Базовые показатели безопасности Azure для Azure SQL
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Azure SQL. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Azure SQL.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции, неприменимые к Azure SQL, были исключены. Чтобы узнать, как Azure SQL полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления Azure SQL базовых показателей безопасности.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Azure SQL, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Базы данных |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните службу в виртуальной сети. Назначьте ресурсу частные IP-адреса (если это применимо), если нет веской причины назначать общедоступные IP-адреса напрямую ресурсу.
Справочник. Использование конечных точек служб и правил службы виртуальной сети для серверов в базе данных Azure SQL
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте теги службы Azure виртуальная сеть для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэр Azure, настроенных для Azure SQL ресурсов. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. При использовании конечных точек службы для Базы данных SQL Azure требуется исходящий трафик к общедоступным IP-адресам Базы данных SQL Azure. Чтобы разрешить подключение, необходимо открыть группы безопасности сети (NSG) для доступа к Базе данных SQL Azure. Это можно сделать с помощью тегов службы NSG для Базы данных SQL Azure.
Справочник. Использование конечных точек служб и правил службы виртуальной сети для серверов в базе данных Azure SQL
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.
Справочник. Приватный канал Azure для базы данных Azure SQL и Azure Synapse Analytics
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Параметры подключения Azure SQL
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Примечания о функциях: база данных Azure SQL поддерживает несколько механизмов проверки подлинности в плоскости данных, одним из которых является AAD.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Использование проверки подлинности Azure Active Directory
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Доступ к базе данных Azure SQL
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Управляемые удостоверения для прозрачного шифрования данных с помощью BYOK
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Azure SQL DB предоставляет несколько способов проверки подлинности в плоскости данных, один из которых является Azure AD и включает управляемые удостоверения и субъекты-службы.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка.Субъект-служба Azure Active Directory с Azure SQL
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Определите применимые условия и условия для условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного поведения при входе или требование устройств, управляемых организацией, для конкретных приложений.
Справка.Условный доступ с помощью базы данных Azure SQL
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. В AKV могут храниться только криптографические ключи, но не секреты и учетные данные пользователя. Например, ключи защиты прозрачного шифрования данных.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Для Azure SQL DB нет локального администратора, нет учетной записи sa. Однако учетная запись, настраивающая экземпляр, является администратором.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям уровня данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях: Azure SQL Database предоставляет обширную модель авторизации уровня данных для конкретной базы данных.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщиков облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, когда корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утвердить или отклонить каждый из запросов на доступ к данным майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Классификация & обнаружения данных
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание: служба поддерживает решение защиты от потери данных для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Существуют средства, которые можно использовать с SQL Server для защиты от потери данных, но встроенная поддержка отсутствует.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Минимальная версия TLS
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. Некоторые функции могут использовать AKV для ключей, например при использовании Always Encrypted.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования (TDE и Always Encrypted), включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справочник. Настройка Always Encrypted с помощью Azure Key Vault
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Политика Azure встроенные определения для & Управляемый экземпляр SQL базы данных Azure SQL
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Microsoft Defender для Azure SQL помогает обнаруживать и устранять потенциальные уязвимости базы данных, а также оповещает вас об аномальных действиях, которые могут быть признаком угрозы для баз данных.
Справка. Обзор Microsoft Defender для Azure SQL
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
LT-3. Включение ведения журнала для исследования безопасности
Другие рекомендации для LT-3
Включите ведение журнала на уровне сервера, так как это также будет выполнять фильтрацию по базам данных.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL имеет журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник поданным базы данных мониторинга Azure SQL
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Автоматическое резервное копирование — база данных Azure SQL
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.