Planejar e implementar configurações de segurança de rede para um Instância Gerenciada de SQL do Azure
Essa linha de base de segurança aplica as diretrizes do parâmetro de comparação de segurança de nuvem da Microsoft versão 1.0 ao SQL do Azure. O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao SQL do Azure.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. As definições do Azure Policy serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender para Nuvem.
Quando um recurso tem definições relevantes do Azure Policy, eles são listados nesta linha de base para ajudar você a medir a conformidade com as recomendações e controles de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Os recursos não aplicáveis ao SQL do Azure foram excluídos.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do SQL do Azure, que podem resultar em maiores considerações de segurança.
| Atributo de Comportamento do Serviço | Valor |
|---|---|
| Categoria do Produto | Bancos de dados |
| O cliente pode acessar o HOST / SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo inativo do cliente | Verdadeiro |
Segurança de rede
NS-1: Estabelecer limites de segmentação de rede
1. Integração de Rede Virtual
Descrição: O serviço dá suporte à implantação na rede virtual (VNet) privada do cliente.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| Verdadeiro | Falso | Customer |
Orientação de configuração: implantar o serviço em uma rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que haja um forte motivo para atribuir IPs públicos diretamente ao recurso.
2. Suporte ao grupo de segurança de rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regra de grupos de segurança de rede em suas sub-redes.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| Verdadeiro | Falso | Customer |
Diretrizes de configuração: Use as Marcas de Serviço da Rede Virtual do Azure para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure configurado para seus recursos do SQL do Azure. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços. Ao usar pontos de extremidade de serviço para o Banco de Dados SQL do Azure, são necessários endereços IP públicos de saída para o Banco de Dados SQL do Azure: os NSGs (grupos de segurança de rede) devem estar abertos aos IPs do Banco de Dados SQL do Azure para permitir a conectividade. Você pode fazer isso usando as marcas de serviço do NSG para o Banco de Dados SQL do Azure.
NS-2: Proteger serviços de nuvem com controles de rede
3. Link Privado do Azure
Descrição: Funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou o Firewall do Azure).
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| Verdadeiro | Falso | Customer |
Orientação de configuração: Implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
4. Desabilitar o acesso à rede pública
Descrição: O serviço dá suporte a desabilitação do acesso à rede pública usando a regra de filtragem da Lista de Controle de Acesso IP (ACL) em nível de serviço (não NSG ou Azure Firewall) ou usando uma chave de alternância Desabilitar o Acesso à Rede Pública.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
5. Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy - Microsoft.Sql:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública (ponto de extremidade público) em Instância Gerenciada de SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. | Audit, Deny, desabilitado | 1.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
6. Siga as recomendações do Azure Policy:
- Desabilite o acesso à rede pública nas Instâncias Gerenciadas de SQL do Azure para garantir que o acesso seja somente de dentro de suas redes virtuais ou por meio de pontos de extremidade privados.
- Habilite conexões de ponto de extremidade privado para fortalecer a comunicação segura com o Banco de Dados SQL do Azure.
- Desative a propriedade de acesso à rede pública no Banco de Dados SQL do Azure para impor o acesso somente de um ponto de extremidade privado.