Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Ez a biztonsági alapkonfiguráció a Microsoft Cloud Security Benchmark (1.0-s verzió) korábbi verzióján alapul. Az Azure SQL aktuális biztonsági útmutatóját az Azure SQL Database biztonságossá tételében találhatja meg.
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági benchmark 1.0-s verziójának útmutatását alkalmazza az Azure SQL-hez. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és az Azure SQL-hez kapcsolódó útmutató csoportosítja.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
Az Azure SQL-hez nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az Azure SQL hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg a teljes Azure SQL biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja az Azure SQL nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | Adatbázisok |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Jellemzők
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: A szolgáltatás üzembe helyezése virtuális hálózaton. Magánhálózati IP-címeket rendelhet az erőforráshoz (ha van ilyen), kivéve, ha erős ok van arra, hogy nyilvános IP-címeket rendeljen közvetlenül az erőforráshoz.
Referencia: Virtuális hálózati szolgáltatásvégpontok és -szabályok használata kiszolgálókhoz az Azure SQL Database-ben
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Virtual Network Service-címkék használatával meghatározhatja a hálózati biztonsági csoportok vagy az Azure SQL-erőforrásokhoz konfigurált Azure Firewall hálózati hozzáférés-vezérléseit. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét. Ha szolgáltatásvégpontokat használ az Azure SQL Database-hez, kimenő forgalom szükséges az Azure SQL Database nyilvános IP-címére: A hálózati biztonsági csoportokat (NSG-ket) meg kell nyitni az Azure SQL Database IP-címei felé a kapcsolat engedélyezéséhez. Ezt az Azure SQL Database NSG-szolgáltatáscímkék használatával teheti meg.
Referencia: Virtuális hálózati szolgáltatásvégpontok és -szabályok használata kiszolgálókhoz az Azure SQL Database-ben
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Jellemzők
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Privát végpontok üzembe helyezése a Private Link szolgáltatást támogató összes Azure-erőforráshoz, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Referencia: Azure SQL Database-hez és Azure Synapse Analyticshez készült Azure Private Link
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure SQL csatlakozási beállításai
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést | Ha letiltja a nyilvános hálózati hozzáférést (nyilvános végpontot) a felügyelt Azure SQL-példányokon, azzal javítja a biztonságot, hogy azok csak a virtuális hálózatokon belülről vagy privát végpontokon keresztül érhetők el. A nyilvános hálózati hozzáféréssel kapcsolatos további információkért látogasson el https://aka.ms/mi-public-endpointide. | Ellenőrzés, Megtagadás, Letiltás | 1.0.0 |
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Jellemzők
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Közös |
Jellemzők megjegyzései: Az Azure SQL Database több adatsíkos hitelesítési mechanizmust támogat, amelyek közül az egyik az AAD.
Konfigurációs útmutató: Az azure Active Directory (Azure AD) használata alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Azure Active Directory-hitelesítés használata
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
Konfigurációs útmutató: Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés szabályozásához.
Referencia: Azure SQL Database Access
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Az SQL Serverhez tartozó Azure Active Directory rendszergazda rendelkezésre bocsátásának auditálása az Azure AD-hitelesítés engedélyezése érdekében. Az Azure AD-hitelesítés egyszerűsíti a jogosultságkezelést és központosított identitáskezelést tesz lehetővé az adatbázis-felhasználók és más Microsoft-szolgáltatások számára. | AuditIfNotExists, kikapcsolva | 1.0.0 |
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Jellemzők
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban és erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, rotálja és védi, elkerülve ezzel a hitelesítő adatok keménykódolását a forráskódban vagy a konfigurációs fájlokban.
