Nastavení standardních hodnot pro Azure SQL Database

  • 5 min

Azure SQL Database je cloudová řada produktů relačních databází, která podporuje řadu stejných funkcí nabízených v Microsoft SQL Serveru. Azure SQL Database poskytuje snadný přechod z místní databáze na cloudovou databázi, která má integrovanou diagnostiku, redundanci, zabezpečení a škálovatelnost.

Doporučení k zabezpečení služby Azure SQL Database

Následující části popisují doporučení služby Azure SQL Database, která jsou ve srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení.

Povolení auditování – úroveň 1

Auditování pro Azure SQL Database a Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure, pracovním prostoru Azure Log Analytics nebo ve službě Azure Event Hubs. Auditování také:

  • Pomáhá udržovat dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které vás můžou upozornit na obchodní obavy nebo podezření na porušení zabezpečení.
  • Umožňuje a usnadňuje dodržování předpisů, i když soulad s těmito standardy nezaručuje.

Pokud chcete zapnout auditování, proveďte následující kroky pro každou databázi ve vašem předplatném Azure.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte databáze SQL.

  2. V nabídce vlevo v části Zabezpečení vyberte Auditování.

  3. V podokně Auditování povolte auditování Azure SQL a pak vyberte alespoň jeden cíl protokolu auditu.

  4. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Snímek obrazovky, který ukazuje, jak zapnout auditování pro databáze Azure SQL

Další informace o auditování najdete v tématu Auditování pro Azure SQL Database a Azure Synapse Analytics.

Povolení ochrany SQL v Microsoft Defenderu pro cloud – úroveň 1

Microsoft Defender for Cloud detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Defender for Cloud dokáže identifikovat:

  • Potenciální injektáž SQL
  • Přístup z neobvyklého umístění nebo datacentra
  • Přístup z neznámého objektu zabezpečení nebo potenciálně škodlivé aplikace
  • Hrubá síla přihlašovacích údajů SQL

V nabídce Defender for Cloud můžete přistupovat k hrozbám SQL a spravovat je.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

  2. V nabídce vlevo v části Správa vyberte Nastavení prostředí.

  3. Vyberte své předplatné.

  4. V podokně Plány Defenderu vyberte v řádku Databáze vybrat typy a pak nastavte Azure SQL Databases na Zapnuto.

  5. Zvolte Pokračovat.

    Snímek obrazovky s podoknem Plány Defenderu se zapnutým plánem Azure SQL Databases

  6. Vraťte se na domovskou stránku Azure. Vyhledejte a vyberte databáze SQL a pak vyberte databázi, kterou chcete zobrazit.

  7. Pro každou instanci databáze v levé nabídce v části Zabezpečení vyberte Microsoft Defender for Cloud. Podívejte se na doporučení zabezpečení, výstrahy a zjištění posouzení ohrožení zabezpečení pro vaši instanci služby SQL Database.

Konfigurace uchovávání auditovacích informací po dobu delší než 90 dní – úroveň 1

Protokoly auditu by se měly zachovat pro zabezpečení a zjišťování a pro splnění právních a zákonných požadavků na dodržování předpisů. Pro každou instanci služby Azure SQL Database ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte databáze SQL a pak vyberte databázi.

  2. V nabídce vlevo v části Zabezpečení vyberte Auditování.

  3. Vyberte cíl protokolu auditu a potom rozbalte rozšířené vlastnosti.

  4. Ujistěte se, že doba uchování (dny) je větší než 90 dnů.

  5. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Snímek obrazovky znázorňující podokno Auditování databází SQL