規劃及實作 Azure SQL 受控執行個體的網路安全性設定
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 Azure SQL。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容分組會依據 Microsoft 雲端安全性基準所定義的安全性控制項,以及適用於 Azure SQL 的相關指引。
您可以使用適用於雲端的 Microsoft Defender 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。
當功能具有相關的 Azure 原則定義時,會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制項和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
注意
已排除不適用於 Azure SQL 的功能。
安全性設定檔
安全性設定檔會摘要說明 Azure SQL 的高影響行為,這可能會導致安全性考量增加。
| 服務行為屬性 | 值 |
|---|---|
| Product Category | 資料庫 |
| 客戶可以存取主機/作業系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路中 | True |
| 儲存待用客戶內容 | True |
網路安全性
NS-1:建立網路分割界限
1.虛擬網路整合
說明:服務支援部署到客戶的私人虛擬網路 (VNet) 中。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| True | False | 客戶 |
設定指導:將服務部署至虛擬網路中。 除非有充分的理由要將公用 IP 直接指派給資源,否則請將私人 IP 指派給資源 (如果適用的話)。
2.網路安全性群組支援
說明:服務網路流量會遵循其子網路上的網路安全性群組規則指派。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| True | False | 客戶 |
設定指導:使用 Azure 虛擬網路服務標籤來定義有關網路安全性群組或針對 Azure SQL 資源設定的 Azure 防火牆的網路存取控制。 您可在建立安全性規則時,使用服務標籤替代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱,即可允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。 使用 Azure SQL Database 的服務端點時,需要輸出至 Azure SQL Database 公用 IP 位址:網路安全性群組 (NSG) 必須開啟至 Azure SQL Database IP,才能允許連線。 您可以使用 Azure SQL Database 的 NSG 服務標籤來執行此動作。
NS-2:使用網路控制保護雲端服務
3.Azure Private Link
說明:用於篩選網路流量的服務原生 IP 篩選功能 (不要和 NSG 或 Azure 防火牆混淆)。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| True | False | 客戶 |
設定指導:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。
4.停用公用網路存取
說明:服務支援使用服務層級 IP 存取控制清單 (ACL) 篩選規則 (非 NSG 或 Azure 防火牆) 或使用 [停用公用網络存取] 切換開關來停用公用網络存取。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| True | True | Microsoft |
5.適用於雲端的 Microsoft Defender 監視
Azure 原則內建定義 - Microsoft.Sql:
| 名稱 (Azure 入口網站) |
說明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure SQL 受控執行個體應停用公用網路存取 | 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 | Audit, Deny, Disabled | 1.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
6.遵循 Azure 原則建議
- 在 Azure SQL 受控執行個體上停用公用網路存取,以確保只有從其虛擬網路內或透過私人端點進行存取。
- 啟用私人端點連線,以強化與 Azure SQL Database 的安全通訊。
- 在 Azure SQL Database 上關閉公用網路存取,以強制執行僅限於從私人端點存取。