Standardní hodnoty zabezpečení Azure pro pracovní prostor Synapse Analytics
Tyto standardní hodnoty zabezpečení aplikují pokyny ze srovnávacího testu zabezpečení Azure verze 2.0 na pracovní prostor Služby Synapse Analytics. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejících pokynů platných pro pracovní prostor Služby Synapse Analytics.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na řídicím panelu Microsoft Defender pro cloud.
Pokud oddíl obsahuje relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů v rámci kontrolních mechanismů a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Ovládací prvky , které se nevztahují na pracovní prostor Služby Synapse Analytics a pro které se doslovně doporučují globální pokyny, byly vyloučeny. Pokud chcete zjistit, jak se pracovní prostor Synapse Analytics kompletně mapuje na srovnávací test zabezpečení Azure, projděte si úplný soubor mapování standardních hodnot zabezpečení pracovního prostoru Služby Synapse Analytics.
Zabezpečení sítě
Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.
NS-1: Implementace zabezpečení pro interní provoz
Pokyny: Při nasazování prostředků Azure Synapse pracovního prostoru vytvořte nebo použijte existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který je v souladu s obchodními riziky. Každý systém, který by mohl pro organizaci představovat vyšší riziko, by měl být izolovaný v rámci vlastní virtuální sítě a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.
Pomocí Microsoft Defender pro adaptivní posilování zabezpečení sítě v cloudu doporučte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy na základě odkazů na pravidla externího síťového provozu.
Azure Synapse Analytics poskytuje spravovaný pracovní prostor Virtual Network. Jedná se o skladovou položku pracovního prostoru Synapse přidruženou k Virtual Network spravované službou Azure Synapse. Spravované privátní koncové body můžete vytvářet jenom v pracovním prostoru, ke kterému je přidružený spravovaný pracovní prostor, Virtual Network.
V závislosti na vašich aplikacích a strategii segmentace podniku omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních, dobře definovaných aplikací (například u 3vrstvých aplikací) se ve výchozím nastavení může jednat o vysoce zabezpečené odepření.
Spravovaný Virtual Network Workspace umožňuje příchozím pravidlům NSG ve vašich vlastních virtuálních sítích, aby provoz správy Azure Synapse vstup do vašeho Virtual Network. Kromě toho nemusíte vytvářet podsíť pro clustery Spark na základě zatížení ve špičce.
Pomocí služby Azure Sentinel zjistěte použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, vazby bez znaménka LDAP a slabé šifry v protokolu Kerberos.
Synapse SQL v Azure Synapse Analytics umožňuje připojení pomocí všech verzí protokolu TLS. V Azure Synapse Analytics nemůžete nastavit minimální verzi protokolu TLS pro Synapse SQL. Jiné funkce Synapse používají ve výchozím nastavení protokol TLS 1.2.
Ujistěte se, že brána firewall ve vaší síti i na místním počítači umožňuje pro funkci Synapse Studio odchozí komunikaci na portech TCP 80, 443 a 1443. Pro Synapse Studio je také potřeba povolit odchozí komunikaci na portu UDP 53. Pokud se chcete připojovat pomocí nástrojů, jako jsou aplikace SSMS nebo Power BI, je potřeba povolit odchozí komunikaci na portu TCP 1433.
Nastavení brány firewall na Azure Synapse Portal může blokovat veškeré připojení k veřejné síti.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Přístup z veřejné sítě ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti veřejného síťového přístupu zlepšuje zabezpečení tím, že zajišťuje, aby k Azure SQL Database bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Auditovat, Odepřít, Zakázáno | 1.1.0 |
NS-2: Propojení privátních sítí
Pokyny: K vytvoření privátních připojení mezi datacentry Azure a místní infrastrukturou v kolokačním prostředí použijte Azure ExpressRoute nebo virtuální privátní síť (VPN) Azure. Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení. V případě připojení VPN typu point-to-site a site-to-site VPN můžete místní zařízení nebo sítě připojit k virtuální síti pomocí libovolné kombinace těchto možností sítě VPN a Azure ExpressRoute.
