Pianificare e implementare configurazioni di sicurezza di rete per un'istanza gestita di SQL di Azure
Questa baseline di sicurezza applica indicazioni da Microsoft Cloud Security Benchmark versione 1.0 ad Azure SQL. Microsoft Cloud Security Benchmark consigli sulla protezione delle soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti da Microsoft Cloud Security Benchmark e dalle linee guida correlate applicabili ad Azure SQL.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure SQL sono state escluse.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure SQL, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | valore |
|---|---|
| Product Category | Database |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
1. Integrazione della rete virtuale
Descrizione: Il servizio supporta la distribuzione nella rete virtuale privata del cliente.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: Distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non esista un motivo fondamentale per assegnare indirizzi IP pubblici direttamente alla risorsa.
2. Supporto dei gruppi di sicurezza di rete
Descrizione: Il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: Usare i tag del servizio di rete virtuale di Azure per definire i controlli di accesso di rete nei gruppi di sicurezza di rete o in Firewall di Azure configurati per le risorse di Azure SQL. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Specificando il nome del tag del servizio nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi. Quando si usano gli endpoint di servizio per il database SQL di Azure, è necessario l'accesso in uscita agli indirizzi IP pubblici del database SQL di Azure: I gruppi di sicurezza di rete devono essere aperti agli indirizzi IP del database SQL di Azure per consentire la connettività. A tale scopo, è possibile usare i tag del servizio NSG per il database SQL di Azure.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
3. Collegamento privato di Azure
Descrizione: Funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure).
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: Distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato, per stabilire un punto di accesso privato per le risorse.
4. Disabilitare l'accesso alla rete pubblica
Descrizione: Il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro dell'elenco di controllo di accesso IP (ACL) a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore Disabilita accesso alla rete pubblica.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
5. Monitoraggio di Microsoft Defender per il cloud
Definizioni predefinite di Criteri di Azure - Microsoft.Sql:
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Istanze gestite di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. | Audit, Deny, Disabled | 1.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
6. Seguire le raccomandazioni di Criteri di Azure:
- Disabilitare l'accesso alla rete pubblica in Istanze gestite di SQL di Azure per garantire che l'accesso sia solo all'interno delle reti virtuali o tramite endpoint privati.
- Abilitare le connessioni di endpoint privati per rafforzare la comunicazione sicura con il database SQL di Azure.
- Disattivare la proprietà di accesso alla rete pubblica nel database SQL di Azure per applicare l'accesso solo da un endpoint privato.