Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к SQL Azure. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к SQL Azure.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к SQL Azure, были исключены. Чтобы узнать, как Azure SQL полностью сопоставляется с эталонным показателем безопасности microsoft cloud security, см. полный файл сопоставления базовых показателей безопасности SQL Azure.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении sql Azure с высоким влиянием, что может привести к увеличению безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Базы данных |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Верно |
| Сохраняет данные клиента в состоянии покоя | Верно |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.
Справочник.Использование конечных точек и правил службы виртуальной сети для серверов в Базе данных SQL Azure
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Использование тегов службы виртуальной сети Azure для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure, настроенных для ресурсов SQL Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов. При использовании конечных точек службы для Базы данных SQL Azure требуется исходящий трафик к общедоступным IP-адресам Базы данных SQL Azure. Чтобы разрешить подключение, необходимо открыть группы безопасности сети (NSG) для доступа к Базе данных SQL Azure. Это можно сделать с помощью тегов службы NSG для Базы данных SQL Azure.
Справочник.Использование конечных точек и правил службы виртуальной сети для серверов в Базе данных SQL Azure
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию приватного канала, чтобы установить частную точку доступа для ресурсов.
Справочник. Приватный канал Azure для Базы данных SQL Azure и Azure Synapse Analytics
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Параметры подключения к SQL Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. | Аудит, отказ в доступе, отключено | 1.0.0 |
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация в Azure AD для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Общее |
Заметки о функциях. База данных SQL Azure поддерживает несколько механизмов проверки подлинности уровня данных, один из которых — AAD.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник.Использование проверки подлинности Azure Active Directory
Методы локальной аутентификации для доступа к панели управления данными
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Доступ к базе данных SQL Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Администратор Azure Active Directory должен быть подготовлен для серверов SQL | Проверьте предоставление администратора Azure Active Directory для вашего сервера SQL чтобы включить аутентификацию Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Используйте управляемые удостоверения Azure вместо служебных принципалов, поскольку они могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности через Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Справочник:Управляемые удостоверения для прозрачного шифрования данных с помощью BYOK
Субъекты-службы
Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Заметки о функциях: База данных Azure SQL предоставляет несколько способов аутентификации на уровне данных, один из которых — Azure AD, и включает управляемые удостоверения и служебные главные имена.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Ссылка: Служебный принципал Azure Active Directory с Azure SQL
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Справочник. Условный доступ с базой данных SQL Azure
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание: Уровень данных поддерживает собственное использование Azure Key Vault для хранения учетных данных и секретов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Криптографические ключи можно хранить только в AKV, а не секреты и учетные данные пользователя. Например, ключи защиты прозрачного шифрования данных.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: для базы данных SQL Azure нет "локального администратора", нет учетной записи sa. Учетная запись, которая настраивает экземпляр, все же является администратором.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. База данных SQL Azure предоставляет многофункциональную модель авторизации плоскости данных для конкретной базы данных.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защитный сейф для клиентов
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Обнаружение данных и классификация
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP (Data Loss Prevention) для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Существуют средства, которые можно использовать с SQL Server для защиты от потери данных, но встроенная поддержка отсутствует.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для SQL должен быть включен для незащищенных управляемых экземпляров SQL | Выполните аудит всех управляемых экземпляров SQL без расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Минимальная версия TLS
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Прозрачное шифрование данных для базы данных SQL, управляемого экземпляра SQL и Azure Synapse Analytics
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Прозрачное шифрование данных в базах данных SQL должно быть включено | Для защиты данных в состоянии покоя и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, отключено | 2.0.0 |
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Прозрачное шифрование данных для базы данных SQL, управляемого экземпляра SQL и Azure Synapse Analytics
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Аудит, отказ в доступе, отключено | 2.0.0 |
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Общее |
Заметки о функциях. Некоторые функции могут использовать AKV для ключей, например при использовании Always Encrypted.
Руководство по настройке: используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования (TDE и Always Encrypted), включая создание ключей, распространение и хранение. Ротируйте и отзывайте ключи в Azure Key Vault и вашей службе по определенному расписанию или в случае вывода ключа из использования или его компрометации. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Настройка Always Encrypted с помощью Azure Key Vault
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.
Справочник. Встроенные определения политики Azure для Базы данных SQL Azure и Управляемого экземпляра SQL
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Microsoft Defender для SQL Azure помогает обнаруживать и устранять потенциальные уязвимости базы данных и оповещения об аномальных действиях, которые могут быть признаком угрозы для баз данных.
Справочник. Обзор Microsoft Defender для SQL Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для SQL следует включить для незащищенных серверов SQL Azure | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
LT-3. Включение ведения журнала для исследования безопасности
Другие рекомендации по LT-3
Включите ведение журнала на уровне сервера, так как это будет фильтроваться до баз данных.
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Sql:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Аудит на SQL Server должен быть включен | Чтобы отслеживать действия во всех базах данных на сервере и сохранять их в журнале аудита, необходимо включить аудит на вашем SQL Server. | AuditIfNotExists, отключено | 2.0.0 |
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
Справочникпо мониторингу данных базы данных SQL Azure
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может создавать резервную копию службы Azure Backup. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность встроенного резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Автоматическое резервное копирование — База данных SQL Azure
Дальнейшие шаги
- Ознакомьтесь с обзором стандарта безопасности в облаке Microsoft
- Дополнительные сведения о базовых показателях безопасности Azure