Pokud chcete propojit dvě nebo více virtuálních sítí v Azure dohromady, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a udržuje se v páteřní síti Azure.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| spravované instance Azure SQL by měly zakázat veřejný síťový přístup. | Zakázání přístupu z veřejné sítě (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze z jejich virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu z veřejné sítě najdete na stránce https://aka.ms/mi-public-endpoint. | Auditovat, Odepřít, Zakázáno | 1.0.0 |
| Měla by být povolená připojení privátních koncových bodů ve službě Azure SQL Database. | Připojení privátních koncových bodů vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Auditování, zakázáno | 1.1.0 |
| Přístup z veřejné sítě ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti veřejného síťového přístupu zlepšuje zabezpečení tím, že zajišťuje, aby k Azure SQL Database bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Auditovat, Odepřít, Zakázáno | 1.1.0 |
NS-3: Zřízení přístupu privátní sítě ke službám Azure
Pokyny: Spravované privátní koncové body můžete vytvořit z pracovního prostoru Azure Synapse pro přístup ke službám Azure (jako je Azure Storage nebo Azure Cosmos DB) a zákaznickým nebo partnerským službám hostovaným v Azure.
Pomocí Azure Private Link povolíte privátní přístup k pracovnímu prostoru Azure Synapse z virtuálních sítí, aniž byste museli přecházet přes internet.
Privátní přístup představuje další hloubkovou ochranu zabezpečení ověřování a provozu, které služby Azure nabízejí.
Připojení k Synapse Studiu s využitím privátních propojení probíhá ve dvou krocích. Nejprve musíte vytvořit prostředek služby Private Link Hubs. Zadruhé musíte vytvořit privátní koncový bod z vaší virtuální sítě Azure do tohoto centra privátního propojení. Pak můžete s využitím privátních koncových bodů zabezpečeně komunikovat se Synapse Studiem. Privátní koncové body musíte integrovat se svým řešením DNS, ať už s místním řešením, nebo se službou Azure Privátní DNS.
Využijte koncové body služby Azure Virtual Network k zajištění zabezpečeného přístupu k pracovnímu prostoru Azure Synapse prostřednictvím optimalizované trasy přes páteřní síť Azure, aniž byste museli přecházet přes internet.
Privátní přístup představuje další hloubkovou ochranu zabezpečení ověřování a provozu, které služby Azure nabízejí.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená připojení privátních koncových bodů ve službě Azure SQL Database. | Připojení privátních koncových bodů vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Auditování, zakázáno | 1.1.0 |
NS-4: Ochrana aplikací a služeb před externími síťovými útoky
Pokyny: Chraňte prostředky pracovního prostoru Azure Synapse před útoky z externích sítí, včetně distribuovaných útoků na dostupnost služby (DDoS), útoků specifických pro aplikace a nevyžádaných a potenciálně škodlivých internetových přenosů. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a jiných externích umístění. Chraňte své prostředky před útoky DDoS povolením standardní ochrany DDoS ve virtuálních sítích Azure. Pomocí Microsoft Defender for Cloud můžete detekovat rizika chybná konfigurace pro prostředky související se sítí.
Azure Synapse Pracovní prostor není určen ke spouštění webových aplikací a nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasazovali žádné další síťové služby, abyste ho ochránili před externími síťovými útoky, které cílí na webové aplikace.
Odpovědnost: Zákazník
NS-7: Secure Domain Name Service (DNS)
Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS a zmírňte rizika před běžnými útoky, jako jsou útoky na nepropojené dns, útoky na zesílení DNS, otravy DNS a falšování identity atd.
Pokud se jako autoritativní služba DNS používá Azure DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.
Odpovědnost: Zákazník
Správa identit
Další informace najdete v tématu Azure Security Benchmark: správa identit.
IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování
Pokyny: Azure Synapse Workspace používá Azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci v:
- Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Azure Virtual Machine (s Linuxem a Windows), Azure Key Vault, PaaS a aplikace SaaS.
- prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě
Zabezpečení Azure AD by mělo být v praxi cloudového zabezpečení vaší organizace vysokou prioritou. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.
Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlašovat se k aplikacím a prostředkům pomocí externí identity.
Uživatelé s rolí vlastníka nebo přispěvatele Azure (Azure RBAC) ve skupině prostředků budou moct spravovat vyhrazené fondy SQL, fondy Sparku a prostředí Integration Runtime ve službě Synapse. Synapse RBAC navíc rozšiřuje možnosti Azure RBAC, aby bylo možné řídit, kdo může číst nebo publikovat artefakty kódu, spouštět kód, přistupovat k propojeným službám a monitorovat nebo rušit provádění úloh.
Azure AD ověřování používá uživatele databáze s omezením nebo uživatele na úrovni fondu k ověřování identit na úrovni databáze pro fondy SQL ve službě Azure Synapse Analytics. Synapse podporuje také ověřování SQL pro fondy SQL. V případě této metody ověřování uživatel za účelem navázání připojení odešle název uživatelského účtu a přidružené heslo. Tato hesla se ukládají v hlavní databázi pro uživatelské účty propojené s přihlášením nebo v databázi obsahující uživatelské účty nepropojené s přihlášením.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Pro servery SQL by měl být zřízen správce Azure Active Directory. | Audit zřizování správce Azure Active Directory pro SQL Server za účelem povolení Azure AD ověřování. Azure AD ověřování umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu. | AuditIfNotExists, zakázáno | 1.0.0 |
IM-2: Zabezpečená a automatická správa identit aplikací
Pokyny: Azure Synapse Workspace podporuje spravované identity pro prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům používejte spravované identity s pracovním prostorem Azure Synapse. Azure Synapse Workspace se může nativně ověřovat vůči službám nebo prostředkům Azure, které podporují ověřování Azure AD prostřednictvím předdefinovaného pravidla udělení přístupu, bez použití přihlašovacích údajů pevně zakódovaných ve zdrojovém kódu nebo konfiguračních souborech.
Azure Synapse Analytics používá spravovanou identitu k integraci kanálů.
Azure Synapse Workspace doporučuje pomocí Azure AD vytvořit instanční objekt s omezenými oprávněními na úrovni prostředku, nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k tajným klíčům klienta. V obou případech je možné použít azure Key Vault ve spojení se spravovanými identitami Azure, aby prostředí runtime (například funkce Azure) bylo možné načíst přihlašovací údaje z trezoru klíčů.
Azure Synapse Analytics podporuje šifrování klíčů spravovaných zákazníkem (CMK). Toto šifrování používá klíče vygenerované v Azure Key Vault.
Odpovědnost: Zákazník
IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím
Pokyny: Azure Synapse Workspace používá Azure Active Directory k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé. To umožňuje jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.
Odpovědnost: Zákazník
IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů
Pokyny: Azure Synapse Analytics může zákazníkům umožnit nasadit nebo spustit následující entity, které můžou mít identity nebo tajné kódy:
- Kód
- Konfigurace
- Trvalá data
Implementujte kontrolu přihlašovacích údajů, abyste v těchto entitách identifikovali přihlašovací údaje. Kontrola přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault. V případě GitHubu použijte funkci nativní kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jiné formy tajných kódů v kódu.
Odpovědnost: Zákazník
Privilegovaný přístup
Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.
PA-1: Ochrana a omezení vysoce privilegovaných uživatelů
Pokyny: Nejdůležitějšími předdefinovanými rolemi pro Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce:
- Globální správce nebo správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a také ke službám, které používají Azure AD identity.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.
Poznámka: Pokud používáte vlastní role s přiřazenými určitými privilegovanými oprávněními, můžete mít i jiné důležité role, které je potřeba řídit. Podobné ovládací prvky můžete chtít použít také u účtu správce důležitých obchodních prostředků.
Měli byste omezit počet vysoce privilegovaných účtů nebo rolí a tyto účty chránit na vyšší úrovni. Uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.
Pomocí Azure AD PIM můžete povolit privilegovaný přístup za běhu (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.
Azure Synapse pracovní prostor má tyto vysoce privilegované účty:
- Vlastník Azure ve skupině prostředků
- Přispěvatel Azure ve skupině prostředků
- Přispěvatel dat v objektech blob služby Storage v kontejneru úložiště ADLS g2 přidruženého k Synapse
- Správce Synapse
- Správce Synapse SQL
- Správce Synapse Sparku
Vytvoření standardních provozních postupů souvisejících s používáním vyhrazených účtů pro správu
Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno a heslo správce pro fondy SQL v pracovním prostoru Synapse. Tento účet pro správu se nazývá Správce serveru. Účet správce serveru pro Synapse můžete zjistit tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To je potřeba, pokud chcete povolit ověřování Azure Active Directory.
Používání upozornění zabezpečení služby Azure Privileged Identity Management
Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Odpovědnost: Zákazník
PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů
Pokyny: Azure Synapse Workspace používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, kontrole uživatelských účtů a přiřazování přístupu, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontrol přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které vám pomůžou zjistit zastaralé účty. Můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestavy kontroly přístupu, které usnadní proces kontroly přístupu.
