Planera och implementera nätverkssäkerhetskonfigurationer för en Hanterad Azure SQL-instans
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure SQL. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure SQL.
Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender för molnet portal.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för Azure SQL har exkluderats.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure SQL, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Databaser |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
NS-1: Upprätta gränser för nätverkssegmentering
1. Integrering av virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet).
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.
2. Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Virtual Network Service-taggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall som konfigurerats för dina Azure SQL-resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. När du använder tjänstslutpunkter för Azure SQL Database krävs utgående till offentliga IP-adresser för Azure SQL Database: Nätverkssäkerhetsgrupper (NSG:er) måste öppnas för Azure SQL Database-IP-adresser för att tillåta anslutning. Du kan göra detta med hjälp av NSG-tjänsttaggar för Azure SQL Database.
NS-2: Skydda molntjänster med nätverkskontroller
3. Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall).
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
4. Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via filtreringsregeln IP-åtkomstkontrollistan (ACL) på tjänstnivå (inte NSG eller Azure Firewall) eller med en växlingsknapp för inaktivera offentlig nätverksåtkomst .
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
5. Microsoft Defender för molnet övervakning
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Name (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. | Granska, neka, inaktiverad | 1.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
6. Följ Azure Policy-Rekommendationer:
- Inaktivera åtkomst till offentligt nätverk på Azure SQL Managed Instances för att säkerställa att åtkomsten endast sker inifrån deras virtuella nätverk eller via privata slutpunkter.
- Aktivera privata slutpunktsanslutningar för att stärka säker kommunikation med Azure SQL Database.
- Inaktivera den offentliga nätverksåtkomstegenskapen i Azure SQL Database för att endast framtvinga åtkomst från en privat slutpunkt.