Planowanie i implementowanie konfiguracji zabezpieczeń sieci dla usługi Azure SQL Managed Instance
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure SQL. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązanych wskazówek dotyczących usługi Azure SQL.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu Microsoft Defender dla Chmury. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender dla Chmury.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do usługi Azure SQL, zostały wykluczone.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure SQL, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Bazy danych |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
NS-1: Ustanawianie granic segmentacji sieci
1. Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
2. Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w podsieciach.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Użyj tagów usługi azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub w usłudze Azure Firewall skonfigurowanej dla zasobów usługi Azure SQL. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. W przypadku korzystania z punktów końcowych usługi dla usługi Azure SQL Database wymagany jest ruch wychodzący do publicznych adresów IP usługi Azure SQL Database: sieciowe grupy zabezpieczeń muszą być otwarte dla adresów IP usługi Azure SQL Database, aby zezwolić na łączność. Można to zrobić przy użyciu tagów usługi sieciowej grupy zabezpieczeń dla usługi Azure SQL Database.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
3. Usługa Azure Private Link
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall).
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
4. Wyłącz dostęp do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy kontroli dostępu ip na poziomie usługi (ACL) (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika Wyłącz dostęp do sieci publicznej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
5. monitorowanie Microsoft Defender dla Chmury
Wbudowane definicje usługi Azure Policy — Microsoft.Sql:
| Nazwisko (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
6. Postępuj zgodnie z Rekomendacje usługi Azure Policy:
- Wyłącz dostęp do sieci publicznej w usłudze Azure SQL Managed Instances, aby zapewnić dostęp tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych.
- Włącz połączenia prywatnego punktu końcowego, aby wzmocnić bezpieczną komunikację z usługą Azure SQL Database.
- Wyłącz właściwość dostępu do sieci publicznej w usłudze Azure SQL Database, aby wymusić dostęp tylko z prywatnego punktu końcowego.