適用于 SQL IaaS 的 Azure 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 SQL IaaS。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控制項,以及適用于 SQL IaaS 的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。
當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於 SQL IaaS的功能。 若要查看 SQL IaaS 如何完全對應至 Microsoft 雲端安全性基準測試,請參閱 完整的 SQL IaaS 安全性基準對應檔案。
安全性設定檔摘要說明 SQL IaaS 的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 資料庫 |
| 客戶可以存取 HOST / OS | 完整存取 |
| 服務可以部署到客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | 對 |
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用網路安全性群組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
注意:若要允許流量流向虛擬機器上的SQL Server,請新增埠 1433 的 NSG 規則。
參考: Azure 中的虛擬網路和虛擬機器 - 網路安全性群組
描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (非 NSG 或Azure 防火牆) 或使用 [停用公用網路存取] 切換開關。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能也可以在 VM 客體 OS 防火牆上設定。
設定指引:使用服務層級 IP ACL 篩選規則或切換交換器來存取公用網路,停用公用網路存取。
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理。
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能需要 SQL Server IaaS 代理程式擴充功能。 Windows VM 中的 SQL Server 2022 現在支援使用 AAD 進行用戶端驗證。
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的資料平面存取。
參考:適用于 SQL Server 的 Azure Active Directory 驗證
描述:支援資料平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:此功能有適用于 Windows 和 Linux 的個別檔。 Windows VM 通常會利用受控識別向其他服務進行驗證。 受控識別可用來驗證 VM 上的服務。
設定指引:盡可能使用 Azure 受控識別,而不是服務主體,它可以向支援 Azure Active Directory 的 Azure 服務和資源進行驗證, (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。
參考:教學課程:在 Windows VM 上使用使用者指派的受控識別來存取 Azure Resource Manager
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能需要 SQL Server 2022 和 SQL Server IaaS 代理程式擴充功能。
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
參考:為 Azure VM 上的SQL Server啟用 Azure AD 驗證
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:此功能可透過 Azure Active Directory (AD) 取得,而且需要在伺服器上設定 Azure AD。
設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與來自特定位置的存取權、封鎖具風險的登入行為,或要求特定應用程式的組織管理的裝置。
參考: 規劃條件式存取部署
描述:資料平面支援原生使用 Azure 金鑰保存庫認證和秘密存放區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:確定秘密和認證會儲存在 Azure 金鑰保存庫等安全位置,而不是將它們內嵌到程式碼或組態檔中。
參考:設定 Azure VM (Resource Manager) 上SQL Server的 Azure 金鑰保存庫整合
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取權。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能附注:支援 Azure RBAC 作為入口網站和 VM 層級,但不會傳播至 SQL Server。
設定指引:使用 Azure 角色型存取控制 (Azure RBAC) ,透過內建角色指派來管理 Azure 資源存取。 Azure RBAC 角色可以指派給使用者、群組、服務主體和受控識別。
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
描述:Azure Purview 或 Azure 資訊保護) 等工具 (可用於服務中的資料探索和分類。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure Purview、Azure 資訊保護和Azure SQL資料探索和分類等工具,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 或其他位置的任何敏感性資料。
參考: 在 Microsoft Purview 中連線和管理內部部署 SQL Server 實例
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能需要 SQL Server IaaS 代理程式擴充功能。
設定指引:如果需要符合資料外泄防護 (DLP) ,您可以使用主機型 DLP 解決方案,從 Azure Marketplace 或 Microsoft 365 DLP 解決方案強制執行偵測和/或預防控制項,以防止資料外泄。
參考:為機器上的 SQL 伺服器啟用Microsoft Defender
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:在內建原生資料傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版的 SSL 3.0、TLS v1.0。 若要遠端系統管理 虛擬機器,請使用適用于 Linux) 的 SSH (或適用于 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
參考: VM 中的傳輸中加密
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰加密。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:此功能有適用于 Windows 和 Linux 的個別檔。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 適用于 Windows VM 的 Azure 磁片加密
描述:服務所儲存的客戶內容支援使用客戶自控金鑰進行待用資料加密。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:如果需要法規合規性,請定義需要使用客戶自控金鑰加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。
參考:使用 Azure 入口網站,以受控磁片的客戶自控金鑰啟用伺服器端加密
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:適用於 Microsoft Azure Key Vault 的 SQL Server 連接器可讓SQL Server加密使用 Microsoft Azure 金鑰保存庫作為可延伸金鑰管理 (EKM) 提供者來保護其加密金鑰。
設定指引:使用 Azure 金鑰保存庫來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和儲存體。 根據定義的排程或在金鑰淘汰或入侵時輪替和撤銷 Azure 金鑰保存庫和服務中的金鑰。 如果您需要在工作負載、服務或應用層級中使用客戶管理的金鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層來產生個別的資料加密金鑰, (DEK) 金鑰與金鑰保存庫中的 KEK (KEK) 。 請確定金鑰會向 Azure 金鑰保存庫註冊,並透過來自服務或應用程式的金鑰識別碼來參考。 如果您需要將自己的金鑰 (BYOK) 至服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:設定 Azure VM (Resource Manager) 上SQL Server的 Azure 金鑰保存庫整合
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理。
描述:您可以透過Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Microsoft Defender for Cloud 來設定Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。
參考: Azure 服務的建議原則
描述:服務可以使用雲端Microsoft Defender中的自適性應用程式控制,限制在虛擬機器上執行的客戶應用程式。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:可在虛擬機器上實作自適性應用程式控制。
設定指引:使用雲端自適性應用程式控制Microsoft Defender來探索在虛擬機器上執行的應用程式 (VM) ,並產生應用程式允許清單,以要求哪些核准的應用程式可以在 VM 環境中執行。
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
描述:服務具有供應專案特定的Microsoft Defender解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:此功能需要 SQL IaaS 代理程式擴充功能。
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的管理平面存取。 當您從Microsoft Defender取得金鑰保存庫警示時,請調查並回應警示。
參考:為機器上的 SQL 伺服器啟用Microsoft Defender
描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的資料接收,例如儲存體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
設定指引:啟用服務的資源記錄。 例如,金鑰保存庫針對從金鑰保存庫取得秘密的動作支援額外的資源記錄,而Azure SQL具有追蹤資料庫要求的資源記錄。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。
參考: 監視 Azure 虛擬機器
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:狀態和弱點管理。
描述:Azure 自動化 狀態設定可用來維護作業系統的安全性設定。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用Azure 自動化 狀態設定維護作業系統的安全性設定。
描述:Azure 原則客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能需要電腦設定延伸模組和受控識別。
設定指引:針對雲端和Azure 原則客體設定代理程式使用Microsoft Defender,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器及其他。
參考:為Azure 入口網站中的虛擬機器啟用 Azure Automanage
描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能附注:此功能有適用于 Windows 和 Linux 的個別檔。
設定指引:使用來自 Microsoft 等受信任供應商預先設定的強化映射,或在 VM 映射範本中建置所需的安全設定基準
參考:教學課程:使用 Azure PowerShell 建立 Windows VM 映射
描述:您可以使用雲端Microsoft Defender或其他Microsoft Defender服務內嵌弱點評估功能來掃描弱點掃描, (包括伺服器、容器登錄、App Service、SQL 和 DNS) Microsoft Defender。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:遵循雲端Microsoft Defender的建議,在您的 Azure 虛擬機器、容器映射和 SQL 伺服器上執行弱點評估。
參考: 掃描 SQL 伺服器是否有弱點
描述:服務可以使用Azure 自動化更新管理來自動部署修補程式和更新。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用Azure 自動化更新管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 對於 Windows VM,請確定已啟用 Windows Update,並設定為自動更新。
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:端點安全性。
描述:端點偵測和回應 (EDR) 功能,例如適用于伺服器的 Azure Defender 可以部署到端點。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:此功能在 Linux 上的 適用於端點的 Microsoft Defender 下提供適用于 Linux 的個別檔。
設定指引:適用于伺服器 (的 Azure Defender 適用於端點的 Microsoft Defender整合式) 提供 EDR 功能,以防止、偵測、調查及回應進階威脅。 使用適用于雲端的 Microsoft Defender,為您的端點部署適用于伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。
參考: 適用于端點的 Defender 上線 Windows Server
描述:Microsoft Defender防毒軟體等反惡意程式碼功能,可在端點上部署適用於端點的 Microsoft Defender。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:針對Windows Server 2016及更新版本,預設會安裝防毒軟體Microsoft Defender。 針對 Windows Server 2012 R2 和更新版本,客戶可以安裝 SCEP (System Center Endpoint Protection) 。 針對 Linux,客戶可以選擇安裝適用于 Linux 的 Microsoft Defender。 或者,客戶也可以選擇安裝協力廠商反惡意程式碼產品。
參考:在 Windows 中Microsoft Defender防毒軟體
描述:反惡意程式碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:設定您的反惡意程式碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並可監視其狀態。
參考:在 Windows 中Microsoft Defender防毒軟體
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:啟用Azure 備份並設定備份來源 (,例如 Azure 虛擬機器、SQL Server、HANA 資料庫或檔案共用) ,且具有所需的保留期間。 針對 Azure 虛擬機器,您可以使用Azure 原則來啟用自動備份。
描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:此功能需要 SQL Server IaaS 代理程式擴充功能。 此功能只能在適用于 Windows 部署的 Azure 入口網站中設定。 使用Azure PowerShell來管理Linux 部署的自動備份。
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準