Kromě toho je možné nakonfigurovat Azure AD PIM tak, aby vás upozorňovala na vytvoření nadměrného počtu účtů správců a identifikovala účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Poznámka: Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.
Azure Synapse pracovní prostory vyžadují, aby uživatelé s rolí Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků mohli řídit správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse. Při použití ověřování SQL vytvořte ve fondech SQL uživatele databáze s omezením. Ujistěte se, že jednoho nebo více uživatelů databáze umístíte do vlastní databázové role se specifickými oprávněními vhodnými pro danou skupinu uživatelů.
Odpovědnost: Zákazník
PA-6: Použití pracovních stanic s privilegovaným přístupem
Pokyny: Zabezpečené izolované pracovní stanice jsou kriticky důležité pro zabezpečení citlivých rolí, jako jsou správce, vývojář a operátor kritické služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pomocí Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) nebo Microsoft Intune nasaďte zabezpečenou a spravovanou pracovní stanici uživatele pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat a vynucovat zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Odpovědnost: Zákazník
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Pokyny: Azure Synapse Pracovní prostor je integrovaný s řízením přístupu na základě role v Azure (Azure RBAC) za účelem správy svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky existují předdefinované předdefinované role, které je možné inventararovat nebo dotazovat prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup založený na Azure AD Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.
Pomocí předdefinovaných rolí můžete přidělovat oprávnění a vytvářet vlastní role jenom v případě potřeby.
Azure Synapse Analytics vyžaduje, aby uživatelé s rolí Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků mohli řídit správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse.
Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno a heslo správce pro fondy SQL v pracovním prostoru Synapse. Tento účet pro správu se nazývá Správce serveru. Účet správce serveru pro Synapse můžete zjistit tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.
Odpovědnost: Zákazník
PA-8: Volba schvalovacího procesu pro podporu Microsoftu
Pokyny: Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům zákazníků, Azure Synapse Workspace podporuje Customer Lockbox, aby vám poskytl rozhraní, které vám umožní kontrolovat a schvalovat nebo zamítat žádosti o přístup k datům zákazníků.
Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům souvisejícím s SQL Database ve vyhrazeném fondu SQL, poskytuje Azure Customer Lockbox rozhraní pro kontrolu a schválení nebo zamítnutí žádostí o přístup k datům.
Odpovědnost: Zákazník
Ochrana dat
Další informace najdete v tématu Azure Security Benchmark: ochrana dat.
DP-1: Zjišťování, klasifikace a označení citlivých dat
Pokyny: Zjišťování a klasifikace dat je integrované do Azure SQL a podporuje následující funkce: Zjišťování a doporučení – klasifikační modul prohledá databázi a identifikuje sloupce, které obsahují potenciálně citlivá data. Pak vám poskytne snadný způsob, jak zkontrolovat a použít doporučenou klasifikaci prostřednictvím Azure Portal.
Popisování – pomocí nových atributů metadat, které byly přidány do SQL Server databázového stroje, můžete u sloupců trvale používat popisky klasifikace citlivosti. Tato metadata se pak dají použít pro scénáře auditování a ochrany na základě citlivosti.
Citlivost sady výsledků dotazu – Citlivost sady výsledků dotazu se počítá v reálném čase pro účely auditování.
Viditelnost – stav klasifikace databáze můžete zobrazit na podrobném řídicím panelu v Azure Portal. Můžete si také stáhnout sestavu ve formátu Excelu, která se použije pro účely dodržování předpisů, auditování a dalších potřeb.
Objevujte, klasifikujte a označujte citlivá data popisky, abyste mohli navrhnout vhodné ovládací prvky, které zajistí bezpečné ukládání, zpracování a přenos citlivých informací technologickými systémy organizace.
Pro citlivé informace v dokumentech Office v Azure, v místním prostředí, v Microsoftu 365 a na dalších místech použijte Azure Information Protection (a související nástroj pro vyhledávání).
Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Citlivá data v databázích SQL by měla být klasifikovaná. | Microsoft Defender for Cloud monitoruje výsledky zjišťování a klasifikace dat pro databáze SQL a poskytuje doporučení ke klasifikaci citlivých dat v databázích pro lepší monitorování a zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0-preview |
DP-2: Ochrana citlivých dat
Pokyny: Chraňte citlivá data omezením přístupu pomocí řízení přístupu na základě role v Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (jako je šifrování).
