Standardní hodnoty zabezpečení Azure pro Azure Database for MySQL

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Azure Database for MySQL. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Database for MySQL.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Database for MySQL nebo které jsou odpovědností společnosti Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Azure Database for MySQL zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Database for MySQL.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Konfigurace Private Link pro Azure Database for MySQL pomocí privátních koncových bodů Private Link umožňuje připojení k různým službám PaaS v Azure přes privátní koncový bod. Azure Private Link v podstatě přináší služby Azure do vaší privátní virtuální sítě. Provoz mezi vaší virtuální sítí a instancí MySQL prochází páteřní sítí Microsoftu.

Případně můžete použít koncové body služby Virtual Network k ochraně a omezení síťového přístupu k vašim Azure Database for MySQL implementací. Pravidla virtuální sítě jsou jednou funkcí zabezpečení brány firewall, která řídí, jestli váš Azure Database for MySQL server přijímá komunikaci odesílanou z konkrétních podsítí ve virtuálních sítích.

Server Azure Database for MySQL můžete také zabezpečit pomocí pravidel brány firewall. Brána firewall serveru brání veškerému přístupu k databázovému serveru, dokud nezadáte, které počítače mají oprávnění. Bránu firewall nakonfigurujete tak, že vytvoříte pravidla brány firewall určující rozsahy přípustných IP adres. Pravidla firewallu můžete vytvořit na úrovni serveru.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforMySQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Pokud je vaše instance Azure Database for MySQL zabezpečená k privátnímu koncovému bodu, můžete nasadit virtuální počítače ve stejné virtuální síti. Skupinu zabezpečení sítě (NSG) můžete použít ke snížení rizika exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu úložiště pro audit provozu. Můžete také posílat protokoly toku NSG do pracovního prostoru služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu ve vašem cloudu Azure. Mezi výhody analýzy provozu patří možnost vizualizovat síťovou aktivitu a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými ip adresami se zlými úmysly

Pokyny: Použití rozšířené ochrany před internetovými útoky pro Azure Database for MySQL Advanced Threat Protection detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.

Povolte službu DDoS Protection Standard ve virtuálních sítích přidružených k vašim instancím Azure Database for MySQL, abyste se mohli chránit před útoky DDoS. Využijte Microsoft Defender pro cloudovou integrovanou analýzu hrozeb k odepření komunikace se známými škodlivými nebo nepoužívanými internetovými IP adresami.

Odpovědnost: Zákazník

1.5: Záznam síťových paketů

Pokyny: Pokud je vaše instance Azure Database for MySQL zabezpečená k privátnímu koncovému bodu, můžete nasadit virtuální počítače ve stejné virtuální síti. Skupinu zabezpečení sítě (NSG) pak můžete nakonfigurovat tak, aby se snížilo riziko exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu úložiště pro audit provozu. Můžete také posílat protokoly toku NSG do pracovního prostoru služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu ve vašem cloudu Azure. Mezi výhody analýzy provozu patří možnost vizualizovat síťovou aktivitu a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.6: Nasaďte systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím (IDS/IPS).

Pokyny: Použití rozšířené ochrany před internetovými útoky pro Azure Database for MySQL Advanced Threat Protection detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Pro prostředky, které potřebují přístup k vašim instancím Azure Database for MySQL, použijte značky služby Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. SQL). WestUs) v příslušném zdrojovém nebo cílovém poli pravidla můžete povolit nebo odepřít provoz pro odpovídající službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Poznámka: Azure Database for MySQL používá značky služeb Microsoft.Sql.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Definujte a implementujte standardní konfigurace zabezpečení pro nastavení sítě a síťové prostředky přidružené k vašim instancím Azure Database for MySQL s Azure Policy. Pomocí aliasů Azure Policy v oborech názvů Microsoft.DBforMySQL a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich instancí Azure Database for MySQL. Můžete také využít předdefinované definice zásad související se sítěmi nebo instancemi Azure Database for MySQL, například:

  • Měla by být povolená ochrana před útoky DDoS Protection Úrovně Standard.

  • Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

1.10: Zdokumentování pravidel konfigurace provozu

Pokyny: Použijte značky pro prostředky související se zabezpečením sítě a tokem provozu pro vaše instance Azure Database for MySQL k poskytování metadat a logické organizace.

Použijte některou z předdefinovaných definic Azure Policy souvisejících s označováním, například Vyžadovat značku a její hodnotu, abyste měli jistotu, že se všechny prostředky vytvářejí se značkami a aby vás informovaly o existujících neoznačené prostředky.

K vyhledání nebo provádění akcí na základě jejich značek můžete použít Azure PowerShell nebo Azure CLI.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s vašimi instancemi Azure Database for MySQL. Vytvořte upozornění ve službě Azure Monitor, která se aktivují při změnách důležitých síťových prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Povolení diagnostických nastavení a protokolů serveru a ingestování protokolů pro agregaci dat zabezpečení generovaných vašimi instancemi Azure Database for MySQL Ve službě Azure Monitor pomocí pracovních prostorů log Analytics můžete dotazovat a provádět analýzy a používat účty azure Storage pro dlouhodobé nebo archivní úložiště. Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Povolení nastavení diagnostiky ve vašich instancích Azure Database for MySQL pro přístup k protokolům metriky Audit, Pomalý dotaz a MySQL Ujistěte se, že konkrétně povolíte protokol auditu MySQL. Protokoly aktivit, které jsou automaticky dostupné, zahrnují zdroj událostí, datum, uživatele, časové razítko, zdrojové adresy, cílové adresy a další užitečné prvky. Můžete také povolit nastavení diagnostiky protokolu aktivit Azure a odesílat protokoly do stejného pracovního prostoru služby Log Analytics nebo účtu úložiště.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Pro pracovní prostor služby Log Analytics, který se používá k uchovávání protokolů Azure Database for MySQL, nastavte dobu uchovávání podle předpisů vaší organizace. Účty úložiště Azure používejte pro dlouhodobé a archivní úložiště.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Analýza a monitorování protokolů z instancí Azure Database for MySQL pro neobvyklé chování Pomocí Log Analytics služby Azure Monitor můžete kontrolovat protokoly a provádět dotazy na data protokolů. Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Povolení rozšířené ochrany před internetovými útoky pro Azure Database for MySQL Advanced Threat Protection detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.

Kromě toho můžete povolit protokoly serveru a nastavení diagnostiky pro MySQL a odesílat protokoly do pracovního prostoru služby Log Analytics. Připojte svůj pracovní prostor Služby Log Analytics ke službě Microsoft Sentinel, protože poskytuje řešení automatické reakce (SOAR) pro orchestraci zabezpečení. To umožňuje vytvoření playbooků (automatizovaných řešení) a jejich použití k nápravě problémů se zabezpečením.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Udržujte inventář uživatelských účtů, které mají přístup správce k rovině správy (např. Azure Portal) vaší instance Azure Database for MySQLinstances. Kromě toho udržujte inventář účtů pro správu, které mají přístup k rovině dat (v samotné databázi) vašich Azure Database for MySQL instancí. (Při vytváření serveru MySQL zadáte přihlašovací údaje pro uživatele správce. Tento správce je možné použít k vytvoření dalších uživatelů MySQL.)

Azure Database for MySQL nepodporuje integrované řízení přístupu na základě role, ale můžete vytvořit vlastní role na základě konkrétních možností poskytovatele prostředků.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Azure Active Directory (Azure AD) nemá koncept výchozích hesel.

Po vytvoření samotného prostředku Azure Database for MySQL Azure vynutí vytvoření administrativního uživatele se silným heslem. Po vytvoření instance MySQL však můžete k vytvoření dalších uživatelů použít první účet správce serveru, který jste vytvořili, a udělit jim přístup správce. Při vytváření těchto účtů se ujistěte, že pro každý účet nakonfigurujete jiné silné heslo.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvořte standardní provozní postupy týkající se použití vyhrazených účtů pro správu, které mají přístup k vašim instancím Azure Database for MySQL. Ke sledování počtu účtů pro správu použijte Microsoft Defender pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Přihlášení k Azure Database for MySQL se podporuje jak pomocí uživatelského jména nebo hesla nakonfigurovaného přímo v databázi, tak pomocí identity Azure Active Directory (Azure AD) a použitím tokenu Azure AD pro připojení. Při použití tokenu Azure AD se podporují různé metody, jako je Azure AD uživatel, skupina Azure AD nebo aplikace Azure AD připojující se k databázi.

