Standardní hodnoty zabezpečení Azure pro Azure Synapse vyhrazený fond SQL (dříve SQL DW)

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Synapse vyhrazený fond SQL (dříve SQL DW). Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Synapse vyhrazený fond SQL.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Azure Synapse vyhrazený fond SQL (dříve SQL DW) a ty, pro které se doporučuje globální pokyny, byly vyloučeny. Pokud chcete zjistit, jak se Azure Synapse vyhrazený fond SQL (dříve SQL DW) úplně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný Azure Synapse vyhrazený fond SQL (dříve SQL DW).

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků Azure Synapse Analytics vytvořte nebo použijte existující virtuální síť. Ujistěte se, že všechny virtuální sítě Azure dodržují princip segmentace podniku, který odpovídá obchodním rizikům.

Způsobuje váš systém pro organizaci vyšší riziko? Pak tento systém izolujte ve své vlastní virtuální síti. Dostatečně zabezpečit virtuální síť pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Využijte Microsoft Defender pro cloudové adaptivní posílení zabezpečení sítě pro konfigurace NSG. Tyto konfigurace omezují porty a zdrojové IP adresy s odkazem na pravidla externího síťového provozu.

Na základě strategie segmentace aplikací a podnikových segmentací omezte nebo povolte provoz mezi interními prostředky v rámci pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací (například 3vrstvé aplikace) může být toto zpracování ve výchozím nastavení vysoce zabezpečeným odepřením.

Pomocí služby Microsoft Sentinel můžete zjistit použití starších nezabezpečených protokolů, například:

  • SSL/TLSv1
  • SMBv1
  • LM/NTLMv1
  • WDigest
  • Nepodepsané vazby LDAP
  • Slabé šifry v Protokolu Kerberos

Minimální nastavení verze protokolu TLS umožňuje zákazníkům zvolit, jakou verzi protokolu TLS používají datové sklady SQL. V současné době se podporuje protokol TLS 1.0, 1.1 a 1.2. Nastavení minimální verze protokolu TLS zajišťuje podporu novějších verzí protokolu TLS. Například volba protokolu TLS verze 1.1 znamená, že se přijímají pouze připojení s protokolem TLS 1.1 a 1.2. Připojení s protokolem TLS 1.0 jsou odmítnuta.

Chcete získat přístup k datovým skladům Azure Synapse Analytics z místního počítače? Pak se ujistěte, že brána firewall ve vaší síti a místním počítači umožňuje odchozí komunikaci na portu TCP 1433.

Pokud je možnost Odepřít přístup k veřejné síti nastavená na Ano, povolí se jenom připojení přes privátní koncové body. Pokud je toto nastavení "Ne" (výchozí), zákazníci se můžou připojit pomocí:

  • Veřejné koncové body s pravidly brány firewall založenými na PROTOKOLU IP nebo pravidly brány firewall založené na virtuální síti
  • Privátní koncové body pomocí Azure Private Link.

Toto chování je popsáno v přehledu přístupu k síti.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázán Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistíte, že k databázi Azure SQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0

NS-2: Propojení privátních sítí

Pokyny: S využitím Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) vytvořte privátní připojení mezi datovými centry Azure a místní infrastrukturou v prostředí pro kolokaci. Připojení ExpressRoute nepřecházejí přes veřejný internet. V porovnání s typickými internetovými připojeními nabízí připojení ExpressRoute:

  • Větší spolehlivost
  • Rychlejší rychlost
  • Nižší latence

Potřebujete použít vpn typu point-to-site a vpn typu site-to-site? Pak připojte místní zařízení nebo sítě k virtuální síti. Můžete použít libovolnou kombinaci těchto možností VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Provoz mezi partnerskými virtuálními sítěmi je privátní. Tento provoz se uchovává v páteřní síti Azure.

S Private Link se můžete připojit k serveru Azure SQL prostřednictvím privátního koncového bodu. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě. Správce SQL se může rozhodnout schválit nebo odmítnout připojení privátního koncového bodu. Správce může volitelně přidat krátkou textovou odpověď.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Připojení privátního koncového bodu v databázi Azure SQL by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: S Azure Private Link povolte privátní přístup k Azure Synapse Analytics z vašich virtuálních sítí bez přechodu na internet. Privátní přístup je další hloubková ochrana ověřování a zabezpečení provozu, které nabízí služby Azure.

Můžete také zakázat přístup k veřejné síti na Azure SQL serveru, který je hostitelem vašich datových skladů. Pokud je tato konfigurace povolená, umožňuje připojení pouze prostřednictvím privátních koncových bodů.

PolyBase a příkaz COPY se běžně používají k načtení dat do Azure Synapse Analytics z účtů Azure Storage. Připojení z PolyBase a příkazu COPY k účtu se ale může přerušit. V tomto scénáři přerušení omezuje účet služby Azure Storage přístup pouze na sadu podsítí virtuální sítě prostřednictvím:

  • Privátní koncové body
  • Koncové body služby
  • Brány firewall založené na PROTOKOLU IP

Pomocí koncových bodů služby Azure Virtual Network můžete poskytovat zabezpečený přístup k Azure Synapse Analytics. Azure Virtual Network používá optimalizovanou trasu přes páteřní síť Azure bez přechodu na internet.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Připojení privátního koncového bodu v databázi Azure SQL by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana prostředků Azure Synapse Analytics před útoky z externích sítí, včetně následujících:

  • Útoky DDoS (Distributed Denial of Service)
  • Útoky specifické pro aplikaci.
  • Nevyžádané, potenciálně škodlivé internetové přenosy.

Pomocí Azure Firewall chraňte aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Pokud chcete chránit prostředky před útoky DDoS, povolte ochranu před útoky DDoS úrovně Standard ve virtuálních sítích Azure. Pomocí programu Microsoft Defender for Cloud můžete zjišťovat rizika chybné konfigurace prostředků souvisejících se sítí.

Azure Synapse Analytics není určen ke spouštění webových aplikací. Proto ho nemusíte chránit před útoky na externí síť, které cílí na webové aplikace. Nemusíte konfigurovat žádná další nastavení ani nasazovat žádné další síťové služby.

Odpovědnost: Sdílené

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network, definujte řízení přístupu k síti pro skupiny zabezpečení sítě nebo brány Azure Firewall nakonfigurované pro vaše prostředky Azure Synapse Analytics. Při vytvářenípravidelch Zadejte název značky služby ve zdroji nebo cíli pravidla, který povoluje nebo zakazuje provoz odpovídající služby. Microsoft spravuje předpony adres, které značka služby zahrnuje. Microsoft pak automaticky aktualizuje značku služby při změně adres.

Pokud pro fond Azure Synapse SQL používáte koncový bod služby, vyžaduje se odchozí provoz do Azure SQL veřejných IP adres databáze. Otevřete skupiny zabezpečení sítě pro Azure SQL IP adres databáze, abyste umožnili připojení. Použití značek služby NSG pro Azure SQL Databáze tento požadavek vyplní.

Odpovědnost: Sdílené

NS-7: Secure Domain Name Service (DNS)

Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste zabránili běžným útokům, například:

  • Dangling DNS
  • Útoky na amplifikace DNS
  • Otrava DNS a falšování identity

Používáte Azure DNS jako autoritativní službu DNS? Potom pomocí Azure RBAC a zámků prostředků chraňte zóny a záznamy DNS před náhodnými nebo škodlivými úpravami.

Aliasy DNS můžete použít pro připojení k Azure SQL serveru, který obsahuje vaše datové sklady. Rozhraní PowerShell a rozhraní REST API přijímají volání pro vytváření a správu aliasů DNS pro název logického serveru SQL. Místo názvu serveru můžete použít alias DNS. Klientské programy můžou alias používat ve svých připojovacích řetězcích. Alias DNS poskytuje vrstvu překladu, která může přesměrovat klientské programy na různé servery. Tato vrstva vám ušetří potíže s hledáním a úpravou všech klientů a jejich připojovacích řetězců.

Když začnete vyvíjet klientské programy, požádejte je, aby ve svých připojovacích řetězcích používal alias DNS. Vlastnosti aliasu nastavíte na testovací verzi serveru. Později, když nový systém přejde do provozu v produkčním prostředí, aktualizujte vlastnosti aliasu tak, aby odkazovat na produkční server. Není nutná žádná změna klientských programů.

Odpovědnost: Sdílené

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Synapse Analytics používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, například:

    • portál Azure
    • Azure Storage
    • Virtuální počítač Azure (Linux a Windows)
    • Azure Key Vault
    • PaaS
    • Aplikace SaaS
  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zajištění zabezpečení Azure AD vysokou prioritou v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje skóre zabezpečení identity. Toto skóre vám pomůže vyhodnotit stav zabezpečení vaší identity v porovnání s doporučeními microsoftu k osvědčeným postupům. Pomocí skóre můžete posoudit, jak přesně konfigurace odpovídá doporučením osvědčených postupů. Pak pomocí skóre vylepšte stav zabezpečení.

Poznámka: Azure AD podporuje externí identity. Uživatelé bez účtu Microsoft se můžou přihlásit ke svým aplikacím a prostředkům pomocí své externí identity.

Pro vyhrazené fondy SQL (dříve SQL DW) Azure AD ověřování používá uživatele databáze s omezením k ověřování identit na úrovni databáze. S Azure AD se můžete připojit z SQL Server Management Studio pomocí univerzálního ověřování služby Active Directory, která zahrnuje vícefaktorové ověřování. Azure AD podporuje podobná připojení z nástrojů SQL Server Data Tools (SSDT) využívající interaktivní ověřování Active Directory.

Pro správu vyhrazených fondů SQL (dříve SQL DW) jsou k dispozici tři předdefinované role Azure RBAC:

  1. Přispěvatel databáze SQL umožňuje spravovat datové sklady SQL, ale nemá k nim přístup. Nemůžete spravovat zásady související se zabezpečením ani nadřazené SQL servery.

  2. SQL Security Manager umožňuje spravovat zásady související se zabezpečením sql serverů a datových skladů, ale ne přístup k nim.

  3. Přispěvatel SQL Server umožňuje spravovat sql servery a datové sklady, ale ne přístup k nim. Nemůžete spravovat jejich zásady související se zabezpečením.

Azure SQL také podporuje ověřování SQL. Pomocí této metody ověřování uživatel odešle jméno uživatelského účtu a přidružené heslo k navázání připojení. Toto heslo je uloženo na jednom ze dvou míst:

  • Hlavní databáze pro uživatelské účty, které jsou propojené s přihlášením.
  • Databáze obsahující uživatelské účty, které nejsou propojené s přihlášením.

Přihlášení je jeden účet v hlavní databázi, ke kterému může být propojený uživatelský účet v jedné nebo více databázích. Při přihlášení se přihlašovací údaje pro uživatelský účet ukládají s přihlášením.

Uživatelský účet je individuální účet v jakékoli databázi, která může nebo nemusí být propojená s přihlášením. S uživatelským účtem, který není propojený s přihlášením, se přihlašovací údaje ukládají s uživatelským účtem.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro SQL servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit databázových uživatelů a dalších služeb Microsoftu. AuditIfNotExists, zakázáno 1.0.0

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Synapse Analytics podporuje spravované identity pro své prostředky Azure. Používejte spravované identity s Azure Synapse Analytics místo vytváření instančních objektů pro přístup k jiným prostředkům. Azure Synapse Analytics se může nativně ověřovat ve službách Nebo prostředcích Azure, které podporují ověřování Azure AD. Toto ověřování provede prostřednictvím předdefinovaného pravidla udělení přístupu bez použití přihlašovacích údajů, které jsou pevně zakódované ve zdrojovém kódu nebo konfiguračních souborech.

Odpovědnost: Sdílené

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Synapse Analytics používá Azure Active Directory k zajištění správy identit a přístupu pro:

  • Prostředky Azure
  • Cloudové aplikace
  • Místní aplikace

Tato správa zahrnuje podnikové identity, jako jsou zaměstnanci a externí identity, například:

  • Partneři
  • Dodavatelů
  • Suppliers (Dodavatelé)

S tímto uspořádáním může jednotné přihlašování (SSO) spravovat a zabezpečit přístup k datům a prostředkům vaší organizace. Správa může nastat místně i v cloudu. Připojte všechny uživatele, aplikace a zařízení k Azure AD. Budete mít bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Sdílené

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Synapse Analytics může zákazníkům umožnit nasazení nebo spuštění následujících entit, které můžou mít identity nebo tajné kódy:

  • Kód
  • Konfigurace
  • Trvalá data

Implementujte skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v rámci těchto entit. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub použijte nativní funkci kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jiné formy tajných kódů v kódu.

Odpovědnost: Sdílené

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role pro Azure AD jsou globální správce a správce privilegovaných rolí:

  • Globální správce nebo správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD. Tato role také umožňuje přístup ke službám, které používají Azure AD identit.

  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a Azure AD Privileged Identity Management (PIM). Tato role také umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s určitými přiřazenými privilegovanými oprávněními, možná budete muset řídit další důležité role. Můžete také použít podobné ovládací prvky pro účet správce důležitých obchodních prostředků.

Omezte počet vysoce privilegovaných účtů nebo rolí. Chraňte tyto účty na vyšší úrovni. Uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.

Povolte privilegovaný přístup k prostředkům Azure za běhu (JIT) a Azure AD pomocí Azure AD PIM. JIT uděluje dočasná oprávnění k privilegovaným úkolům pouze v případě, že je uživatelé potřebují. PIM může také generovat výstrahy zabezpečení v případech, kdy je ve vaší organizaci Azure AD podezřelá nebo nebezpečná aktivita.

Vytvořte standardní provozní postupy týkající se použití vyhrazených účtů pro správu.

Při prvním nasazení Azure SQL zadejte přihlášení správce a přidružené heslo pro toto přihlášení. Tento účet pro správu se nazývá Správce serveru. Pokud chcete identifikovat účty správce databáze, otevřete Azure Portal. Pak přejděte na kartu vlastností serveru nebo spravované instance. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. Tato akce se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.

Můžete vytvářet další přihlášení a uživatele s vymezenými oprávněními správce. Tyto přihlašovací údaje a uživatelé se přidají do předdefinovaných rolí správce Azure SQL pro ověřování SQL a účty ověřování Azure AD.

Odpovědnost: Sdílené

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Abyste měli jistotu, že jsou účty Azure AD a jejich přístup platné, Azure Synapse Analytics tyto účty pravidelně používá k těmto účtům:

  • Správa svých prostředků
  • Kontrola uživatelských účtů
  • Přiřazení přístupu

Zkontrolujte pomocí Azure AD a kontrol přístupu:

  • Členství ve skupinách
  • Přístup k podnikovým aplikacím
  • Přiřazení rolí

Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Pomocí Azure AD PIM můžete vytvářet pracovní postupy sestavy kontroly přístupu. Tyto pracovní postupy usnadňují proces kontroly.

Můžete také nakonfigurovat Azure AD PIM tak, aby vás upozorňoval při vytváření nadměrného počtu účtů správce. Nebo nakonfigurujte Azure AD PIM tak, aby identifikoval účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Spravujte tyto uživatele samostatně.

Pokud používáte ověřování SQL, vytvořte v databázi uživatele databáze s omezením. Umístěte jednoho nebo více uživatelů databáze do vlastní role databáze. Použijte konkrétní oprávnění, která jsou vhodná pro danou skupinu uživatelů.

Vyhrazené fondy SQL (dříve SQL DW) můžete spravovat pomocí předdefinovaných rolí Azure RBAC. Dostupné role jsou:

  1. Přispěvatel databáze SQL. Tato role umožňuje spravovat databáze SQL, ale ne přístup k databázím SQL. Nemůžete také spravovat zásady související se zabezpečením ani nadřazené servery SQL.

  2. SQL Server Přispěvatel. Tato role umožňuje spravovat sql servery a databáze, ale ne přístup k nim nebo k jejich zásadám souvisejícím se zabezpečením.

  3. SQL Security Manager. Tato role umožňuje spravovat zásady související se zabezpečením serverů a databází SQL, ale ne přístup k nim.

Další informace najdete v následujících článcích:

Odpovědnost: Sdílené

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou velmi důležité pro zabezpečení citlivých rolí, například:

  • Správce
  • Vývojář
  • Operátor kritické služby

Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pokud chcete nasadit zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy, použijte:

  • Azure AD
  • Rozšířená ochrana před internetovými útoky v programu Microsoft Defender (ATP)
  • Microsoft Intune

Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat zabezpečenou konfiguraci, která zahrnuje:

  • Silné ověřování
  • Standardní hodnoty softwaru a hardwaru
  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících článcích:

Odpovědnost: Sdílené

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Synapse Analýza je integrovaná se službou Azure RBAC ke správě svých prostředků. Pomocí Azure RBAC můžete spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. K těmto rolím můžete přiřadit tyto role:

  • Uživatelé
  • Skupiny
  • Instanční objekty
  • Spravované identity

Pro určité prostředky existují předdefinované předdefinované role. Tyto role je možné inventarizované nebo dotazované prostřednictvím takových nástrojů, jako jsou:

  • Azure CLI
  • Azure PowerShell
  • portál Azure

Vždy omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup JIT (just-in-time) Azure AD PIM. Tento postup pravidelně zkontrolujte.

K udělení oprávnění použijte předdefinované role. V případě potřeby vytvořte pouze vlastní role.

Při prvním nasazení Azure SQL zadejte přihlášení správce a přidružené heslo pro toto přihlášení. Tento účet pro správu se nazývá Správce serveru. Pokud chcete identifikovat účty správce databáze, otevřete Azure Portal. Pak přejděte na kartu vlastností serveru nebo spravované instance. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. Tato akce se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.

Pokud používáte ověřování SQL, vytvořte v databázi uživatele databáze s omezením. Umístěte jednoho nebo více uživatelů databáze do předdefinované nebo vlastní databázové role. Přidejte konkrétní oprávnění pro danou roli, která jsou vhodná pro daného uživatele nebo skupinu uživatelů.

Odpovědnost: Sdílené

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Máte scénář podpory, ve kterém Microsoft potřebuje získat přístup k datům souvisejícím s databází Azure SQL ve vyhrazeném fondu SQL? S Azure Customer Lockboxem je k dispozici rozhraní, které vám umožní zkontrolovat, schválit nebo odmítnout žádosti o přístup k datům.

Máte scénář podpory, ve kterém Microsoft potřebuje přístup k zákaznickým datům? Azure Synapse Analytics podporuje Customer Lockbox a poskytuje rozhraní pro kontrolu, schválení nebo odmítnutí žádostí o přístup k datům zákazníků.

Odpovědnost: Sdílené

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Zjišťování, klasifikace a označování citlivých dat Pak navrhněte příslušné ovládací prvky, aby se zajistilo, že technologické systémy vaší organizace bezpečně ukládají, zpracovávají a přenášejí citlivé informace.

Pro citlivé informace v dokumentech Office použijte Azure Information Protection (a související nástroj pro kontrolu):

  • Azure
  • Lokálně
  • Microsoft 365
  • Další umístění

S pomocí Azure SQL Information Protection klasifikujte a označujte informace uložené v databázích Azure SQL.

Zjišťování a klasifikace dat je integrované do Azure SQL a podporuje následující funkce:

  • Zjišťování a doporučení Klasifikační modul prohledá databázi a identifikuje sloupce, které obsahují potenciálně citlivá data. Pak vám poskytne snadný způsob, jak zkontrolovat a použít doporučenou klasifikaci prostřednictvím Azure Portal.

  • Označování. Jak u sloupců trvale použijete popisky klasifikace citlivosti? Použijte nové atributy metadat, které byly přidány do databázového stroje SQL Server. Tato metadata pak můžete použít pro scénáře auditování a ochrany založené na citlivosti.

  • Citlivost sady výsledků dotazu Citlivost sady výsledků dotazu se vypočítá v reálném čase pro účely auditování.

  • Viditelnost. Stav klasifikace databáze můžete zobrazit v podrobném řídicím panelu v Azure Portal. Stáhněte si sestavu ve formátu Excelu pro účely dodržování předpisů a auditování a další potřeby.

Další informace najdete v následujícím článku:

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Citlivá data v databázích SQL by se měla klasifikovat Microsoft Defender for Cloud monitoruje výsledky zjišťování a klasifikace dat pro databáze SQL a poskytuje doporučení ke klasifikaci citlivých dat v databázích pro lepší monitorování a zabezpečení. AuditIfNotExists, zakázáno 3.0.0-preview

DP-2: Ochrana citlivých dat

Pokyny: Použití Azure RBAC ke správě přístupu k Azure SQL databázím ve fondu Synapse SQL Díky integrované roli Azure RBAC v Sql Security Manageru můžete spravovat zásady související se zabezpečením sql serverů a databází, ale ne přístup k nim.

Autorizaci řídí členství v rolích databáze uživatelského účtu a oprávnění na úrovni objektů. Osvědčeným postupem je udělit uživatelům nejnižší potřebná oprávnění.

Použijte funkci zjišťování a klasifikace dat SQL Azure Synapse. V Azure Portal můžete také nastavit zásadu dynamického maskování dat (DDM). Modul doporučení DDM označí určitá pole z vaší databáze. Tato pole jsou potenciálně citlivá pole, která mohou být vhodným kandidátem pro maskování.