Aby se zajistilo konzistentní řízení přístupu, měly by být všechny typy řízení přístupu v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
Pro základní platformu (spravovanou Microsoftem) Microsoft považuje veškerý zákaznický obsah za citlivý a chrání před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.
Azure Synapse Analytics nabízí dvojité šifrování pomocí klíče spravovaného zákazníkem pro data ve fondech SQL, fondech Spark a prostředích Azure Data Factory Integration Runtime, kanálech a datových sadách.
Použijte funkci Azure Synapse zjišťování a klasifikace dat SQL. Kromě toho můžete v Azure Portal nastavit zásadu dynamického maskování dat (DDM). Modul doporučení DDM označí určitá pole z vaší databáze jako potenciálně citlivá pole, která můžou být vhodnými kandidáty pro maskování.
Transparentní šifrování dat pomáhá chránit data ve vyhrazených fondech SYNApse SQL před hrozbou škodlivé offline aktivity tím, že šifruje neaktivní uložená data. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte jednotlivé SQL Managed Instance bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
DP-3: Monitorování neoprávněného přenosu citlivých dat
Pokyny: Azure Synapse Workspace podporuje přenos zákaznických dat, ale nativně nepodporuje monitorování neoprávněného přenosu citlivých dat.
Rozšířená ochrana před internetovými útoky (ATP) pro službu Azure Storage a ochrana ATP pro Azure SQL dokáží upozorňovat na neobvyklé přenosy informací, které můžou značit neautorizované přenosy citlivých informací.
Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | Nastavení protokolu TLS verze 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, aby k vaší Azure SQL Database měli přístup jenom klienti používající protokol TLS 1.2 nebo novější. Používání verzí protokolu TLS nižších než 1.2 se nedoporučuje, protože mají dobře zdokumentovaná ohrožení zabezpečení. | Auditování, zakázáno, odepření | 2.0.0 |
DP-4: Šifrování citlivých informací při přenosu
Pokyny: Pro doplnění řízení přístupu by přenášená data měla být chráněná proti "vzdáleným" útokům (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.
Azure Synapse Workspace podporuje šifrování přenášených dat pomocí protokolu TLS verze 1.2 nebo vyššího.
I když je to pro provoz v privátních sítích volitelné, je to důležité pro provoz v externích a veřejných sítích. V případě přenosů HTTP se ujistěte, že klienti připojující se k vašim prostředkům Azure můžou vyjednávat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé protokoly SSL, TLS, verze a protokoly SSH a slabé šifry by měly být zakázané.
Azure ve výchozím nastavení poskytuje šifrování dat přenášených mezi datovými centry Azure.
Odpovědnost: Zákazník
DP-5: Šifrování citlivých neaktivních uložených dat
Pokyny: Pro doplnění řízení přístupu Azure Synapse Pracovní prostor šifruje neaktivní uložená data, aby se chránila před "vzdálenými útoky" (jako je přístup k základnímu úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli snadno číst nebo upravovat data.
Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat máte možnost implementovat další šifrování neaktivních uložených dat na všech prostředcích Azure, pokud jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale nabízí také možnosti správy vlastních klíčů (klíčů spravovaných zákazníkem) pro určité služby Azure, aby splňovaly zákonné požadavky.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje větší transparentnost a kontrolu ochrany transparentním šifrováním dat, zvýšené zabezpečení s externí službou s podporou HSM a podporu oddělení povinností. Toto doporučení platí pro organizace se souvisejícími požadavky na dodržování předpisů. | Auditovat, Odepřít, Zakázáno | 2.0.0 |
| SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje větší transparentnost a kontrolu ochrany transparentním šifrováním dat, lepší zabezpečení externí služby založené na HSM a podporu oddělení povinností. Toto doporučení platí pro organizace se souvisejícími požadavky na dodržování předpisů. | Auditovat, Odepřít, Zakázáno | 2.0.1 |
Správa aktiv
Další informace najdete v tématu Azure Security Benchmark: správa prostředků.
AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým
Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění Čtenář zabezpečení, aby mohly monitorovat bezpečnostní rizika pomocí Microsoft Defender pro cloud.
V závislosti na struktuře odpovědností bezpečnostních týmů může monitorování bezpečnostních rizik odpovídat centrální tým zabezpečení nebo místní tým. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.
Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Odpovědnost: Zákazník
AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým
Pokyny: Zajistěte, aby bezpečnostní týmy měly přístup k průběžně aktualizovanému inventáři prostředků v Azure, jako je Azure Synapse Workspace. Bezpečnostní týmy tento inventář často potřebují k vyhodnocení potenciálního vystavení organizace vznikajícím rizikům a jako vstup pro neustálé vylepšování zabezpečení. Vytvořte skupinu Azure Active Directory (Azure AD), která bude obsahovat autorizovaný tým zabezpečení vaší organizace, a přiřaďte mu přístup ke čtení ke všem prostředkům Azure Synapse pracovního prostoru, což je možné zjednodušit jedním přiřazením role vysoké úrovně v rámci vašeho předplatného.
Pomocí značek u prostředků, skupin prostředků a předplatných Azure je můžete logicky uspořádat do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.
Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o softwaru v Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici na Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.
Azure Synapse pracovní prostor neumožňuje na svých prostředcích spouštět aplikaci ani instalovat software.
Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu
Microsoft Defender pro správu inventáře cloudových prostředků
Odpovědnost: Zákazník
AM-3: Používání jenom schválených služeb Azure
Pokyny: Pomocí Azure Policy můžete auditovat a omezit, které služby můžou uživatelé ve vašem prostředí zřizovat. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.
Odpovědnost: Sdílené
Protokolování a detekce hrozeb
Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.
LT-1: Povolení detekce hrozeb pro prostředky Azure
Pokyny: Použijte integrovanou funkci detekce hrozeb Microsoft Defender pro cloud a povolte Azure Defender (dříve Azure Advanced Threat Protection) pro prostředky pracovního prostoru Azure Synapse. Azure Defender pro Azure Synapse Workspace poskytuje další vrstvu inteligentních informací zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům pracovního prostoru Azure Synapse nebo jejich zneužití.
Všechny protokoly z Azure Synapse můžete předávat do Azure Sentinelu, který můžete použít k nastavení vlastní detekce hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure z hlediska potenciálních hrozeb a anomálií. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili počet falešně pozitivních výsledků pro analytiky. Zdrojem upozornění můžou být data protokolu, agenti nebo jiná data.
Referenční příručka k Microsoft Defender pro výstrahy zabezpečení cloudu
Vytváření vlastních analytických pravidel pro detekci hrozeb
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL | Audit sql serverů bez Advanced Data Security | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte jednotlivé SQL Managed Instance bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure
Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které můžete zobrazit v Azure AD generování sestav nebo je integrovat se službou Azure Monitor, Azure Sentinel nebo jinými nástroji SIEM/monitorování pro sofistikovanější případy použití monitorování a analýzy:
- Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
- Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny provedené ve všech prostředcích v rámci Azure AD, například přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.
- Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
- Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Microsoft Defender pro cloud může také aktivovat upozornění na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuálních počítačů, kontejnerů, app service), datových prostředků (DATABÁZE SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Pro nechráněné servery Azure SQL by měl být povolený Azure Defender pro SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, Zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte jednotlivé SQL Managed Instance bez pokročilého zabezpečení dat. | AuditIfNotExists, Zakázáno | 1.0.2 |
LT-3: Povolení protokolování pro síťové aktivity Azure
Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toků NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak použít Traffic Analytics k poskytování přehledů.
Azure Synapse Pracovní prostor protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníka. Povolení funkce toku sítě v rámci nasazených nabízených prostředků
Při připojování k vyhrazenému fondu SQL a povolení protokolů toku skupiny zabezpečení sítě (NSG) se protokoly odesílají do účtu služby Azure Storage pro auditování provozu.
Můžete také odesílat protokoly toku NSG do pracovního prostoru služby Log Analytics a pomocí analýzy provozu poskytovat přehledy o toku provozu v cloudu Azure. Mezi výhody Analýzy provozu patří schopnost vizualizovat síťovou aktivitu a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.
Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou s korelací dalších síťových dat. Implementujte řešení třetí strany z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.
Shromážděte přehledy o infrastruktuře DNS pomocí řešení DNS Analytics.
Principy zabezpečení sítě poskytovaného službou Microsoft Defender for Cloud
Odpovědnost: Zákazník
LT-4: Povolení protokolování pro prostředky Azure
Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky pracovního prostoru Azure Synapse s výjimkou operací čtení (GET). Protokoly aktivit se dají použít ke zjištění chyby při řešení potíží nebo ke sledování toho, jak uživatel ve vaší organizaci upravil prostředek.
Povolte protokoly prostředků Azure pro Azure Synapse Workspace. Pomocí Microsoft Defender pro cloud a Azure Policy můžete povolit shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.
Azure Monitor poskytuje metriky, výstrahy a protokoly základní infrastruktury pro většinu služeb Azure. Diagnostické protokoly Azure jsou generovány prostředkem a poskytují bohatá a častá data o provozu tohoto prostředku. Azure Synapse Analytics může zapisovat diagnostické protokoly ve službě Azure Monitor. Konkrétně protokoluje operace Synapse RABC.
Azure Synapse Workspace také vytváří protokoly auditu zabezpečení pro účty místních správců. Povolení těchto protokolů auditu místního správce
Auditování pro Azure SQL Azure Synapse Analytics sleduje databázové události a zapisuje je do protokolu auditu v účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázovým aktivitám a získat přehled o nesrovnalostech a anomáliích, které můžou značit obchodní obavy nebo podezření na narušení zabezpečení.
Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor
Použití Služby Azure Monitor s pracovním prostorem Azure Synapse Analytics
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Auditování na SQL Serveru by mělo být povolené. | Auditování SQL Server by mělo být povolené, aby bylo možné sledovat databázové aktivity napříč všemi databázemi na serveru a ukládat je do protokolu auditu. | AuditIfNotExists, Zakázáno | 2.0.0 |
LT-5: Centralizace správy a analýz protokolu zabezpečení
Pokyny: Centralizace úložiště protokolování a analýzy za účelem zajištění korelace Pro každý zdroj protokolu se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům a požadavky na uchovávání dat.
Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestujte protokoly prostřednictvím Služby Azure Monitor za účelem agregace dat zabezpečení generovaných koncovými zařízeními, síťovými prostředky a dalšími systémy zabezpečení. V Azure Monitoru použijte pracovní prostory Log Analytics k dotazování a provádění analýz a k dlouhodobému a archivačnímu úložišti používejte účty Azure Storage.
Kromě toho povolte a připojte data do služby Azure Sentinel nebo siem třetí strany.
Mnoho organizací se rozhodne používat Azure Sentinel pro "horká" data, která se často používají, a Azure Storage pro "studená" data, která se používají méně často.
U aplikací, které mohou běžet v pracovním prostoru Azure Synapse, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.
Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázovým aktivitám a získat přehled o nesrovnalostech a anomáliích, které můžou značit obchodní obavy nebo podezření na narušení zabezpečení.
Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
LT-6: Konfigurace uchovávání úložiště protokolů
Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů Azure Synapse pracovních prostorů mají nastavenou dobu uchovávání protokolů podle předpisů vaší organizace pro dodržování předpisů.
Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázovým aktivitám a získat přehled o nesrovnalostech a anomáliích, které můžou značit obchodní obavy nebo podezření na narušení zabezpečení.
Konfigurace doby uchovávání pracovního prostoru služby Log Analytics
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Servery SQL s auditováním do cíle účtu úložiště by měly být nakonfigurované s uchováváním po dobu 90 dnů nebo vyšší. | Pro účely šetření incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Server na cíl účtu úložiště na alespoň 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých působíte. To se někdy vyžaduje pro dodržování zákonných standardů. | AuditIfNotExists, Zakázáno | 3.0.0 |
LT-7: Použití schválených zdrojů synchronizace času
Pokyny: Microsoft udržuje časové zdroje pro většinu služeb PaaS a SaaS platformy Azure. Pro virtuální počítače použijte k synchronizaci času server NTP (Default Network Time Protocol) společnosti Microsoft, pokud nemáte konkrétní požadavek. Pokud potřebujete postavit svůj vlastní server NTP, ujistěte se, že jste zabezpečili port služby UDP 123.
Všechny protokoly generované prostředky v Rámci Azure poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.
Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Windows
Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Linuxem
Odpovědnost: Microsoft
Stav a správa ohrožení zabezpečení
Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.
PV-1: Zřízení zabezpečených konfigurací pro služby Azure
Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.
SQL Server by měl používat koncový bod služby virtuální sítě.
Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.
