Planejar e implementar configurações de segurança de rede para uma Instância Gerenciada SQL do Azure
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure SQL. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Azure SQL.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao SQL do Azure foram excluídos.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto do Azure SQL, o que pode resultar em considerações de segurança maiores.
| Atributo de comportamento de serviço | Valor |
|---|---|
| Categoria do Produto | Bases de Dados |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente inativo | True |
Segurança da rede
NS-1: Estabelecer limites de segmentação de rede
1. Integração de Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante o serviço em uma rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que haja um motivo forte para atribuir IPs públicos diretamente ao recurso.
2. Apoio ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use as Tags de Serviço de Rede Virtual do Azure para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure configurado para seus recursos SQL do Azure. Ao criar regras de segurança, pode utilizar etiquetas de serviço em vez de endereços IP específicos. Ao especificar o nome da etiqueta de serviço no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Ao usar pontos de extremidade de serviço para o Banco de Dados SQL do Azure, a saída para endereços IP públicos do Banco de Dados SQL do Azure é necessária: os NSGs (Grupos de Segurança de Rede) devem ser abertos nos IPs do Banco de Dados SQL do Azure para permitir a conectividade. Você pode fazer isso usando marcas de serviço NSG para o Banco de Dados SQL do Azure.
NS-2: Proteger serviços cloud com controlos de rede
3. Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall).
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
4. Desative o acesso à rede pública
Descrição: O serviço dá suporte à desativação do acesso à rede pública usando a regra de filtragem ACL (Lista de Controle de Acesso IP) de nível de serviço (não NSG ou Firewall do Azure) ou usando uma opção de alternância Desabilitar Acesso à Rede Pública.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| True | True | Microsoft |
5. Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.Sql:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. | Auditoria, Negar, Desativado | 1.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
6. Siga as recomendações da política do Azure
- Desabilite o acesso à rede pública nas Instâncias Gerenciadas SQL do Azure para garantir que o acesso seja somente de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados.
- Habilite conexões de ponto de extremidade privadas para fortalecer a comunicação segura com o Banco de Dados SQL do Azure.
- Desative a propriedade de acesso à rede pública no Banco de Dados SQL do Azure para impor o acesso somente de um ponto de extremidade privado.