Šifrováním neaktivních uložených dat pomáhá transparentní šifrování dat chránit Azure Synapse SQL před hrozbou škodlivé offline aktivity. Bez nutnosti změn v aplikaci transparentní šifrování dat v reálném čase provede šifrování a dešifrování dat v reálném čase:

  • Databáze
  • Přidružené zálohy
  • Soubory transakčního protokolu

Výchozím nastavením transparentního šifrování dat v Azure je ochrana šifrovacího klíče dat (DEK) pomocí integrovaného certifikátu serveru. Místo toho můžete použít transparentní šifrování dat spravované zákazníkem. Transparentní šifrování dat spravované zákazníkem se také označuje jako podpora funkce Přineste si vlastní klíč (BYOK) pro transparentní šifrování dat. V tomto scénáři je ochrana transparentním šifrováním dat, která šifruje klíč DEK spravovaný zákazníkem. Tento asymetrický klíč je uložený ve vlastnictví zákazníka a spravovaném Key Vault Azure. (Azure Key Vault je cloudový systém pro správu externích klíčů Azure.) Asymetrický klíč nikdy neopustí trezor klíčů.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro nechráněné spravované instance SQL by měl být povolený Microsoft Defender for SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Transparentní šifrování dat v databázích SQL by mělo být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Monitorujte neoprávněný přenos dat do umístění, která nejsou mimo viditelnost a řízení podniku. Tento proces obvykle zahrnuje monitorování neobvyklých aktivit (velkých nebo neobvyklých přenosů), které by mohly znamenat neoprávněnou exfiltraci dat.

V programu Microsoft Defender for Storage a Microsoft Defenderu for SQL můžete upozornit na neobvyklý přenos informací. Tyto anomálie můžou znamenat neoprávněné přenosy citlivých informací.

Azure Information Protection (AIP) poskytuje možnosti monitorování informací, které jsou klasifikovány a označeny.

V případě potřeby k zajištění ochrany před únikem informací (DLP) zabráněte exfiltraci dat pomocí řešení ochrany před únikem informací na základě hostitele k vynucení detektiv nebo preventivních kontrol.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Microsoft Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, chraňte přenášená data před útoky mimo pásma (například zachytávání provozu) pomocí šifrování. Ujistěte se, že útočníci nemohou data snadno číst ani upravovat.

Azure Synapse Analytics podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo novějšího.

I když šifrování dat při přenosu je volitelné pro provoz v privátních sítích, je důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že všechny klienty, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS verze 1.2 nebo novější. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zakažte zastaralé verze těchto entit:

  • SSL
  • TLS
  • Verze a protokoly SSH
  • Slabé šifry

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Azure Synapse Analytics šifruje neaktivní uložená data, aby se chránila před útoky mimo pásma (jako je přístup k podkladovému úložišti) pomocí šifrování. Tento postup pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat můžete implementovat další šifrování neaktivních uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje vaše šifrovací klíče. Azure vám ale také umožňuje spravovat vlastní klíče (klíče spravované zákazníkem) pro určité služby Azure, aby splňovaly zákonné požadavky.

Šifrování neaktivních uložených dat pomáhá transparentní šifrování dat chránit Azure Synapse SQL před hrozbou škodlivé offline aktivity. Bez nutnosti změn v aplikaci transparentní šifrování dat v reálném čase šifrování a dešifrování:

  • Databáze
  • Přidružené zálohy
  • Soubory transakčního protokolu

V Azure je ve výchozím nastavení transparentního šifrování dat šifrovací klíč chráněný integrovaným certifikátem serveru. Můžete místo toho použít transparentní šifrování dat spravovaný zákazníkem nebo podporu BYOK pro transparentní šifrování dat. Ochrana transparentním šifrováním dat, která zašifruje DEK, je asymetrický klíč spravovaný zákazníkem v tomto scénáři. Tento asymetrický klíč je uložený ve vlastnictví zákazníka a spravovaném azure Key Vault a nikdy neopustí trezor klíčů.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje zvýšenou transparentnost a kontrolu nad ochranu transparentním šifrováním dat, vyšší zabezpečení externí službou podporovanou HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. AuditIfNotExists, Zakázáno 1.0.2
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentního šifrování dat, vyšší zabezpečení pomocí externí služby založené na HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. AuditIfNotExists, Zakázáno 2.0.1
Transparentní šifrování dat v databázích SQL by mělo být povolené. Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, Zakázáno 2.0.0

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmy zabezpečení mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení. Tato oprávnění umožňují týmům monitorovat bezpečnostní rizika pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního týmu zabezpečení nebo místního týmu. Toto rozhodnutí závisí na tom, jak jsou strukturované odpovědnosti týmu zabezpečení. Musíte ale vždy agregovat přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít obecně pro celého tenanta (kořenovou skupinu pro správu) nebo vymezenou pro skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu úloh a služeb může být potřeba další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmy zabezpečení mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, například k Azure Synapse Analytics. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům. Inventář je také nutný jako vstup pro průběžné vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Pak jim přiřaďte přístup pro čtení ke všem prostředkům Azure Synapse Analytics. Tuto akci můžete provést s jedním přiřazením role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o softwaru na Virtual Machines. V Azure Portal jsou k dispozici tyto informační položky:

  • Název softwaru
  • Verze
  • Publisher
  • Čas aktualizace

Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta. Potom přeneste protokoly událostí Systému Windows do pracovního prostoru služby Log Analytics.

Azure Synapse Analytics neumožňuje spuštění aplikace nebo instalace softwaru na svých prostředcích.

Odpovědnost: Sdílené

AM-3: Používání jenom schválených služeb Azure

Pokyny: Použití Azure Policy k auditování a omezení služeb, které uživatelé můžou ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Azure Monitor můžete také použít k vytvoření pravidel pro aktivaci výstrah při zjištění neschválené služby.

Odpovědnost: Sdílené

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Nepoužitelné; Azure Synapse Analytics nenasazuje žádné výpočetní prostředky orientované na zákazníky. Neumožňuje zákazníkům instalovat aplikace do služby.

Odpovědnost: Sdílené

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Pro vaše prostředky Azure Synapse Analytics použijte integrovanou funkci detekce hrozeb v programu Microsoft Defender pro cloud a povolte Microsoft Defender. Microsoft Defender for Azure Synapse Analytics poskytuje další vrstvu bezpečnostních funkcí. Detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům Azure Synapse Analytics nebo jejich zneužití.

Můžete definovat zásady auditování pro konkrétní databázi. Nebo ho definujte jako výchozí zásadu serveru v Azure (která hostuje Azure Synapse). Zásady serveru platí pro všechny existující a nově vytvořené databáze na serveru.

Pokud povolíte auditování serveru, bude vždy platit pro databázi. Databáze bude auditována bez ohledu na nastavení auditování databáze.

Když povolíte auditování, můžete auditování napsat do protokolu v rámci:

  • Váš účet Azure Storage
  • Pracovní prostor služby Log Analytics
  • Event Hubs

Přesměrujte všechny protokoly z Azure Synapse Analytics na siEM, které můžete použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních výstrah, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojem dat protokolu, agentů nebo jiných dat.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Microsoft Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje protokoly uživatelů uvedené níže. Pro sofistikovanější případy použití monitorování a analýzy můžete zobrazit protokoly v Azure AD generování sestav. Nebo můžete protokoly integrovat s Azure Monitorem, Microsoft Sentinelem nebo jinými nástroji PRO SIEM nebo monitorováním.

  • Přihlášení. Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivit přihlašování uživatelů.

  • Protokoly auditu Protokoly auditu poskytují sledovatelnost všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci Azure AD, jako je přidání nebo odebrání:

    • Uživatelé
    • Aplikace
    • Skupiny
    • Role
    • Zásady
  • Rizikové přihlášení. Rizikový přihlášení označuje pokus o přihlášení, který mohl provést někdo, kdo není oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika. Rizikový uživatel označuje uživatelský účet, který mohl být ohrožen.

Microsoft Defender for Cloud může také aktivovat upozornění na určité podezřelé aktivity. Mezi tyto aktivity patří nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení:

  • Jednotlivé výpočetní prostředky Azure (virtuální počítače, kontejnery nebo app service)
  • Datové prostředky (DATABÁZE SQL a úložiště)
  • Vrstvy služeb Azure

Díky této funkci máte přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Microsoft Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Pro analýzu zabezpečení povolte a shromážděte:

  • Protokoly prostředků NSG
  • Protokoly toku NSG
  • protokoly Azure Firewall
  • protokoly Web Application Firewall (WAF)

K podpoře použijte protokoly:

  • Vyšetřování incidentů
  • Proaktivní vyhledávání hrozeb
  • Generování výstrah zabezpečení

Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics. Pak pomocí Analýzy provozu můžete poskytovat přehledy.

Azure Synapse Analytics protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníků. Povolte možnosti toku sítě v rámci nasazených nabídek prostředků.

Pro Azure Synapse SQL použijte rozšířenou ochranu před internetovými útoky (ATP). ATP detekuje neobvyklé aktivity, které označují neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. ATP může aktivovat různé výstrahy, například:

  • "Potenciální injektáž SQL"
  • "Přístup z neobvyklého umístění."

ATP je součástí nabídky Rozšířené zabezpečení dat (ADS). Je přístupný a spravován prostřednictvím centrálního portálu SQL ADS.

Shromážděte protokoly dotazů DNS, abyste mohli korelovat další síťová data. Implementujte řešení třetích stran z Azure Marketplace pro protokolování DNS podle potřeby vaší organizace.

Odpovědnost: Sdílené

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST a DELETE) pro vaše prostředky Azure Synapse Analytics. Protokoly aktivit neobsahují operace čtení (GET). Při řešení potíží můžete najít chybu pomocí protokolů aktivit. Nebo pomocí protokolů můžete monitorovat, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro Azure Synapse Analytics. Pomocí programu Microsoft Defender for Cloud a Azure Policy povolte shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a forenzní cvičení.

Azure Synapse Analytics také vytváří protokoly auditu zabezpečení. Povolte tyto protokoly auditu ke sledování událostí databáze. Tyto události můžete napsat do protokolu auditu v rámci:

  • Váš účet úložiště Azure
  • Pracovní prostor služby Log Analytics
  • Event Hubs

Definujte zásady auditování pro konkrétní databázi. Nebo ho definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL).

Rozšířená ochrana před internetovými útoky pro Azure Synapse analytics SQL Server detekuje neobvyklé aktivity. Tyto aktivity mohou znamenat neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Rozšířená ochrana před internetovými útoky je součástí nabídky Microsoft Defenderu pro SQL. Tato nabídka je jednotný balíček pro pokročilé funkce zabezpečení SQL. Rozšířenou ochranu před internetovými útoky můžete spravovat prostřednictvím centrálního portálu Microsoft Defender pro SQL.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování na SQL Serveru by mělo být povolené. Auditování SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, Zakázáno 2.0.0

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované ukládání a analýza protokolování pro povolení korelace Pro každý zdroj protokolu přiřaďte:

  • Vlastník dat
  • Pokyny k přístupu
  • Umístění úložiště
  • Jaké nástroje se používají ke zpracování a přístupu k datům
  • Požadavky na uchovávání dat

Integrace protokolů aktivit Azure do centrálního protokolování Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných pomocí:

  • Zařízení koncových bodů
  • Síťové prostředky
  • Jiné systémy zabezpečení

V Azure Monitoru můžete pomocí pracovních prostorů Log Analytics dotazovat a provádět analýzy. Pak používejte účty Azure Storage pro dlouhodobé a archivní úložiště.

Také povolte a připojte data do služby Microsoft Sentinel nebo do siem jiného výrobce.

Mnoho organizací zvolí Microsoft Sentinel pro "horká" data, která se často používají. Tyto organizace zvolí Azure Storage pro "studená" data, která se používají méně často.

Azure Synapse Analytics sleduje databázové události. Zapíše tyto události do protokolu auditu v jedné z těchto entit:

  • Váš účet úložiště Azure
  • Pracovní prostor služby Log Analytics
  • Event Hubs

Tyto protokoly auditu vám pomůžou udržovat dodržování právních předpisů a porozumět aktivitě databáze. Díky protokolům získáte také přehled o nesrovnalostech a anomáliích, které by mohly znamenat obchodní obavy nebo podezření na porušení zabezpečení. U aplikací, které můžou běžet na Azure Synapse Analytics, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.

Odpovědnost: Sdílené

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Máte nějaké účty úložiště nebo pracovní prostory služby Log Analytics, které se používají k ukládání protokolů Azure Synapse Analytics? Pak nastavte dobu uchovávání protokolů podle předpisů vaší organizace pro dodržování předpisů.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Servery SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování vašeho SQL Server na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování zákonných standardů. AuditIfNotExists, zakázáno 3.0.0

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Nelze použít; Azure Synapse Analytics nepodporuje konfiguraci vlastních zdrojů synchronizace času.

služba Azure Synapse Analytics spoléhá na zdroje synchronizace času Microsoftu. Není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Sdílené

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: S definicí podrobného plánu v Azure Blueprints automatizujte nasazení a konfiguraci služeb a aplikačních prostředí, včetně těchto:

  • Šablony Azure Resources Manageru
  • Ovládací prvky Azure RBAC
  • Zásady

Auditování pro Azure Synapse Analytics sleduje databázové události. Zapíše tyto události do protokolu auditu v jedné z následujících entit:

  • Váš účet úložiště Azure
  • Pracovní prostor služby Log Analytics
  • Event Hubs

Definujte zásadu auditování pro konkrétní databázi. Nebo ho definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL pro Azure Synapse). Microsoft Defender poskytuje sadu pokročilých funkcí zabezpečení SQL, včetně posouzení ohrožení zabezpečení SQL a rozšířené ochrany před internetovými útoky.

Nastavte upozornění pro databáze v Azure Synapse Analytics pomocí Azure Portal.

Odpovědnost: Sdílené

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defenderu pro cloud monitorujte standardní hodnoty konfigurace. Díky efektům Azure Policy [Odepřít] a [DeployIfNotExists] vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.

Definujte zásady auditování SQL pro konkrétní databázi. Nebo ho definujte jako výchozí zásady serveru v Azure (které hostuje vyhrazené fondy SQL). Výchozí zásady auditování zahrnují všechny akce a sadu skupin akcí. Akce a skupiny akcí budou auditovat:

  • Všechny dotazy a uložené procedury se spouštějí v databázi.
  • Úspěšné a neúspěšné přihlášení

Další informace najdete v následujících článcích:

Odpovědnost: Sdílené

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: S Microsoft Defenderem pro cloud a Azure Policy vytvořte zabezpečené konfigurace pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Odpovědnost: Zákazník

PV-6: Posouzení ohrožení zabezpečení softwaru

Pokyny: Společnost Microsoft v podkladových systémech, které podporují Azure Synapse Analytics, má správu ohrožení zabezpečení.

Odpovědnost: Microsoft

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení. Monitorování výsledků kontroly posouzení ohrožení zabezpečení a doporučení pro nápravu ohrožení zabezpečení databáze AuditIfNotExists, zakázáno 4.0.0
Posouzení ohrožení zabezpečení by mělo být povolené na SQL Managed Instance Auditujte každou SQL Managed Instance, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by mělo být povolené posouzení ohrožení zabezpečení. Audit Azure SQL servery, které nemají povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 2.0.0

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby proveďte penetrační testování nebo červené týmové aktivity na vašich prostředcích Azure. Ujistěte se, že opravíte všechna kritická zjištění zabezpečení.

Pokud chcete zajistit, aby testy průniku neporušovaly zásady Microsoftu, postupujte podle pravidel Microsoft Cloud Penetračního testování zapojení. Použití strategie Microsoftu a provádění průniku red Teamingu a živého webu otestujte v cloudu spravovaném Microsoftem:

  • Infrastruktura
  • Služby
  • Aplikace

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana cloudové služby nebo jejích prostředků pomocí centrálně spravovaného moderního antimalwarového softwaru Použijte centrálně spravované antimalwarové řešení koncového bodu. Ujistěte se, že může provádět pravidelné kontroly v reálném čase.

Microsoft Defender for Cloud může automaticky:

  • Identifikujte použití několika oblíbených antimalwarových řešení pro vaše virtuální počítače.
  • Nahlašte stav spuštěné služby Endpoint Protection.
  • Proveďte doporučení.

Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarem pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany. K detekci malwaru nahraných do účtů Azure Storage použijte Microsoft Defender for Cloud Threat Detection for Cloud.

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Snímek datového skladu vytvoří bod obnovení. Tento bod obnovení můžete použít k obnovení nebo zkopírování datového skladu do předchozího stavu. Vzhledem k tomu, že vyhrazený fond SQL je distribuovaný systém, snímek datového skladu obsahuje mnoho souborů umístěných v úložišti Azure. Snímky zaznamenávají přírůstkové změny dat uložených ve vašem datovém skladu. Snímky vyhrazeného fondu SQL se automaticky pořídí během dne. Tyto snímky vytvářejí body obnovení, které jsou k dispozici po dobu sedmi dnů. (Toto období uchovávání nelze změnit.) Fond SQL podporuje 8hodinový cíl bodu obnovení (RPO). V primární oblasti můžete datový sklad obnovit z libovolného snímku během posledních sedmi dnů. Snímky můžete v případě potřeby aktivovat také ručně.

Pomocí uživatelem definovaných bodů obnovení ručně aktivujte snímky. Tato akce vytvoří body obnovení datového skladu před a po velkých změnách. Tato funkce zajišťuje, aby body obnovení byly logicky konzistentní. Konzistence poskytuje větší ochranu dat, pokud dojde k přerušení úloh nebo chybám uživatelů, což vede k rychlému obnovení.

Uživatelem definované body obnovení jsou k dispozici sedm dní a automaticky se odstraní vaším jménem. Dobu uchovávání uživatelem definovaných bodů obnovení nemůžete změnit. 42 uživatelsky definovaných bodů obnovení je zaručeno v libovolném časovém okamžiku. Tyto body obnovení musí být odstraněny před vytvořením jiného bodu obnovení. Snímky můžete aktivovat k vytvoření uživatelem definovaných bodů obnovení prostřednictvím PowerShellu nebo Azure Portal.

Geografická záloha se vytvoří jednou denně do spárovaného datového centra. Cíl bodu obnovení pro geografické obnovení je 24 hodin. Geografickou zálohu můžete obnovit na server v jiné oblasti, kde je podporovaný vyhrazený fond SQL. Geografická záloha umožňuje obnovit datový sklad, pokud nemáte přístup k bodům obnovení v primární oblasti. Pokud pro vyhrazený fond SQL nepotřebujete geografické zálohy, můžete je zakázat. Tato akce snižuje náklady na úložiště zotavení po havárii.

Pokud k šifrování DEK používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: S body obnovení ve vyhrazeném fondu SQL obnovte nebo zkopírujte datový sklad do předchozího stavu v primární oblasti. K obnovení do jiné geografické oblasti použijte geograficky redundantní zálohy datového skladu. Snímky jsou integrovanou funkcí, která vytváří body obnovení. Tuto funkci nemusíte povolit. Pro vytvoření bodu obnovení však ponechte vyhrazený fond SQL v aktivním stavu.

Co se stane po šifrování vyhrazeného fondu SQL pomocí transparentního šifrování dat pomocí klíče z Key Vault? Transparentní šifrování dat také šifruje všechny nově vygenerované zálohy se stejnou ochranou transparentním šifrováním dat. Pokud se ochrana transparentním šifrováním dat změní, staré zálohy vyhrazeného fondu SQL se neaktualizují, aby používaly nejnovější ochranu transparentním šifrováním dat.

Jak se připravíte na obnovení zálohy, která byla šifrovaná pomocí ochrany transparentním šifrováním dat z Key Vault? Ujistěte se, že je pro cílový server dostupný materiál klíče. Zachovat všechny staré verze ochrany transparentním šifrováním dat v Key Vault, aby bylo možné obnovit vyhrazené zálohy fondu SQL.

Odpovědnost: Sdílené

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: S vyhrazenými body obnovení fondu SQL obnovte nebo zkopírujte datový sklad do předchozího stavu v primární oblasti. K obnovení do jiné geografické oblasti použijte geograficky redundantní zálohy datového skladu.

Když zahodíte vyhrazený fond SQL, vytvoří se konečný snímek a uloží se po dobu sedmi dnů. Vyhrazený fond SQL můžete obnovit do konečného bodu obnovení vytvořeného při odstranění. Pokud je vyhrazený fond SQL vyřazený v pozastaveném stavu, nevybere se žádný snímek. V tomto scénáři vytvořte před vyřazením vyhrazeného fondu SQL bod obnovení definovaný uživatelem.

Pravidelně se ujistěte, že můžete obnovit klíče spravované zákazníkem, které se zálohují.

Odpovědnost: Sdílené

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že můžete zabránit ztrátě klíčů a obnovit je. Povolení obnovitelného odstranění a ochrany před vymazáním v Azure Key Vault Tato akce chrání klíče před náhodným nebo škodlivým odstraněním.

Odpovědnost: Sdílené

Další kroky