Netwerkbeveiligingsconfiguraties plannen en implementeren voor een met Azure SQL beheerd exemplaar
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure SQL. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure SQL.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure SQL, zijn uitgesloten.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure SQL, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Value |
|---|---|
| Productcategorie | Databases |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud at rest op | Waar |
Netwerkbeveiliging
NS-1: netwerksegmentatiegrenzen vaststellen
1. Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet).
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: de service implementeren in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
2. Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall die is geconfigureerd voor uw Azure SQL-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Wanneer u service-eindpunten voor Azure SQL Database gebruikt, is uitgaand naar openbare IP-adressen van Azure SQL Database vereist: netwerkbeveiligingsgroepen (NSG's) moeten worden geopend voor IP-adressen van Azure SQL Database om connectiviteit mogelijk te maken. U kunt dit doen met behulp van NSG-servicetags voor Azure SQL Database.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
3. Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall).
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
4. Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via de filterregel IP-toegangsbeheerlijst (ACL) op serviceniveau (niet NSG of Azure Firewall) of met een wisselknop voor openbare netwerktoegang uitschakelen.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
5. Microsoft Defender voor Cloud bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure-portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
6. Volg aanbevelingen voor Azure Policy
- Schakel openbare netwerktoegang in Azure SQL Managed Instances uit om ervoor te zorgen dat de toegang alleen vanuit hun virtuele netwerken of via privé-eindpunten plaatsvindt.
- Schakel privé-eindpuntverbindingen in om veilige communicatie met Azure SQL Database te versterken.
- Schakel de eigenschap openbare netwerktoegang in Azure SQL Database uit om alleen toegang af te dwingen vanaf een privé-eindpunt.