Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bu güvenlik temeli, Microsoft Bulut Güvenliği Karşılaştırması'nın (v1.0) önceki bir sürümünü temel alır. Azure SQL için geçerli güvenlik yönergeleri için bkz. Azure SQL Veritabanınızın güvenliğini sağlama.
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure SQL'e yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure SQL için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender'ı kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özellik ilgili Azure İlkesi Tanımlarına sahip olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Uyarı
Azure SQL için geçerli olmayan özellikler hariç tutulmuştur. Azure SQL'in Microsoft bulut güvenliği karşılaştırmasıyla nasıl tamamen eşleştiğini görmek için tam Azure SQL güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Azure SQL'in yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Veritabanları |
| Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Hareketsiz durumda müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağına (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
Başvuru: Azure SQL Veritabanı'ndaki sunucular için sanal ağ hizmet uç noktalarını ve kurallarını kullanma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Ağ güvenlik gruplarında veya Azure SQL kaynaklarınız için yapılandırılmış Azure Güvenlik Duvarı'nda ağ erişim denetimlerini tanımlamak için Azure Sanal Ağ Hizmet Etiketleri'ni kullanın. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Azure SQL Veritabanı için hizmet uç noktaları kullanılırken, Azure SQL Veritabanı Genel IP adreslerine yönelik dışa giden bağlantılar gereklidir. Bağlantıya izin vermek için Ağ Güvenlik Grupları (NSG) Azure SQL Veritabanı IP adreslerine açılmalıdır. Bunu, Azure SQL Veritabanı için NSG hizmet etiketlerini kullanarak yapabilirsiniz.
Başvuru: Azure SQL Veritabanı'ndaki sunucular için sanal ağ hizmet uç noktalarını ve kurallarını kullanma
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtarak kaynaklar için özel bir erişim noktası oluşturun.
Başvuru: Azure SQL Veritabanı ve Azure Synapse Analytics için Azure Özel Bağlantı
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyinde IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' anahtar düğmesini kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure SQL bağlantı ayarları
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Yönetilen Örnekleri genel ağ erişimini kapatmalıdır | Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/mi-public-endpoint. | Denetle, Reddet, Devre Dışı Bırak | 1.0.0 |
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Azure SQL Veritabanı, biri AAD olan birden çok veri düzlemi kimlik doğrulama mekanizmasını destekler.
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Azure Active Directory kimlik doğrulamasını kullanma
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Veri düzlemi erişimi için yerel kimlik doğrulama yöntemlerinin kullanımını kısıtlayın. Bunun yerine, veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Azure SQL Veritabanı Erişimi
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.0 |
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda hizmet sorumluları yerine Azure tarafından yönetilen kimlikler kullanın. Bu kimlikler, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik doğrulama bilgileri platform tarafından yönetilir, düzenli olarak değiştirilir ve korunur; kaynak kodu veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri kullanımı önlenir.
Kaynak: BYOK ile şeffaf veri şifrelemesi için yönetilen kimlikler
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Azure SQL DB, veri düzleminde kimlik doğrulaması yapmak için birden çok yol sağlar, bunlardan biri Azure AD'dir ve yönetilen kimlikleri ve hizmet sorumlularını içerir.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Referans: Azure SQL ile Azure Active Directory hizmet ilkesi
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım örneklerini göz önünde bulundurun.
Başvuru: Azure SQL Veritabanı ile Koşullu Erişim
IM-8: Kimlik bilgilerinin ve sırların açığa çıkmasını kısıtlama
Özellikler
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Bilgilerin Entegrasyonu ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Özellik notları: Şifreleme anahtarları YALNIZCA AKV'de depolanabilir, gizli diziler veya kullanıcı kimlik bilgileri depolanamaz. Örneğin, Saydam Veri Şifrelemesi koruyucu anahtarları.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel bir yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Özellik notları: Azure SQL DB için 'yerel yönetici' yoktur, sa hesabı da yoktur. Bununla birlikte, örneği ayarlayan hesap bir yöneticidir.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Rol Tabanlı Erişim Denetimi (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Özellik notları: Azure SQL Veritabanı zengin, veritabanına özgü bir veri düzlemi yetkilendirme modeli sağlar.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kilidi Kutusu
Açıklama: Customer Lockbox, Microsoft destek hizmetine erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken senaryolarda, Microsoft'un veri erişim isteklerini incelemek ve ardından onaylamak veya reddetmek için Customer Lockbox'ı kullanın.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Referans: Veri Keşfi ve Sınıflandırma
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Özellik notları: DLP için SQL Server ile kullanılabilecek araçlar vardır, ancak yerleşik destek yoktur.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Korumalı olmayan SQL Yönetilen Örnekler için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her bir SQL Yönetilen Örneğini denetle. | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.2 |
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Veri Aktarımı Sırasındaki Şifreleme
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Referans: En düşük TLS sürümü
DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin
Özellikler
Platform Anahtarlarını Kullanarak Durgun Veri Şifreleme
Açıklama: Platform anahtarları kullanılarak durağan verilerin şifrelenmesi desteklenir, durağan müşteri içeriklerinin tamamı Microsoft tarafından yönetilen bu anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Durağan veriyi korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | DenetleEğerMevcutDeğilse, Devre Dışı | 2.0.0 |
DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleme Durumundaki Verilerin Şifrelemesi
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak durgun verilerin şifrelenmesi, hizmet tarafından depolanan müşteri içeriği için desteklenmektedir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak durgun veri şifrelemesini etkinleştirin ve uygulayın.
Başvuru: SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL yönetilen örnekler, durağan verileri şifrelemek için müşteri tarafından yönetilen anahtarlar kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetle, Reddet, Devre Dışı Bırak | 2.0.0 |
DP-6: Güvenli bir anahtar yönetim süreci kullanın
Özellikler
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Bazı özellikler, örneğin Always Encrypted kullanılırken anahtarlar için AKV'yi kullanabilir.
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın (TDE ve Always Encrypted) yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Anahtarlarınızı ve hizmetinizi Azure Key Vault'ta, tanımlı bir zamanlamaya göre veya anahtar kullanım dışı bırakılması ya da güvenlik ihlali durumlarında döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtar (CMK) kullanılması gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Key Vault kullanarak Always Encrypted'i yapılandırma
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure Politika Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi'ni yapılandırmak üzere Bulut için Microsoft Defender'ı kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları genelinde güvenli yapılandırmayı uygulamak amacıyla Azure İlkesi [reddet] ve [var değilse dağıt] efektlerini kullanın.
Başvuru: Azure SQL Veritabanı ve SQL Yönetilen Örneği için Azure Policy yerleşik tanımları
Log tutma ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Loglama ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmetler / Ürün Sunumu için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure SQL için Microsoft Defender, olası veritabanı güvenlik açıklarını keşfetmenize ve azaltmanıza yardımcı olur ve veritabanlarınıza yönelik bir tehdidin göstergesi olabilecek anormal etkinliklere karşı sizi uyarır.
Başvuru: Azure SQL için Microsoft Defender'a genel bakış
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | DenetleEğerMevcutDeğilse, Devre Dışı | 2.0.1 |
LT-3: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
LT-3 için diğer rehberlik
Sunucu düzeyinde kayıt tutmayı etkinleştirin, çünkü bu aynı zamanda veritabanlarına da uygulanacaktır.
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Sql:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | DenetleEğerMevcutDeğilse, Devre Dışı | 2.0.0 |
LT-4: Güvenlik araştırması için kayıt tutmayı etkinleştir
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault, bir anahtar kasasından sır alan eylemler için ek kaynak günlüklerini desteklerken, Azure SQL, veritabanına yapılan istekleri izleyen kaynak günlüklerine sahiptir. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Azure SQL Veritabanı veri başvurusunu izleme
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Otomatik yedeklemeler - Azure SQL Veritabanı
Sonraki Adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin