Planifier et implémenter des configurations de sécurité réseau pour Azure SQL Managed Instance
Cette base de référence de la sécurité applique les recommandations du Benchmark de sécurité Microsoft cloud version 1.0 à Azure SQL. Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Microsoft cloud et les conseils associés applicables à Azure SQL.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail de Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles du benchmark de sécurité cloud Microsoft. Certaines suggestions peuvent nécessiter un plan Microsoft Defender payant pour activer des scénarios particuliers de sécurité.
Remarque
Les fonctionnalités non applicables à Azure SQL ont été exclus.
Profil de sécurité
Le profil de sécurité récapitule les comportements à fort impact d’Azure SQL, ce qui peut entraîner une augmentation des considérations de sécurité.
| Attribut comportement du service | Valeur |
|---|---|
| Catégorie de produit | Bases de données |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | True |
| Stocke le contenu du client au repos | True |
Sécurité du réseau
NS-1 : Établir des limites de segmentation réseau
1. Intégration au réseau virtuel
Description : Le service prend en charge le déploiement dans un réseau virtuel (VNet) privé d’un client.
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| True | False | Client |
Aide pour la configuration : Déployez le service dans un réseau virtuel. Attribuer des adresses IP privées à la ressource (le cas échéant), sauf s’il existe une raison forte d’affecter des adresses IP publiques directement à la ressource.
2. Prise en charge du groupe de sécurité réseau
Description : Le trafic de réseau du service respecte l’affectation de règles aux groupes de sécurité réseau sur ses sous-réseaux.
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| True | False | Client |
Aide sur la configuration : Utilisez des balises de service de réseau virtuel Azure pour définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le compte Pare-feu Azure configurés pour vos ressources Azure SQL. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Lorsque vous utilisez des points de terminaison de service pour Azure SQL Database, une sortie à destination d'adresses IP publiques Azure SQL Database est requise : Des groupes de sécurité réseau (NSG) doivent être ouverts aux adresses IP Azure SQL Database pour autoriser la connectivité. Pour ce faire, vous pouvez utiliser des balises de service NSG pour Azure SQL Database.
NS-2 : Sécuriser des services cloud avec des contrôles réseau
3. Azure Private Link
Description : Fonctionnalité de filtrage IP natif du service pour le filtrage du trafic réseau (à ne pas confondre avec le groupe de sécurité réseau ou Pare-feu Azure).
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| True | False | Client |
Aide pour la configuration : Déployer des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link pour établir un point d’accès privé pour les ressources.
4. Désactiver l’accès public au réseau
Description : Le service prend en charge la désactivation de l’accès au réseau public via l’utilisation d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (et non pas NSG ou Pare-feu Azure) ou l’utilisation du bouton bascule Désactiver l’accès réseau public.
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| True | True | Microsoft |
5. Monitoring de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Sql :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
6. Suivre les recommandations d’Azure Policy
- Désactivez l’accès au réseau public sur Azure SQL Managed Instances pour garantir que les accès se font seulement depuis ses réseaux virtuels ou via des points de terminaison privés.
- Activez les connexions de point de terminaison privé pour renforcer la communication sécurisée avec Azure SQL Database.
- Désactivez la propriété d’accès au réseau public sur Azure SQL Database pour imposer l’accès seulement depuis un point de terminaison privé.