicaciones. Sin embargo, con el aumento de las amenazas de seguridad, Azure AD es una opción más robusta, especialmente cuando se integran políticas avanzadas de seguridad como el acceso condicional y MFA. SQL Authentication sigue siendo útil en escenarios donde la compatibilidad es clave, pero a medida que las organizaciones migran a la nube, Azure AD es la mejor opción para asegurar sus recursos.

#azure-sql-database#azure-ad#azure#cloud#security

Comments

Join the discussion

No comments yet. Be the first to comment.

Azure

Part 5 of 50
Up next

🚨 Implementación de Alertas de Seguridad en Azure AD para la Autenticación de Servicios

Configura alertas de seguridad en Azure AD para mejorar la protección de tus servicios.

More from this blog

Azure for architects

172 posts