Criar uma linha de base de Base de Dados SQL do Azure
O Banco de Dados SQL do Azure é uma família de produtos de banco de dados relacional baseada em nuvem que oferece suporte a muitos dos mesmos recursos oferecidos no Microsoft SQL Server. O Banco de Dados SQL do Azure fornece uma transição fácil de um banco de dados local para um banco de dados baseado em nuvem que tem diagnóstico, redundância, segurança e escalabilidade internos.
Recomendações de segurança do Banco de Dados SQL do Azure
As seções a seguir descrevem as recomendações do Banco de Dados SQL do Azure que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Incluídas em cada recomendação estão as etapas básicas a serem concluídas no portal do Azure. Deve concluir estes passos para a sua própria subscrição e utilizando os seus próprios recursos para validar cada recomendação de segurança.
Ativar a auditoria – Nível 1
A auditoria do Banco de Dados SQL do Azure e do Azure Synapse Analytics rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure, no espaço de trabalho do Azure Log Analytics ou nos Hubs de Eventos do Azure. A auditoria também:
- Ajuda a manter a conformidade regulamentar, entender a atividade do banco de dados e obter informações sobre discrepâncias e anomalias que podem alertá-lo sobre preocupações comerciais ou suspeitas de violações de segurança.
- Ativa e facilita o cumprimento das normas de conformidade, apesar de não garantir a conformidade.
Para ativar a auditoria, conclua as etapas a seguir para cada banco de dados em sua assinatura do Azure.
Inicie sessão no portal do Azure. Pesquise e selecione bancos de dados SQL.
No menu à esquerda, em Segurança, selecione Auditoria.
No painel Auditoria, habilite Habilitar Auditoria SQL do Azure e selecione pelo menos um destino de log de auditoria.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
Para obter mais informações sobre auditoria, consulte Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics.
Habilitar proteções SQL no Microsoft Defender for Cloud - Nível 1
O Microsoft Defender for Cloud deteta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. O Defender for Cloud pode identificar:
- Potencial injeção de SQL.
- Acesso a partir de um local ou datacenter incomum.
- Acesso a partir de uma entidade desconhecida ou de uma aplicação potencialmente prejudicial.
- Credenciais SQL de força bruta.
Você pode acessar e gerenciar ameaças SQL no menu do Defender for Cloud.
Inicie sessão no portal do Azure. Procure e selecione Microsoft Defender para a Cloud.
No menu à esquerda, em Gerenciamento, selecione Configurações do ambiente.
Selecione a sua subscrição.
No painel Planos do Defender, selecione Selecionar tipos na linha Bancos de Dados e defina Bancos de Dados SQL do Azure como Ativado.
Selecione Continuar.
Regresse à Página Inicial do Azure. Procure e selecione bancos de dados SQL e, em seguida, selecione o banco de dados que deseja exibir.
Para cada instância de banco de dados, no menu à esquerda em Segurança, selecione Microsoft Defender for Cloud. Exiba recomendações de segurança, alertas e descobertas de avaliação de vulnerabilidades para sua instância do Banco de dados SQL.
Configurar a retenção de auditoria durante mais de 90 dias – Nível 1
Os logs de auditoria devem ser preservados para segurança e deteção, e para atender aos requisitos de conformidade legal e regulamentar. Conclua as etapas a seguir para cada instância do Banco de Dados SQL do Azure em sua assinatura do Azure.
Inicie sessão no portal do Azure. Procure e selecione bancos de dados SQL e, em seguida, selecione um banco de dados.
No menu à esquerda, em Segurança, selecione Auditoria.
Selecione o destino do log de auditoria e expanda Propriedades avançadas.
Certifique-se de que a retenção (dias) é superior a 90 dias.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
