Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla Azure SQL

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Azure SQL. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Azure SQL.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje, które nie mają zastosowania do Azure SQL zostały wykluczone. Aby dowiedzieć się, jak Azure SQL całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure SQL.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem Azure SQL, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Bazy danych
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.

Dokumentacja: Używanie punktów końcowych i reguł usługi sieci wirtualnej dla serwerów w usłudze Azure SQL Database

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowane dla zasobów Azure SQL. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. W przypadku korzystania z punktów końcowych usługi dla bazy danych Azure SQL wymagany jest ruch wychodzący do Azure SQL publiczne adresy IP bazy danych: sieciowe grupy zabezpieczeń (NSG) muszą być otwarte, aby Azure SQL adresy IP bazy danych, aby zezwolić na łączność. Można to zrobić przy użyciu tagów usługi sieciowej grupy zabezpieczeń dla Azure SQL Database.

Dokumentacja: Używanie punktów końcowych i reguł usługi sieci wirtualnej dla serwerów w usłudze Azure SQL Database

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.

Dokumentacja: Azure Private Link Azure SQL Database and Azure Synapse Analytics

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: ustawienia łączności Azure SQL

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure SQL wystąpienia zarządzane powinny wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając, że dostęp do nich można uzyskać tylko z poziomu sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Aby dowiedzieć się więcej o dostępie do sieci publicznej, odwiedź stronę https://aka.ms/mi-public-endpoint. Inspekcja, odmowa, wyłączone 1.0.0

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Uwagi dotyczące funkcji: Azure SQL Database obsługuje wiele mechanizmów uwierzytelniania płaszczyzny danych, z których jedna jest usługą AAD.

Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.

Dokumentacja: Korzystanie z uwierzytelniania w usłudze Azure Active Directory

Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych

Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.

Wskazówki dotyczące konfiguracji: ograniczanie użycia lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.

Dokumentacja: dostęp do bazy danych Azure SQL

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie Azure AD. Azure AD uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usług firmy Microsoft AuditIfNotExists, Disabled 1.0.0

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Dokumentacja: Tożsamości zarządzane na potrzeby przezroczystego szyfrowania danych za pomocą rozwiązania BYOK

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Azure SQL DB zapewnia wiele sposobów uwierzytelniania na płaszczyźnie danych, z których jedna jest Azure AD i zawiera tożsamości zarządzane i jednostki usługi.

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: jednostka usługi Azure Active Directory z Azure SQL

IM-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.

Dokumentacja: dostęp warunkowy z bazą danych Azure SQL

IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: Klucze kryptograficzne mogą być przechowywane tylko w usłudze AKV, a nie wpisów tajnych ani poświadczeń użytkownika. Na przykład klucze ochrony funkcji Transparent Data Encryption.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Funkcje

Lokalne konta Administracja

Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: nie ma konta administratora lokalnego dla bazy danych Azure SQL. Nie ma też konta sa. Konto, które konfiguruje wystąpienie, jest jednak administratorem.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: usługa Azure SQL Database udostępnia rozbudowany model autoryzacji płaszczyzny danych specyficzny dla bazy danych.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do Twoich danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Funkcje

Odnajdywanie i klasyfikacja poufnych danych

Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Klasyfikacja & odnajdywania danych

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Funkcje

Zapobieganie wyciekom/utracie danych

Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: istnieją narzędzia, których można używać z SQL Server dla DLP, ale nie ma wbudowanej obsługi.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdej SQL Managed Instance bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Minimalna wersja protokołu TLS

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Przezroczyste szyfrowanie danych dla usługi SQL Database, SQL Managed Instance i Azure Synapse Analytics

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Funkcja Transparent Data Encryption w bazach danych SQL powinna być włączona Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0

DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza cmK

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.

Dokumentacja: Transparent Data Encryption for SQL Database, SQL Managed Instance i Azure Synapse Analytics

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia zwiększoną przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększonymi zabezpieczeniami za pomocą zewnętrznej usługi opartej na module HSM oraz podwyższeniem poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, odmowa, wyłączone 2.0.0

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami na platformie Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Uwagi dotyczące funkcji: Niektóre funkcje mogą używać funkcji AKV dla kluczy, na przykład podczas korzystania z Always Encrypted.

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania (TDE i Always Encrypted), w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że są zgodne z najlepszymi rozwiązaniami dotyczącymi zarządzania kluczami. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.

Dokumentacja: Konfigurowanie Always Encrypted przy użyciu usługi Azure Key Vault

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używanie tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.

Dokumentacja: Azure Policy wbudowane definicje Azure SQL Database & SQL Managed Instance

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla oferty usług/produktów

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Microsoft Defender dla Azure SQL ułatwia odnajdywanie i eliminowanie potencjalnych luk w zabezpieczeniach bazy danych oraz alerty o nietypowych działaniach, które mogą wskazywać na zagrożenie dla baz danych.

Dokumentacja: Omówienie Microsoft Defender dla Azure SQL

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Inspekcja serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1

LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Inne wskazówki dotyczące lt-3

Włącz rejestrowanie na poziomie serwera, ponieważ spowoduje to również filtrowanie do baz danych.

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Inspekcja na serwerze SQL powinna być włączona Inspekcja na SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi. Na przykład Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub Azure SQL zawiera dzienniki zasobów śledzące żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi i zasobu platformy Azure.

Dokumentacja: Informacje o danych usługi Monitoring Azure SQL Database

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Automatyczne kopie zapasowe — Azure SQL Database

Następne kroki