Criar uma linha de base de Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure é uma família de produtos de banco de dados relacional baseado em nuvem que dá suporte a muitos dos mesmos recursos oferecidos no Microsoft SQL Server. O Banco de Dados SQL do Azure fornece uma transição fácil de um banco de dados local para um baseado em nuvem com diagnósticos, redundância, segurança e escalabilidade internos.
Recomendações de segurança do Banco de Dados SQL do Azure
As seções a seguir descrevem as recomendações do Banco de Dados SQL do Azure que estão presentes no CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Conclua essas etapas para sua assinatura e usando seus recursos para validar cada recomendação de segurança.
Habilitar a auditoria – Nível 1
A auditoria do Banco de Dados SQL do Azure e do Azure Synapse Analytics rastreia eventos do banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure, no workspace do Azure Log Analytics ou nos Hubs de Eventos do Azure. A auditoria também:
- Ajuda a manter conformidade com as normas, entender a atividade do banco de dados e obter insights sobre discrepâncias e anomalias que podem alertar você quanto a preocupações comerciais ou suspeitas de violações de segurança.
- Permite e facilita a adesão aos padrões de conformidade, embora não garanta a conformidade.
Para ativar a auditoria, para cada banco de dados na assinatura do Azure, conclua as etapas a seguir.
Entre no portal do Azure. Pesquise e selecione bancos de dados SQL.
No menu à esquerda, em Segurança, selecione Auditoria.
No painel Auditoria, ative Habilitar Auditoria de SQL do Azure e selecione pelo menos um destino do log de auditoria.
Se alterar as configurações, na barra de menus, selecione Salvar.
Para obter mais informações sobre a auditoria, confira Auditoria para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.
Habilitar proteções do SQL no Microsoft Defender para Nuvem – Nível 1
O Microsoft Defender para Nuvem detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. O Defender para Nuvem pode identificar:
- Potencial injeção de SQL.
- Acesso de um local ou data center incomum.
- Acesso de uma entidade de segurança desconhecida ou de um aplicativo potencialmente prejudicial.
- Ataque de força bruta às credenciais de SQL.
Você pode acessar e gerenciar ameaças de SQL no menu do Defender para Nuvem.
Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.
No painel Planos do Defender, em Microsoft Defender para, defina Bancos de Dados SQL do Azure como Ativado.
Volte para a Página Inicial do Azure. Pesquise e selecione bancos de dados SQL.
Para cada instância de banco de dados, no painel do menu esquerdo, em Segurança, selecione Microsoft Defender para Nuvem. Veja recomendações de segurança, alertas e descobertas da avaliação de vulnerabilidade para sua instância do Banco de Dados SQL.
Configurar a retenção de auditoria por mais de 90 dias – Nível 1
Os logs de auditoria devem ser preservados para segurança e descoberta e para atender aos requisitos de conformidade legal e regulatória. Conclua as etapas a seguir para cada instância do Banco de Dados SQL do Azure em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione bancos de dados SQL.
No menu à esquerda, em Segurança, selecione Auditoria.
Escolha o seu Destino do log de auditoria, e expanda as Propriedades avançadas.
Garanta que a Retenção (Dias) seja maior do que 90 dias.
Se alterar as configurações, na barra de menus, selecione Salvar.