Планирование и реализация конфигураций безопасности сети для Управляемого экземпляра SQL Azure
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к SQL Azure. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к SQL Azure.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции, неприменимые к SQL Azure, были исключены.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении sql Azure с высоким влиянием, что может привести к увеличению безопасности.
| Атрибут поведения службы | Value |
|---|---|
| Категория продукта | Базы данных |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
NS-1: установка границы сегментации сети
1. Интеграция виртуальная сеть
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть).
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.
2. Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Использование тегов службы Виртуальная сеть Azure для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэр Azure, настроенных для ресурсов SQL Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. При использовании конечных точек службы для Базы данных SQL Azure требуется исходящий трафик к общедоступным IP-адресам Базы данных SQL Azure. Чтобы разрешить подключение, необходимо открыть группы безопасности сети (NSG) для доступа к Базе данных SQL Azure. Это можно сделать с помощью тегов службы NSG для Базы данных SQL Azure.
NS-2: защита облачных служб с помощью элементов управления сетью
3. Приватный канал Azure
Описание: возможность фильтрации собственного IP-адреса службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure).
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов.
4. Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ip-контроль доступа списка служб (ACL), а не NSG или Брандмауэр Azure) или с помощью переключателя отключения общедоступного сетевого доступа.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
5. мониторинг Microsoft Defender для облака
Встроенные определения Политики Azure — Microsoft.Sql:
| Имя. (портал Azure) |
Description | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. | Audit, Deny, Disabled | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
6. Следуйте рекомендациям Политика Azure
- Отключите доступ к общедоступной сети в Управляемый экземпляр SQL Azure, чтобы обеспечить доступ только из виртуальных сетей или через частные конечные точки.
- Включите подключения частной конечной точки для укрепления безопасного взаимодействия с База данных SQL Azure.
- Отключите свойство доступа к общедоступной сети в База данных SQL Azure, чтобы обеспечить доступ только из частной конечной точки.