Synapse Analytics má kromě Microsoft Defender pro cloudové ovládací prvky také několik zásad zabezpečení specifických pro konkrétní nabídky. Můžete například zabezpečit Azure SQL Server k virtuální síti prostřednictvím Private Link; monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní pomocí protokolů toku NSG a Analýzy provozu; odepření komunikace s IP adresami se známými škodlivými úmysly pomocí služby Advanced Threat Protection (ATP).
Práce se zásadami zabezpečení v Microsoft Defender pro cloud
Obrázek implementace zábradlí v cílové zóně na podnikové úrovni
Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů
Obrázek implementace zábradlí v cílové zóně na podnikové úrovni
Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů
Odpovědnost: Zákazník
PV-2: Udržování zabezpečených konfigurací pro služby Azure
Pokyny: Pomocí Microsoft Defender pro cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat je pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.
Definujte zásady auditování SQL pro konkrétní databázi. Nebo ho definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL). Výchozí zásady auditování zahrnují všechny akce a sadu skupin akcí. Akce a skupiny akcí budou auditovat:
Všechny dotazy a uložené procedury spuštěné v databázi.
Úspěšná a neúspěšná přihlášení.
Posouzení ohrožení zabezpečení SQL k identifikaci ohrožení zabezpečení databáze
Odpovědnost: Zákazník
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
Pokyny: Použití Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.
Odpovědnost: Zákazník
PV-6: Provádění posouzení ohrožení zabezpečení softwaru
Pokyny: Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Synapse Workspace.
Odpovědnost: Microsoft
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Databáze SQL by měly mít vyřešená zjištění ohrožení zabezpečení. | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, Zakázáno | 4.1.0 |
PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru
Pokyny: Pro software třetích stran použijte řešení pro správu oprav od jiného výrobce. Nebo pro Configuration Manager použijte System Center Aktualizace Publisher. Azure Synapse Analytics nepoužívá ani nevyžaduje žádný software třetích stran.
Odpovědnost: Microsoft
PV-8: Provádění pravidelné simulace útoku
Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.
Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.
Odpovědnost: Zákazník
Zabezpečení koncového bodu
Další informace najdete v tématu Srovnávací test zabezpečení Azure: Zabezpečení koncových bodů.
ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru
Pokyny: Chraňte svůj pracovní prostor Azure Synapse nebo jeho prostředky pomocí centrálně spravovaného moderního antimalwarového softwaru.
Použijte antimalwarové řešení centrálně spravovaného koncového bodu, které je schopné kontrolovat v reálném čase a pravidelně kontrolovat.
Microsoft Defender for Cloud dokáže automaticky identifikovat použití několika oblíbených antimalwarových řešení pro virtuální počítače, nahlásit stav spuštěné ochrany koncových bodů a pak vám může hlásit doporučení.
Microsoft Antimalware pro Azure Cloud Services je výchozí antimalwarovou ochranou pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany. K detekci malwaru nahraného do účtů Azure Storage můžete použít Microsoft Defender pro detekci hrozeb v cloudu.
Konfigurace Microsoft Antimalware pro Cloud Services a Virtual Machines
Odpovědnost: Zákazník
ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů
Pokyny: Nepoužitelné; Azure Synapse Pracovní prostor se skládá z virtuálních počítačů ani kontejnerů, které by vyžadovaly ochranu EDR (Endpoint Detection and Response).
Odpovědnost: Microsoft
Zálohování a obnovy
Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Pokyny: Snímky vyhrazených fondů SYNApse SQL se automaticky pořizují po celý den a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.
Odpovědnost: Sdílené
BR-2: Šifrování zálohovaných dat
Pokyny: Snímky vyhrazených fondů SYNApse SQL se automaticky pořizují po celý den a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.
Odpovědnost: Zákazník
BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem
Pokyny: Snímky vyhrazeného fondu SQL se automaticky pořizují v průběhu dne a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazený fond SQL podporuje 8hodinový cíl bodu obnovení (RPO). Datový sklad v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně.
Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.
Synapse podporuje klíče spravované zákazníkem (CMK) pro šifrování. Toto šifrování používá klíče vygenerované v Azure Key Vault.
Odpovědnost: Sdílené
BR-4: Zmírnění rizika ztracených klíčů
Pokyny: Ujistěte se, že máte zavedená opatření, která zabrání ztrátě klíčů a obnoví se po této ztrátě klíčů. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.
Odpovědnost: Sdílené
Další kroky
- Další informace najdete v článku Přehled Azure Security Benchmark v2.
- Další informace o základních úrovních zabezpečení Azure