Referencia: Felügyelt identitások transzparens adattitkosításhoz BYOK használatával
Szolgáltatási principálok
Leírás: Az adatsík szolgáltatásobjektumok használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Jellemzők megjegyzései: Az Azure SQL DB többféleképpen is hitelesíthető az adatsíkon, amelyek egyike az Azure AD, és felügyelt identitásokat és szolgáltatásneveket is tartalmaz.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Active Directory szolgáltatásnév és az Azure SQL
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Jellemzők
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
Referencia: Feltételes hozzáférés az Azure SQL Database-lel
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Jellemzők
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: A titkosítási kulcsok CSAK az AKV-ban tárolhatók, titkos kulcsok és felhasználói hitelesítő adatok nélkül. Például transzparens adattitkosítási védőkulcsok.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Jellemzők
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Szolgáltatásjegyzetek: Az Azure SQL DB-hez nincs "helyi rendszergazda", sa-fiók sincs. A fiók, amely beállítja a példányt, azonban rendszergazda.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Jellemzők
Azure RBAC az adatsíkhoz
Leírás: Az Azure Role-Based Hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Jellemzők megjegyzései: Az Azure SQL Database gazdag, adatbázisspecifikus adatsík-engedélyezési modellt biztosít.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Jellemzők
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Támogatási helyzetekben, amikor a Microsoftnak hozzáférésre van szüksége az adataihoz, a Customer Lockbox segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kérelmeit.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Jellemzők
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Adatfelderítés és -besorolás
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Jellemzők
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Vannak olyan eszközök, amelyek használhatók az SQL Server for DLP-vel, de nincs beépített támogatás.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány auditálása speciális adattitkosítás nélkül. | AuditIfNotExists, kikapcsolva | 1.0.2 |
DP-3: Bizalmas adatok titkosítása átvitel közben
Jellemzők
Adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Minimális TLS-verzió
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Jellemzők
Nyugalmi állapotban lévő adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Transzparens adattitkosítás az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics esetében
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az SQL-adatbázisok transzparens adattitkosítását | Az átlátszó adattitkosítást engedélyezni kell a nyugalmi állapotú adatok védelme és a megfelelőségi követelmények teljesítése érdekében. | AuditIfNotExists, kikapcsolva | 2.0.0 |
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Jellemzők
Inaktív állapotú adatok titkosítása CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Engedélyezze és valósítsa meg a nyugalmi állapotban lévő adatok titkosítását az ügyfél által felügyelt kulccsal ezekhez a szolgáltatásokhoz.
Referencia: Transzparens adattitkosítás az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics esetében
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Ellenőrzés, Megtagadás, Letiltás | 2.0.0 |
DP-6: Biztonságos kulcskezelési folyamat használata
Jellemzők
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Közös |
Funkciójegyzetek: Bizonyos funkciók az AKV-t használhatják kulcsokhoz, például az Always Encrypted használatakor.
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok (TDE és Always Encrypted) életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, ügyeljen arra, hogy kövesse a kulcskezelés ajánlott eljárásait. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Always Encrypted konfigurálása az Azure Key Vault használatával
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Jellemzők
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérés észlelhető az erőforrásokon. Az Azure Policy [deny] és az [üzembe helyezés, ha nem létezik] effektusokkal kényszerítheti ki a biztonságos konfigurációt az Azure-erőforrások között.
Referencia: Beépített Azure Policy-definíciók az Azure SQL Database-hez és felügyelt SQL-példányhoz
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Jellemzők
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure SQL-hez készült Microsoft Defender segít felderíteni és enyhíteni az adatbázis esetleges biztonsági réseit, és riasztásokat küld az adatbázisokra veszélyt jelző rendellenes tevékenységekre.
Referencia: Az Azure SQL-hez készült Microsoft Defender áttekintése
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | Speciális adatbiztonság nélküli SQL-kiszolgálók ellenőrzése | AuditIfNotExists, kikapcsolva | 2.0.1 |
LT-3: Naplózás engedélyezése biztonsági vizsgálathoz
További útmutatás az LT-3-hoz
Engedélyezze a naplózást a kiszolgáló szintjén, mivel ez az adatbázisokra is szűrni fog.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Sql:
| Név (Azure Portal) |
Leírás | Hatás(ok) | verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az auditálást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, kikapcsolva | 2.0.0 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Jellemzők
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Erőforrásnaplók engedélyezése a szolgáltatáshoz. A Key Vault például további erőforrásnaplókat támogat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy az Azure SQL rendelkezik olyan erőforrásnaplókkal, amelyek nyomon követik az adatbázishoz érkező kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Az Azure SQL Database-adatok referenciáinak figyelése
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Jellemzők
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Automatizált biztonsági mentések – Azure SQL Database
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További információ az Azure biztonsági alapkonfigurációiról