Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure SQL an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch Microsoft Cloud Security Benchmark und die entsprechenden für Azure SQL geltenden Empfehlungen definiert werden.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Hinweis
Features die nicht für Azure SQL gelten, wurden ausgeschlossen. Informationen dazu, wie Azure SQL vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Azure SQL-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst Verhaltensweisen von Azure SQL zusammen, was zu mehr Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Datenbanken |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Richtig |
| Ruhende Kundeninhalte werden gespeichert. | Richtig |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Bereitstellen des Diensts in einem virtuellen Netzwerk. Weisen Sie der Ressource (sofern möglich) private IP-Adressen zu, es sei denn, es gibt einen guten Grund, öffentliche IP-Adressen direkt der Ressource zuzuweisen.
Referenz: Endpunkte und Regeln für virtuelle Netzwerkdienste in Azure SQL-Datenbank verwenden
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Virtual Network Service Tags, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder azure Firewall zu definieren, die für Ihre Azure SQL-Ressourcen konfiguriert sind. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Indem Sie den Diensttagnamen im entsprechenden Quell- oder Zielfeld einer Regel angeben, können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, die von der Dienstmarke umfasst werden, und aktualisiert die Dienstmarke automatisch, wenn sich die Adressen ändern. Bei Verwendung von Dienstendpunkten für Azure SQL-Datenbank ist eine ausgehende Verbindung zu den öffentlichen IP-Adressen von Azure SQL-Datenbank erforderlich: Netzwerksicherheitsgruppen (NSGs) müssen für IP-Adressen von Azure SQL-Datenbank geöffnet werden, um Verbindungen zuzulassen. Sie erreichen dies, indem Sie NSG-Diensttags für Azure SQL-Datenbank verwenden.
Referenz: Endpunkte und Regeln für virtuelle Netzwerkdienste in Azure SQL-Datenbank verwenden
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Azure Private Link für Azure SQL-Datenbank und Azure Synapse Analytics
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure SQL-Konnektivitätseinstellungen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Geteilt |
Featurehinweise: Azure SQL-Datenbank unterstützt mehrere Authentifizierungsmechanismen auf datenebener Ebene, von denen eine AAD ist.
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Verwenden der Azure Active Directory-Authentifizierung
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Einschränken der Verwendung lokaler Authentifizierungsmethoden für den Datenebenenzugriff. Verwenden Sie stattdessen Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Azure SQL-Datenbankzugriff
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL-Server bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Referenz: Verwaltete Identitäten für transparente Datenverschlüsselung mit BYOK
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Azure SQL DB bietet mehrere Möglichkeiten zur Authentifizierung auf der Datenebene, einer davon Azure AD und umfasst verwaltete Identitäten und Dienstprinzipale.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure Active Directory-Dienstprinzipal mit Azure SQL
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Funktionen
Bedingter Zugriff für das Dataplane
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
Referenz: Bedingter Zugriff mit Azure SQL-Datenbank
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Dienstanmeldedaten und Geheimnisse unterstützen Integration und Speicherung in Azure Key Vault
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Kryptografieschlüssel können nur in AKV gespeichert werden, weder geheime Schlüssel noch Benutzeranmeldeinformationen. Beispiel: Schlüssel für die Schutzvorrichtung "Transparente Datenverschlüsselung".
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Es gibt keinen "lokalen Administrator" für Azure SQL DB, es gibt auch kein sa-Konto. Das Konto, das die Instanz einrichte, ist jedoch ein Administrator.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Hinweise zu Funktionen: Azure SQL-Datenbank bietet ein umfangreiches, datenbankspezifisches Autorisierungsmodell für die Datenebene.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Data Discovery & Classification
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung von Bewegungen sensibler Daten (in Kundeninhalten). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Es gibt Tools, die mit SQL Server für DLP verwendet werden können, aber es gibt keine integrierte Unterstützung.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure Defender für SQL sollte für ungeschützte verwaltete SQL-Instanzen aktiviert sein. | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Minimale TLS-Version
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Transparente Datenverschlüsselung in SQL-Datenbanken sollte aktiviert sein | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten unter Verwendung eines kundenseitig verwalteten Schlüssels für diese Dienste.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| SQL verwaltete Instanzen sollten kundengesteuerte Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Geteilt |
Featurehinweise: Bestimmte Features können AKV für Schlüssel verwenden, z. B. bei Verwendung von Always Encrypted.
Konfigurationsleitfaden: Verwenden von Azure Key Vault zum Erstellen und Steuern des Lebenszyklus Ihrer Verschlüsselungsschlüssel (TDE und Always Encrypted), einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn cmK (Customer Managed Key) in der Arbeitsauslastung, dem Dienst oder der Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Konfigurieren von Always Encrypted mithilfe von Azure Key Vault
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Azure Policy-Einstellungen [deny] und [deploy if not exists], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Integrierte Azure-Richtliniendefinitionen für Azure SQL-Datenbank und verwaltete SQL-Instanz
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Microsoft Defender für Azure SQL hilft Ihnen, potenzielle Datenbankrisiken zu ermitteln und zu mindern und Sie bei anomalen Aktivitäten zu informieren, die möglicherweise einen Hinweis auf eine Bedrohung für Ihre Datenbanken darstellen.
Referenz: Übersicht über Microsoft Defender für Azure SQL
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert sein | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Weitere Anleitungen für LT-3
Aktivieren Sie die Protokollierung auf Serverebene, da dies auch auf die Datenbanken angewendet wird.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Sql:
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Die Überwachung auf SQL Server sollte aktiviert sein. | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die einen geheimen Schlüssel aus einem Schlüsseltresor abrufen, und Azure SQL verfügt über Ressourcenprotokolle, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
Referenz: Überwachen der Azure SQL-Datenbankdatenreferenz
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Datensicherung
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Automatisierte Sicherungen – Azure SQL-Datenbank
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines