Linha de base de segurança do Azure para SQL do Azure
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 à SQL do Azure. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis aos SQL do Azure.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis aos SQL do Azure foram excluídas. Para ver como SQL do Azure mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança SQL do Azure.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de SQL do Azure, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Bases de Dados |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente o serviço numa rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que exista um motivo forte para atribuir IPs públicos diretamente ao recurso.
Referência: Utilizar pontos finais de serviço de rede virtual e regras para servidores na Base de Dados do SQL do Azure
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize as Etiquetas de Serviço do Azure Rede Virtual para definir controlos de acesso à rede em grupos de segurança de rede ou Azure Firewall configurados para os seus recursos de SQL do Azure. Ao criar regras de segurança, pode utilizar etiquetas de serviço em vez de endereços IP específicos. Ao especificar o nome da etiqueta de serviço no campo de origem ou destino adequado de uma regra, pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Ao utilizar pontos finais de serviço para a Base de Dados SQL do Azure, é necessária a saída para os endereços IP Públicos da Base de Dados SQL do Azure: os Grupos de Segurança de Rede (NSGs) têm de ser abertos para SQL do Azure IPs da Base de Dados para permitir a conectividade. Pode fazê-lo ao utilizar etiquetas de serviço NSG para SQL do Azure Base de Dados.
Referência: Utilizar pontos finais de serviço de rede virtual e regras para servidores na Base de Dados do SQL do Azure
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: Azure Private Link para a Base de Dados SQL do Azure e o Azure Synapse Analytics
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: SQL do Azure definições de conectividade
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| SQL do Azure Managed Instances deve desativar o acesso à rede pública | Desativar o acesso à rede pública (ponto final público) no SQL do Azure Managed Instances melhora a segurança ao garantir que só podem ser acedidos a partir das respetivas redes virtuais ou através de Pontos Finais Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: SQL do Azure Base de Dados suporta vários mecanismos de autenticação de planos de dados, um dos quais é o AAD.
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Utilizar a autenticação do Azure Active Directory
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: SQL do Azure Database Access
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser aprovisionado para servidores SQL | Auditar o aprovisionamento de um administrador do Azure Active Directory para o seu SQL Server para ativar Azure AD autenticação. Azure AD autenticação permite a gestão de permissões simplificada e a gestão centralizada de identidades de utilizadores de bases de dados e outros serviços Microsoft | AuditIfNotExists, Desativado | 1.0.0 |
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Identidades geridas para encriptação de dados transparente com BYOK
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: SQL do Azure DB fornece várias formas de autenticação no plano de dados, uma das quais é Azure AD e inclui identidades geridas e principais de serviço.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: principal de serviço do Azure Active Directory com SQL do Azure
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Referência: Acesso Condicional com a Base de Dados SQL do Azure
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: as chaves criptográficas APENAS podem ser armazenadas no AKV, não nos segredos nem nas credenciais do utilizador. Por exemplo, chaves de proteção de Encriptação de Dados Transparente.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: não existe nenhum "administrador local" para SQL do Azure BD, mas também não existe uma conta sa. No entanto, a conta que configura a instância é um administrador.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: SQL do Azure Base de Dados fornece um modelo de autorização de plano de dados específico da base de dados.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Classificação de & de Deteção de Dados
DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: existem ferramentas que podem ser utilizadas com SQL Server para DLP, mas não existe suporte incorporado.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para SQL deve estar ativado para Instâncias Geridas do SQL desprotegidas | Audite cada SQL Managed Instance sem segurança de dados avançada. | AuditIfNotExists, Desativado | 1.0.2 |
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: versão mínima do TLS
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação de dados transparente para Base de Dados SQL, SQL Managed Instance e Análise de Azure Synapse
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Encriptação de Dados Transparente nas bases de dados SQL deve estar ativada | A encriptação de dados transparente deve ser ativada para proteger os dados inativos e cumprir os requisitos de conformidade | AuditIfNotExists, Desativado | 2.0.0 |
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Referência: encriptação de dados transparente para Base de Dados SQL, SQL Managed Instance e análise de Azure Synapse
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As instâncias geridas do SQL devem utilizar chaves geridas pelo cliente para encriptar dados inativos | Implementar a Encriptação de Dados Transparente (TDE) com a sua própria chave proporciona maior transparência e controlo sobre o Protetor de Encriptação de Dados Transparente, maior segurança com um serviço externo apoiado por HSM e promoção da separação de deveres. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: determinadas funcionalidades podem utilizar o AKV para chaves, por exemplo, ao utilizar Always Encrypted.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação (TDE e Always Encrypted), incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Configurar Always Encrypted com o Azure Key Vault
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Azure Policy definições incorporadas para SQL do Azure Database & SQL Managed Instance
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: Microsoft Defender para SQL do Azure ajuda-o a detetar e mitigar potenciais vulnerabilidades da base de dados e alerta-o para atividades anómalas que podem constituir uma indicação de uma ameaça às suas bases de dados.
Referência: Descrição geral do Microsoft Defender para SQL do Azure
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para SQL deve estar ativado para servidores de SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, Desativado | 2.0.1 |
LT-3: Ativar o registo para investigação de segurança
Outras orientações para LT-3
Ative o registo ao nível do servidor, uma vez que também irá filtrar as bases de dados.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Sql:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A auditoria no SQL Server deve estar ativada | A auditoria no seu SQL Server deve ser ativada para controlar as atividades da base de dados em todas as bases de dados no servidor e guardá-las num registo de auditoria. | AuditIfNotExists, Desativado | 2.0.0 |
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.
Referência: Monitorização SQL do Azure referência de dados da Base de Dados
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Cópias de segurança automatizadas - Base de Dados do SQL do Azure
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure