Azure Synapse Analytics için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Synapse Analytics'e yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Synapse Analytics için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Synapse Analytics için geçerli olmayan özellikler dışlanmıştır. Azure Synapse Analytics'in Microsoft bulut güvenliği karşılaştırmasına tamamen nasıl eşlediğini görmek için, Azure Synapse Analytics güvenlik temeli eşleme dosyasının tamamına bakın.
Güvenlik profili
Güvenlik profili, Azure Synapse Analytics'in yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Analiz |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Synapse çalışma alanınızı oluştururken bir Microsoft Azure Sanal Ağ ilişkilendirmeyi seçebilirsiniz. Çalışma alanınızla ilişkili Sanal Ağ Azure Synapse tarafından yönetilir. Bu Sanal Ağ yönetilen çalışma alanı Sanal Ağ olarak adlandırılır.
Başvuru: Azure Synapse Analytics Yönetilen Sanal Ağ
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Başvuru: Azure Synapse Analytics Yönetilen Sanal Ağ
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
Başvuru: Azure Synapse Özel Bağlantı Hubs
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarına ek olarak, hizmet düzeyi güvenlik duvarı kuralları yapılandırılabilir.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Azure Synapse Analytics veri ambarı IP güvenlik duvarı kuralları
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Başvuru: Azure Synapse Analytics bağlantı ayarları
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Yönetilen Örneklerin genel ağ erişimini devre dışı bırakması gerekir | Azure SQL Yönetilen Örneklerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/mi-public-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın.
Başvuru: Synapse SQL ile kimlik doğrulaması için Azure Active Directory Kimlik Doğrulamasını kullanma
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olduğunca devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Veri düzlemi erişimi için yerel kimlik doğrulama yöntemlerinin kullanımını kısıtlayın. Bunun yerine, veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Azure Synapse Analytics'te SQL Kimlik Doğrulaması
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak tanır | AuditIfNotExists, Devre Dışı | 1.0.0 |
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Synapse için yönetilen kimlik
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişimi engelleme veya verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.
Başvuru: Azure Synapse Analytics'te Koşullu Erişim
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Kimlik bilgilerini, örneğin Key Vault içinde depolanan gizli dizilerden yararlanarak mssparkutils kullanarak bağlı hizmetlerle güvenli hale gelebilirsiniz.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Mssparkutils kullanarak bağlı hizmetlerle kimlik bilgilerinin güvenliğini sağlama
Yapılandırma Kılavuzu: Gizli dizileri ve kimlik bilgilerini kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olduğunca devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Rutin yönetim işlemleri için gerekli değilse, yerel yönetici hesaplarını yalnızca acil kullanım için devre dışı bırakın veya kısıtlayın.
Başvuru: SQL kimlik doğrulaması ile bağlanma
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Access Control (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Yönetim düzlemi işlemleri için Azure RBAC desteklenir. Synapse RBAC, veri düzlemi işlemleri için erişim denetimi için kullanılır.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Synapse rol tabanlı erişim denetimi (RBAC) nedir?
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Microsoft'un veri erişim isteklerinin her birini gözden geçirmek, onaylamak veya reddetmek için Müşteri Kasası'na tıklayın.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure, şirket içi, Microsoft 365 veya diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Azure Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.
Başvuru: Ayrılmış SQL havuzları (eski adı SQL DW) için Veri Bulma ve Sınıflandırma
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri kaybı önleme (DLP) uyumluluğu için gerekirse, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimleri zorunlu kılmak için Azure Market'dan konak tabanlı bir DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.
Başvuru: Azure Synapse Analytics için Gelişmiş Tehdit Koruması
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Synapse Analytics çalışma alanları için şifreleme
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL veritabanlarında Saydam Veri Şifreleme etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Başvuru: Azure Synapse Analytics çalışma alanları için şifreleme
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi'ni (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
DP-6: Güvenli bir anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlı bir zamanlamaya göre veya önemli bir kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault kayıtlı olduğundan ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvuruldığından emin olun. Hizmete kendi anahtarınızı (KAG) getirmeniz gerekiyorsa (örneğin, şirket içi HSM'lerinizden Azure Key Vault HSM korumalı anahtarları içeri aktarma), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Synapse Analytics çalışma alanları için şifreleme
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [deny] ve [deploy if not exists] efektlerini kullanın.
Başvuru: Yerleşik İlkeler - Synapse
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Yönetim düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın. Key Vault için Microsoft Defender uyarı aldığınızda, uyarıyı araştırın ve yanıt verin.
Başvuru: SQL için Microsoft Defender
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault bir anahtar kasasından gizli dizi alan eylemler için ek kaynak günlüklerini destekler ve Azure SQL veritabanına yönelik istekleri izleyen kaynak günlükleri vardır. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Azure SQL Veritabanı ve Azure Synapse Analizi denetimi
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: ayrılmış Azure Synapse SQL havuzunda yedekleme ve geri yükleme
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin