Dela via


Azure-säkerhetsbaslinje för Azure SQL

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure SQL. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure SQL.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure SQL har exkluderats. Om du vill se hur Azure SQL helt mappar till Microsofts prestandamått för molnsäkerhet kan du läsa den fullständiga mappningsfilen för Azure SQL säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar beteendet för Azure SQL, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Databaser
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Sant
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta nätverkssegmenteringsgränser

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) om det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.

Referens: Använd tjänstslutpunkter och regler för virtuella nätverk för servrar i Azure SQL Database

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall konfigurerade för dina Azure SQL resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. När du använder tjänstslutpunkter för Azure SQL Database krävs utgående till offentliga IP-adresser för Azure SQL database: Nätverkssäkerhetsgrupper (NSG:er) måste öppnas för Azure SQL databas-IP-adresser för att tillåta anslutning. Du kan göra detta genom att använda NSG-tjänsttaggar för Azure SQL Database.

Referens: Använd tjänstslutpunkter och regler för virtuella nätverk för servrar i Azure SQL Database

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.

Referens: Azure Private Link för Azure SQL Database och Azure Synapse Analytics

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Azure SQL anslutningsinställningar

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk Om du inaktiverar offentlig nätverksåtkomst (offentlig slutpunkt) på Azure SQL managed instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint. Granska, neka, inaktiverad 1.0.0

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Delad

Funktionsanteckningar: Azure SQL Database stöder flera autentiseringsmekanismer på dataplanet, varav en är AAD.

Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.

Referens: Använda Azure Active Directory-autentisering

Lokala autentiseringsmetoder för dataplansåtkomst

Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.

Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.

Referens: Azure SQL Database Access

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för DIN SQL-server för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Inaktiverad 1.0.0

SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

Referens: Hanterade identiteter för transparent datakryptering med BYOK

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Azure SQL DB tillhandahåller flera sätt att autentisera på dataplanet, varav ett är Azure AD och innehåller hanterade identiteter och tjänstens huvudnamn.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Tjänstens huvudnamn för Azure Active Directory med Azure SQL

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplanet

Beskrivning: Åtkomst till dataplan kan styras med hjälp av Azure AD principer för villkorlig åtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorlig åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.

Referens: Villkorlig åtkomst med Azure SQL Database

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Kryptografiska nycklar kan ENDAST lagras i AKV, inte hemligheter eller användarautentiseringsuppgifter. Till exempel nyckel för transparent datakrypteringsskydd.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

Funktioner

Lokala Admin-konton

Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Det finns ingen "lokal administratör" för Azure SQL DB, det finns inget SA-konto heller. Kontot som konfigurerar instansen är dock administratör.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure SQL Database tillhandahåller en omfattande, databasspecifik auktoriseringsmodell för dataplanet.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-8: Fastställa åtkomstprocess för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Funktioner

Identifiering och klassificering av känsliga data

Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Klassificering av dataidentifiering &

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Det finns verktyg som kan användas med SQL Server för DLP, men det finns inget inbyggt stöd.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Lägsta TLS-version

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Kryptering av vilande data med plattformsnycklar

Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Transparent datakryptering för SQL Database, SQL Managed Instance och Azure Synapse Analytics

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Transparent datakryptering på SQL-databaser bör vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, inaktiverad 2.0.0

DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov

Funktioner

Vilande datakryptering med cmk

Beskrivning: Kryptering i vila med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.

Referens: Transparent datakryptering för SQL Database, SQL Managed Instance och Azure Synapse Analytics

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-baserad extern tjänst och befordran av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Delad

Funktionsanteckningar: Vissa funktioner kan använda AKV för nycklar, till exempel när du använder Always Encrypted.

Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar (TDE och Always Encrypted), inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när en nyckel dras tillbaka eller komprometteras. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.

Referens: Konfigurera Always Encrypted med hjälp av Azure Key Vault

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Referens: Azure Policy inbyggda definitioner för Azure SQL Database & SQL Managed Instance

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Microsoft Defender för Azure SQL hjälper dig att identifiera och minimera potentiella databassårbarheter och varnar dig för avvikande aktiviteter som kan vara en indikation på ett hot mot dina databaser.

Referens: Översikt över Microsoft Defender för Azure SQL

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1

LT-3: Aktivera loggning för säkerhetsundersökning

Andra riktlinjer för LT-3

Aktivera loggning på servernivå eftersom detta även filtrerar ned till databaser.

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Sql:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granskning på SQL Server ska vara aktiverat Granskning av din SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, Inaktiverad 2.0.0

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller och Azure SQL har resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Tjänst- och resurstyp i Azure.

Referens: Övervaka Azure SQL databasdatareferens

Säkerhetskopiering och återställning

Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tjänstens interna säkerhetskopieringsfunktion

Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Automatiserade säkerhetskopieringar – Azure SQL Database

Nästa steg