Azure SQL Yönetilen Örneği için ağ güvenliği yapılandırmalarını planlama ve uygulama
Bu güvenlik temeli, Microsoft bulut güvenlik karşılaştırması sürüm 1.0'dan Azure SQL'e rehberlik uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure SQL için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure SQL için geçerli olmayan özellikler dışlanmıştır.
Güvenlik profili
Güvenlik profili, Azure SQL'in yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Value |
|---|---|
| Ürün Kategorisi | Veritabanları |
| Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | True |
| Bekleyen müşteri içeriğini depolar | True |
Ağ güvenliği
NS-1: Ağ segmentasyonu sınırları oluşturma
1. Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
2. Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Ağ güvenlik gruplarında veya Azure SQL kaynaklarınız için yapılandırılmış Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için Azure Sanal Ağ Hizmet Etiketleri'ni kullanın. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Azure SQL Veritabanı için hizmet uç noktaları kullanılırken, Azure SQL Veritabanı Genel IP adreslerine giden gereklidir: Bağlantıya izin vermek için Ağ Güvenlik Grupları (NSG) Azure SQL Veritabanı IP'lere açılmalıdır. Bunu, Azure SQL Veritabanı için NSG hizmet etiketlerini kullanarak yapabilirsiniz.
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
3. Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır).
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
4. Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP Erişim Denetim Listesi (ACL) filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya Genel Ağ Erişimini Devre Dışı Bırak iki durumlu anahtarını kullanarak genel ağ erişimini devre dışı bırakmayı destekler.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
5. Bulut için Microsoft Defender izleme
yerleşik tanımları Azure İlkesi - Microsoft.Sql:
| Veri Akışı Adı (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır | Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
6. Azure İlkesi Öneriler takip edin:
- Erişimin yalnızca sanal ağlarından veya Özel Uç Noktalar aracılığıyla olduğundan emin olmak için Azure SQL Yönetilen Örneği'lerde genel ağ erişimini devre dışı bırakın.
- Azure SQL Veritabanı ile güvenli iletişimi sağlamak için özel uç nokta bağlantılarını etkinleştirin.
- Yalnızca özel bir uç noktadan erişimi zorunlu kılmak için Azure SQL Veritabanı'da genel ağ erişim özelliğini kapatın.