计划和实现 Azure SQL 托管实例的网络安全配置

已完成

此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于 Azure SQL。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制根据适用于 Azure SQL 的 Microsoft 云安全基准和相关指南定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy 定义将在 Microsoft Defender for Cloud 门户页的“监管合规”部分中列出。

当某个功能具有相关的 Azure Policy 定义时,它们会在此基线中列出,以帮助你衡量是否符合 Microsoft 云安全基准控制和建议。 某些建议可能需要使用付费 Microsoft Defender 计划来启用特定的安全方案。

注意

排除了不适用于 Azure SQL 的功能。

安全配置文件

安全配置文件汇总了 Azure SQL 的高影响行为,这些行为可能会导致安全注意事项增加。

服务行为属性
产品类别 数据库
客户可以访问主机 / OS 无访问权限
可将服务部署到客户的虚拟网络中 True
静态存储客户内容 True

网络安全性

NS-1:建立网络分段边界

1.虚拟网络集成

说明:该服务支持部署到客户的专用虚拟网络 (VNet) 中。

支持 默认启用 配置职责
True False 客户

配置指导:将服务部署到虚拟网络。 为资源分配专用 IP(如果适用),除非有充分的理由将公共 IP 直接分配给资源。

2.网络安全组支持

说明:服务网络流量遵循其子网上的网络安全组规则分配。

支持 默认启用 配置职责
True False 客户

配置指导:使用 Azure 虚拟网络服务标记在为 Azure SQL 资源配置的网络安全组或 Azure 防火墙上定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 通过在规则的相应“源”或“目标”字段中指定服务标记名称,可允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。 对 Azure SQL 数据库使用服务终结点时,需要使用用于与 Azure SQL 数据库进行出站通信的公共 IP 地址:必须为 Azure SQL 数据库 IP 启用网络安全组 (NSG) 才能进行连接。 可以通过将 NSG 服务标记用于 Azure SQL 数据库来实现此目的。

NS-2:通过网络控制保护云服务

说明:用于筛选网络流量的服务原生 IP 筛选功能(不要与 NSG 或 Azure 防火墙混淆)。

支持 默认启用 配置职责
True False 客户

配置指导:为所有支持专用链接功能的 Azure 资源部署专用终结点,来为这些资源建立专用接入点。

4.禁用公用网络访问

说明:该服务支持通过使用服务级别 IP 访问控制列表 (ACL) 筛选规则(而不是 NSG 或 Azure 防火墙)或使用“禁用公用网络访问”切换开关禁用公用网络访问。

支持 默认启用 配置职责
True True Microsoft

5.Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Sql:

名称
(Azure 门户)
描述 效果 版本
(GitHub)
Azure SQL 托管实例应禁用公用网络访问 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 Audit、Deny、Disabled 1.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0

6.遵循 Azure Policy 建议

  • 在 Azure SQL 托管实例上禁用公共网络访问,以确保仅从其虚拟网络内部或通过专用终结点进行访问。
  • 启用专用终结点连接,以加强与 Azure SQL 数据库的安全通信。
  • 关闭 Azure SQL 数据库上的公共网络访问属性,以仅强制从专用终结点进行访问。