Přístup řídicí roviny pro MySQL je k dispozici prostřednictvím rozhraní REST API a podporuje jednotné přihlašování. Pokud se chcete ověřit, nastavte autorizační hlavičku pro vaše požadavky na webový token JSON, který získáte z Azure AD.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu. Při použití Azure AD tokenů pro přihlášení k databázi to umožňuje vyžadovat vícefaktorové ověřování pro přihlášení k databázi.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných v Azure pro úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Povolení rozšířené ochrany před internetovými útoky pro Azure Database for MySQL pro generování upozornění na podezřelou aktivitu

Kromě toho můžete použít Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a výstrah, pokud dojde k podezřelé nebo nebezpečné aktivitě v prostředí.

Pomocí Azure AD Detekce rizik můžete zobrazit výstrahy a sestavy o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte portál a Azure Resource Manager přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí/oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Pro přihlášení k Azure Database for MySQL se doporučuje použít Azure AD a pro připojení použít token Azure AD. Při použití tokenu Azure AD se podporují různé metody, jako je Azure AD uživatel, skupina Azure AD nebo aplikace Azure AD připojující se k databázi.

Azure AD přihlašovací údaje se dají použít také pro správu na úrovni roviny správy (např. Azure Portal) k řízení účtů správců MySQL.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit uživatelský přístup

Pokyny: Projděte si protokoly Azure Active Directory (Azure AD), které vám pomůžou zjistit zastaralé účty, které můžou zahrnovat účty s Azure Database for MySQL rolemi pro správu. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím, které se dají použít pro přístup k Azure Database for MySQL a přiřazení rolí. Uživatelský přístup by se měl pravidelně kontrolovat, například každých 90 dnů, aby se zajistilo, že k nim budou mít nepřetržitý přístup jenom uživatelé.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Povolení nastavení diagnostiky pro Azure Database for MySQL a Azure Active Directory (Azure AD) odesílání všech protokolů do pracovního prostoru služby Log Analytics Nakonfigurujte požadovaná upozornění (například neúspěšné pokusy o ověření) v Log Analytics.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Povolení rozšířené ochrany před internetovými útoky pro Azure Database for MySQL pro generování upozornění na podezřelou aktivitu

Pomocí funkcí služby Identity Protection a detekce rizik v Azure Active Directory (Azure AD) můžete nakonfigurovat automatizované odpovědi na zjištěné podezřelé akce. Prostřednictvím Microsoft Sentinelu můžete povolit automatizované odpovědi k implementaci bezpečnostních odpovědí vaší organizace.

Můžete také ingestovat protokoly do Microsoft Sentinelu pro účely dalšího šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Udržování inventáře citlivých informací

Pokyny: Použití značek k usnadnění sledování Azure Database for MySQL instancí nebo souvisejících prostředků, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných nebo skupin pro správu pro vývoj, testování a produkci Pomocí kombinace Private Link, koncových bodů služby nebo pravidel brány firewall můžete izolovat a omezit síťový přístup k vašim instancím Azure Database for MySQL.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Při používání virtuálních počítačů Azure pro přístup k Azure Database for MySQL instancím využijte Private Link, konfigurace sítě MySQL, skupiny zabezpečení sítě a značky služeb, aby se zmírnit možnost exfiltrace dat.

Společnost Microsoft spravuje základní infrastrukturu pro Azure Database for MySQL a implementovala přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.

Odpovědnost: Zákazník

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Azure Database for MySQL podporuje připojení serveru MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Díky vynucování připojení SSL mezi databázovým serverem a klientskými aplikacemi se šifruje datový proud mezi serverem a vaší aplikací, což pomáhá chránit před napadením útočníky, kteří se vydávají za prostředníky. V Azure Portal se ujistěte, že je ve výchozím nastavení povolené vynucení připojení SSL pro všechny vaše instance Azure Database for MySQL.

Verze protokolu TLS podporované pro Azure Database for MySQL jsou TLS 1.0, TLS 1.1, TLS 1.2.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforMySQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL. Azure Database for MySQL podporuje připojení Azure Database for MySQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "člověk uprostřed" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1

4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat

Pokyny: Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Database for MySQL k dispozici. V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Pro základní platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý a má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k řídicí rovině Azure Database for MySQL (např. Azure Portal). Pro přístup k rovině dat (v samotné databázi) použijte dotazy SQL k vytvoření uživatelů a konfiguraci uživatelských oprávnění. Azure RBAC nemá vliv na uživatelská oprávnění v databázi.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření výstrah pro případy, kdy dojde ke změnám v produkčních instancích Azure Database for MySQL a dalších důležitých nebo souvisejících prostředků.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Při zabezpečení Azure Database for MySQL a souvisejících prostředků postupujte podle doporučení z programu Microsoft Defender for Cloud.

Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Database for MySQL.

Odpovědnost: Sdílené

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (včetně Azure Database for MySQL instancí) v rámci vašich předplatných Ujistěte se, že máte ve svém tenantovi příslušná oprávnění (ke čtení) a máte možnost vytvořit výčet všech předplatných Azure a také prostředků v rámci vašich předplatných.

Odpovědnost: Zákazník

6.2: Udržování metadat prostředků

Pokyny: Použijte značky na Azure Database for MySQL instance a další související prostředky, které poskytují metadata pro jejich logické uspořádání do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování Azure Database for MySQL instancí a souvisejících prostředků použijte označování, skupiny pro správu a samostatná předplatná. Pravidelně sladit inventář a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky a Azure jako celek.

Odpovědnost: Zákazník

6.5: Monitorování neschválené prostředky Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Kromě toho použijte Azure Resource Graph k dotazování a zjišťování prostředků v rámci předplatných.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.11: Omezení schopnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Pomocí podmíněného přístupu Azure můžete omezit schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management. To může zabránit vytváření a změnám prostředků v prostředí s vysokým zabezpečením, jako jsou například instance Azure Database for MySQL obsahující citlivé informace.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definujte a implementujte standardní konfigurace zabezpečení pro vaše instance Azure Database for MySQL s Azure Policy. Pomocí aliasů Azure Policy v oboru názvů Microsoft.DBforMySQL vytvořte vlastní zásady pro auditování nebo vynucení konfigurace sítě vašich instancí Azure Database for MySQL. Můžete také využít předdefinované definice zásad související s vašimi Azure Database for MySQL instancemi, jako jsou:

Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečená nastavení napříč prostředky Azure.

Odpovědnost: Zákazník

7.5: Bezpečné ukládání konfigurace prostředků Azure

Pokyny: Pokud pro instance Azure Database for MySQL a související prostředky používáte vlastní definice Azure Policy, použijte Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.DBforMySQL k vytvoření vlastních zásad pro upozorňování, auditování a vynucování konfigurací systému Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.DBforMySQL k vytvoření vlastních zásad pro upozorňování, auditování a vynucování konfigurací systému Pomocí Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro vaše Azure Database for MySQL instance a související prostředky.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Pro Virtual Machines Azure nebo webové aplikace běžící na Azure App Service, které se používají pro přístup k vašim Azure Database for MySQL instancím, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení Azure Database for MySQL správu tajných kódů. Ujistěte se, Key Vault je povolené obnovitelné odstranění.

Odpovědnost: Zákazník

7.12: Zabezpečená a automatická správa identit

Pokyny: Azure Database for MySQL instance podporuje ověřování Azure Active Directory (Azure AD) pro přístup k databázím. Při vytváření instance Azure Database for MySQL zadáte přihlašovací údaje pro uživatele správce. Tento správce je možné použít k vytvoření dalších uživatelů databáze.

