Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure SQL. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure SQL.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Anmärkning
Funktioner som inte gäller för Azure SQL har exkluderats. Om du vill se hur Azure SQL helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure SQL-säkerhetsbaslinjen.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure SQL, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Databaser |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sann |
| Lagrar kundinnehåll i viloläge | Sann |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Egenskaper
Integrering av virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.
Referens: Använda tjänstslutpunkter och regler för virtuella nätverk för servrar i Azure SQL Database
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Virtual Network Service-taggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall som konfigurerats för dina Azure SQL-resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. När du använder tjänstslutpunkter för Azure SQL Database krävs utgående till offentliga IP-adresser för Azure SQL Database: Nätverkssäkerhetsgrupper (NSG:er) måste öppnas för Azure SQL Database-IP-adresser för att tillåta anslutning. Du kan göra detta med hjälp av NSG-tjänsttaggar för Azure SQL Database.
Referens: Använda tjänstslutpunkter och regler för virtuella nätverk för servrar i Azure SQL Database
NS-2: Skydda molntjänster med nätverkskontroller
Egenskaper
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Azure Private Link för Azure SQL Database och Azure Synapse Analytics
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Anslutningsinställningar för Azure SQL
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint. | Granska, Neka åtkomst, Inaktivera | 1.0.0 |
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Egenskaper
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Delad |
Funktionsanteckningar: Azure SQL Database stöder flera autentiseringsmekanismer för dataplan, varav en är AAD.
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Använda Azure Active Directory-autentisering
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras där det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Åtkomst till Azure SQL Database
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, avaktiverad | 1.0.0 |
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Egenskaper
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Hanterade identiteter för transparent datakryptering med BYOK
Tjänstprincipaler
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänsteprinciper. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Funktionsanteckningar: Azure SQL DB tillhandahåller flera sätt att autentisera på dataplanet, varav ett är Azure AD och innehåller hanterade identiteter och tjänstens huvudnamn.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Tjänstens huvudnamn för Azure Active Directory med Azure SQL
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Egenskaper
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllda inloggningsbeteenden eller kräva organisationshanterade enheter för specifika program.
Referens: Villkorlig åtkomst med Azure SQL Database
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Egenskaper
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Kryptografiska nycklar KAN ENDAST lagras i AKV, inte hemligheter eller användarautentiseringsuppgifter. Till exempel nycklar för transparent datakrypteringsskydd.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Egenskaper
Lokala administratörskonton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Det finns ingen "lokal administratör" för Azure SQL DB, det finns inget sa-konto heller. Kontot som konfigurerar instansen är dock administratör.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)
Egenskaper
Azure RBAC för datahanteringsplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure SQL Database tillhandahåller en omfattande, databasspecifik auktoriseringsmodell för dataplanet.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Egenskaper
Kundlåsbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Egenskaper
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Dataidentifiering och klassificering
DP-2: Övervaka avvikelser och hot mot känsliga data
Egenskaper
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Det finns verktyg som kan användas med SQL Server för DLP, men det finns inget inbyggt stöd.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, avaktiverad | 1.0.2 |
DP-3: Kryptera känsliga data under överföring
Egenskaper
Kryptering av data under överföring
Beskrivning: Tjänsten stöder kryptering av data under överföring för dataplanet. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Minimal TLS-version
DP-4: Aktivera vilande datakryptering som standard
Egenskaper
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Kryptering av data i vila med plattformnycklar stöds; allt kundinnehåll i vila är krypterat med dessa Microsoft-hanterade nycklar. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Transparent datakryptering för SQL Database, SQL Managed Instance och Azure Synapse Analytics
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, avaktiverad | 2.0.0 |
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Egenskaper
Kryptering av data i vila med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Om det krävs för regelefterlevnad definierar du användningsfall och tjänstomfattning där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Transparent datakryptering för SQL Database, SQL Managed Instance och Azure Synapse Analytics
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, Neka åtkomst, Inaktivera | 2.0.0 |
DP-6: Använd en process för säker nyckelhantering
Egenskaper
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Delad |
Funktionsanteckningar: Vissa funktioner kan använda AKV för nycklar, till exempel när du använder Always Encrypted.
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och styra livscykeln för dina krypteringsnycklar (TDE och Always Encrypted), inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När det finns ett behov av att använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Konfigurera Always Encrypted med hjälp av Azure Key Vault
Kapitalförvaltning
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Egenskaper
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte existerar] effekter för att säkerställa säker konfiguration över Azure-resurser.
Referens: Inbyggda Azure Policy-definitioner för Azure SQL Database och SQL Managed Instance
Logghantering och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Egenskaper
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Microsoft Defender för Azure SQL hjälper dig att identifiera och minimera potentiella sårbarheter i databasen och varnar dig för avvikande aktiviteter som kan vara en indikation på ett hot mot dina databaser.
Referens: Översikt över Microsoft Defender för Azure SQL
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 2.0.1 |
LT-3: Aktivera loggning för säkerhetsundersökning
Andra riktlinjer för LT-3
Aktivera loggning på servernivå eftersom detta även filtrerar ned till databaser.
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.Sql:
| Namn (Azure Portal) |
Beskrivning | Effekt(er) | Utgåva (GitHub) |
|---|---|---|---|
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, avaktiverad | 2.0.0 |
LT-4: Aktivera loggning för säkerhetsundersökning
Egenskaper
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datakälla, såsom ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller så har Azure SQL resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Azure-tjänst och resurstyp.
Referens: Övervaka Datareferens för Azure SQL Database
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att göra regelbundna automatiska säkerhetskopior
Egenskaper
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Automatiserade säkerhetskopieringar – Azure SQL Database