Merencanakan dan menerapkan konfigurasi keamanan jaringan untuk Azure SQL Managed Instance
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure SQL. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure SQL.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure SQL telah dikecualikan.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Azure SQL, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Produk Kategori | Database |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | Benar |
| Menyimpan konten pelanggan saat tidak aktif | Benar |
Keamanan jaringan
NS-1: Membangun batas segmentasi jaringan
1. Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Salah | Pelanggan |
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku) kecuali ada alasan kuat untuk menetapkan IP publik langsung ke sumber daya.
2. Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Tag Layanan Azure Virtual Network untuk menentukan kontrol akses jaringan pada grup keamanan jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure SQL Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan di aturan bidang sumber atau tujuan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah. Saat menggunakan titik akhir layanan untuk Azure SQL Database, lalu lintas keluar ke alamat IP Publik Azure SQL Database diperlukan: Kelompok Keamanan Jaringan (NSG) harus dibuka ke IP Azure SQL Database untuk mengizinkan konektivitas. Anda dapat melakukannya dengan menggunakan tag layanan NSG untuk Azure SQL Database.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
3. Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall).
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Salah | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
4. Nonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP Access Control List (ACL) tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih Nonaktifkan Akses Jaringan Publik.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
5. pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Sql:
| Nama (portal Microsoft Azure) |
Keterangan | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instance harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instance meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
6. Ikuti Rekomendasi Azure Policy
- Nonaktifkan akses jaringan publik di Azure SQL Managed Instances untuk memastikan akses hanya dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat.
- Aktifkan koneksi titik akhir privat untuk memperkuat komunikasi aman dengan Azure SQL Database.
- Nonaktifkan properti akses jaringan publik di Azure SQL Database untuk memberlakukan akses hanya dari titik akhir privat.