Pro azure Virtual Machines nebo webové aplikace spuštěné na Azure App Service, které se používají pro přístup k vašim instancím Azure Database for MySQL, použijte identitu spravované služby ve spojení s Azure Key Vault k ukládání a načítání přihlašovacích údajů pro Azure Database for MySQL instance. Ujistěte se, Key Vault je povolené obnovitelné odstranění.

Spravované identity můžete použít k poskytování služeb Azure automaticky spravovanou identitu v Azure AD. Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu.

Odpovědnost: Zákazník

7.13: Eliminace nezamýšlené expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.2: Předběžné skenování souborů, které se mají nahrát do nepočítaných prostředků Azure

Pokyny: Antimalwarový software Microsoftu je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Database for MySQL), ale nespouští se na obsahu zákazníka.

Předem zkontrolujte veškerý obsah nahraný do jiných než výpočetních prostředků Azure, jako jsou App Service, Data Lake Storage, Blob Storage, Azure Database for MySQL atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.

Odpovědnost: Sdílené

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelných automatizovaných záloh

Pokyny: Azure Database for MySQL provádí zálohy datových souborů a transakčního protokolu. V závislosti na podporované maximální velikosti úložiště buď provádíme úplné a rozdílové zálohy (maximálně 4 TB serverů úložiště) nebo zálohy snímků (až 16 TB maximálního počtu serverů úložiště). Tyto zálohy umožňují obnovit server k určitému bodu v čase v rámci nakonfigurovaného období uchovávání záloh. Výchozí doba uchovávání záloh je sedm dnů. Volitelně ho můžete nakonfigurovat až 35 dní. Všechny zálohy se šifrují s využitím 256bitového šifrování AES.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforMySQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

9.2: Provedení kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Azure Database for MySQL automaticky vytváří zálohy serveru a ukládá je do místně redundantního nebo geograficky redundantního úložiště podle volby uživatele. Zálohy lze použít k obnovení serveru do určitého bodu v čase. Zálohování a obnovení jsou základní součástí jakékoli strategie kontinuity podnikových procesů, protože chrání data před náhodným poškozením nebo odstraněním.

Pokud k ukládání přihlašovacích údajů pro vaše instance Azure Database for MySQL používáte Azure Key Vault, zajistěte pravidelné automatizované zálohování klíčů.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforMySQL:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

9.3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Při Azure Database for MySQL se při obnovení vytvoří nový server ze záloh původního serveru. K dispozici jsou dva typy obnovení: obnovení k určitému bodu v čase a geografické obnovení. Obnovení k určitému bodu v čase je k dispozici s možností redundance zálohování a vytvoří nový server ve stejné oblasti jako původní server. Geografické obnovení je dostupné jenom v případě, že jste server nakonfigurovali pro geograficky redundantní úložiště a umožňuje obnovit server do jiné oblasti.

Odhadovaná doba obnovení závisí na několika faktorech, mezi které patří velikost databází, velikost transakčního protokolu, šířka pásma sítě a celkový počet obnovovaných databází ve stejné oblasti a ve stejnou dobu. Obvykle je doba obnovení kratší než 12 hodin.

Pravidelně testujte obnovení instancí Azure Database for MySQL.

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Azure Database for MySQL přebírá úplné, rozdílové zálohy a zálohy transakčních protokolů. Tyto zálohy umožňují obnovit server k určitému bodu v čase v rámci nakonfigurovaného období uchovávání záloh. Výchozí doba uchovávání záloh je sedm dnů. Volitelně ho můžete nakonfigurovat až 35 dní. Všechny zálohy se šifrují s využitím 256bitového šifrování AES. Ujistěte se, Key Vault je povolené obnovitelné odstranění.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo analýze použité k vydání výstrahy, stejně jako na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněný nebo neoprávněný účastník. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. K streamování výstrah do Služby Microsoft Sentinel můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace reakce na výstrahy zabezpečení

Pokyny: Použití funkce Automatizace pracovního postupu v Microsoft Defenderu pro Cloud k automatické aktivaci odpovědí prostřednictvím Logic Apps u výstrah zabezpečení a doporučení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a červené týmové cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky