Standardní hodnoty zabezpečení Azure pro pracovní prostor Synapse Analytics

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 do pracovního prostoru Synapse Analytics. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro pracovní prostor Synapse Analytics.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky se nevztahují na pracovní prostor Synapse Analytics a ty, pro které se doporučuje doslovné doslovné pokyny, byly vyloučeny. Pokud chcete zjistit, jak se pracovní prostor Synapse Analytics kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení pracovního prostoru Synapse Analytics.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků pracovního prostoru Azure Synapse vytvořte nebo použijte existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který je v souladu s obchodními riziky. Jakýkoli systém, který může mít vyšší riziko pro organizaci, by měl být izolovaný ve své vlastní virtuální síti a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Pomocí Azure Security Center adaptivního posílení zabezpečení sítě doporučte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy na základě odkazu na pravidla externího síťového provozu.

Azure Synapse Analytics poskytuje pracovní prostor spravovaného Virtual Network. Jedná se o skladovou položku pracovního prostoru Synapse, která je přidružená k Virtual Network spravované Azure Synapse. Spravované privátní koncové body můžete vytvořit jenom v pracovním prostoru, který má spravovaný pracovní prostor, Virtual Network k němu přidružený.

Na základě strategie segmentace aplikací a podniků omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací (například 3vrstvé aplikace) to může být ve výchozím nastavení vysoce zabezpečené odepření.

Spravovaný pracovní prostor Virtual Network umožňuje příchozím pravidlům skupiny zabezpečení sítě ve vašich vlastních virtuálních sítích povolit, aby provoz správy Azure Synapse vstup do vašeho Virtual Network. Kromě toho nemusíte vytvářet podsíť pro clustery Spark na základě zatížení ve špičce.

Azure Sentinel slouží ke zjišťování použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds a slabé šifry v Protokolu Kerberos.

Synapse SQL v Azure Synapse Analytics umožňuje připojení pomocí všech verzí protokolu TLS. V Azure Synapse Analytics nelze nastavit minimální verzi protokolu TLS pro Synapse SQL. Jiné funkce Synapse ve výchozím nastavení používají protokol TLS 1.2.

Ujistěte se, že brána firewall ve vaší síti i na místním počítači umožňuje pro funkci Synapse Studio odchozí komunikaci na portech TCP 80, 443 a 1443. Pro Synapse Studio je také potřeba povolit odchozí komunikaci na portu UDP 53. Pokud se chcete připojovat pomocí nástrojů, jako jsou aplikace SSMS nebo Power BI, je potřeba povolit odchozí komunikaci na portu TCP 1433.

Nastavení brány firewall na portálu Azure Synapse může blokovat veškeré připojení k veřejné síti.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k databázi Azure SQL bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0

NS-2: Propojení privátních sítí

Pokyny: Použití Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Připojení privátního koncového bodu v databázi Azure SQL by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Spravované privátní koncové body můžete vytvořit z pracovního prostoru Azure Synapse pro přístup ke službám Azure (například Azure Storage nebo Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure.

Pomocí Azure Private Link povolte privátní přístup k pracovnímu prostoru Azure Synapse z vašich virtuálních sítí bez přechodu k internetu.

Privátní přístup je další hloubková ochrana ověřování a zabezpečení provozu nabízené službami Azure.

Existují dva kroky pro připojení k Synapse Studio pomocí privátních propojení. Nejprve musíte vytvořit prostředek centra privátního propojení. Za druhé musíte vytvořit privátní koncový bod z vaší virtuální sítě Azure do tohoto centra privátního propojení. Pomocí privátních koncových bodů pak můžete bezpečně komunikovat s Synapse Studio. Privátní koncové body musíte integrovat s řešením DNS, ať už místním řešením, nebo s Azure Privátní DNS.

Pomocí koncových bodů služby Azure Virtual Network můžete zajistit zabezpečený přístup k pracovnímu prostoru Azure Synapse prostřednictvím optimalizované trasy přes páteřní síť Azure bez přechodu na internet.

Privátní přístup je další hloubková ochrana ověřování a zabezpečení provozu nabízené službami Azure.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana prostředků pracovního prostoru Azure Synapse před útoky z externích sítí, včetně distribuovaných útoků DDoS (Denial of Service), útoků specifických pro aplikace a nevyžádaných a potenciálně škodlivých internetových přenosů. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte své prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte standardní ochranu DDoS. Pomocí Azure Security Center můžete zjistit rizika chybná konfigurace prostředků souvisejících se sítí.

Azure Synapse Pracovní prostor není určený ke spouštění webových aplikací a nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasadíte další síťové služby, které ho chrání před útoky na externí sítě zaměřené na webové aplikace.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Doprovodné materiály: Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste zmírnit běžné útoky, jako jsou zpošlechtění DNS, útoky na amplifikace DNS, otravy DNS a falšování identity atd.

Pokud se Azure DNS používá jako vaše autoritativní služba DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Synapse Pracovní prostor používá Jako výchozí službu správy identit a přístupu službu Azure Active Directory (Azure AD). Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Virtuální počítač Azure (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.
  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením microsoftu k osvědčeným postupům. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí externí identity.

Uživatelé s rolemi vlastníka nebo přispěvatele Azure (Azure RBAC) ve skupině prostředků budou moct spravovat vyhrazené fondy SQL, fondy Sparku a prostředí Integration Runtime v Synapse. Kromě toho synapse RBAC rozšiřuje možnosti Azure RBAC a řídí, kdo může číst nebo publikovat artefakty kódu, spouštět kód, přistupovat k propojeným službám a monitorovat nebo zrušit provádění úloh.

Azure AD ověřování používá uživatele databáze nebo uživatele na úrovni fondu k ověřování identit na úrovni databáze pro fondy SQL v Azure Synapse Analytics. Synapse také podporuje ověřování SQL pro fondy SQL. Pomocí této metody ověřování uživatel odešle uživatelské jméno účtu a přidružené heslo k navázání připojení. Tato hesla se ukládají v hlavní databázi pro uživatelské účty propojené s přihlášením nebo v databázi obsahující uživatelské účty nepropojené s přihlášením.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery. Auditování zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu. AuditIfNotExists, Zakázáno 1.0.0

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Synapse Pracovní prostor podporuje spravované identity pro své prostředky Azure. Používejte spravované identity s pracovním prostorem Azure Synapse místo vytváření instančních objektů pro přístup k jiným prostředkům. Azure Synapse Pracovní prostor se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD prostřednictvím předdefinovaného pravidla udělení přístupu bez použití přihlašovacích údajů pevně zakódovaných ve zdrojových nebo konfiguračních souborech.

Azure Synapse Analytics používá spravovanou identitu k integraci kanálů.

Azure Synapse Pracovní prostor doporučuje použít Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku, abyste mohli nakonfigurovat instanční objekty pomocí přihlašovacích údajů certifikátu a vrátit se do tajných kódů klienta. V obou případech je možné azure Key Vault použít ve spojení s identitami spravovanými Azure, aby prostředí runtime (například funkce Azure) mohl načíst přihlašovací údaje z trezoru klíčů.

Azure Synapse Analytics podporuje klíče spravované zákazníkem (CMK) pro šifrování. Toto šifrování používá klíče generované v Azure Key Vault.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Synapse Pracovní prostor používá Azure Active Directory k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé. To umožňuje jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Synapse Analytics může zákazníkům umožnit nasazení nebo spuštění následujících entit, které můžou mít identity nebo tajné kódy:

  • Kód
  • Konfigurace
  • Trvalá data

Implementujte skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v rámci těchto entit. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault. Pro GitHub použijte nativní funkci kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jiné formy tajných kódů v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role pro Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce:

  • Globální správce / správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD a službám, které používají Azure AD identity.
  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s určitými přiřazenými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také chtít použít podobné ovládací prvky na účet správce důležitých obchodních prostředků.

Měli byste omezit počet vysoce privilegovaných účtů nebo rolí a chránit tyto účty na vyšší úrovni. Uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.

Pomocí Azure AD PIM můžete povolit privilegovaný přístup k prostředkům Azure za běhu (JIT) a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

pracovní prostor Azure Synapse má tyto vysoce privilegované účty:

  • Vlastník Azure ve skupině prostředků
  • Přispěvatel Azure ve skupině prostředků
  • Přispěvatel dat objektů blob služby Storage u kontejneru úložiště ADLS g2 přidruženého k Synapse
  • Správce Synapse
  • Správce Synapse SQL
  • Správce Synapse Sparku

Vytvořte standardní provozní postupy týkající se použití vyhrazených účtů pro správu.

Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet pro správu se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu přehledu pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce, to je potřeba, pokud chcete povolit ověřování Azure Active Directory.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Synapse Pracovní prostor používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, kontrole uživatelských účtů a přiřazení přístupu pravidelně, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontrol přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestav kontroly přístupu, abyste usnadnili proces kontroly.

Kromě toho je možné Azure AD PIM nakonfigurovat tak, aby vás upozorňovalo na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Azure Synapse pracovní prostory vyžadují uživatele v rolích vlastníka Azure nebo Přispěvatele Azure ve skupině prostředků, aby mohli řídit správu svých vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru přístup přispěvatele dat objektů blob úložiště k kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse. Při použití ověřování SQL vytvořte uživatele databáze s omezením ve fondech SQL. Ujistěte se, že jeden nebo více uživatelů databáze umístíte do vlastní databázové role s konkrétními oprávněními odpovídajícími dané skupině uživatelů.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou velmi důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune. Zabezpečené pracovní stanice je možné centrálně spravovat za účelem vynucení zabezpečené konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Synapse pracovní prostor je integrovaný s řízením přístupu na základě role v Azure (Azure RBAC) ke správě prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky existují předem definované předdefinované role a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. Tento postup doplňuje přístup Azure AD Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.

Azure Synapse Analytics vyžaduje, aby uživatelé v rolích vlastníka Azure nebo Přispěvatele Azure ve skupině prostředků mohli řídit správu svých vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru přístup přispěvatele dat objektů blob úložiště k kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse.

Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet pro správu se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu přehledu pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce, to se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Ve scénářích podpory, kde Microsoft potřebuje přístup k zákaznickým datům, Azure Synapse Workspace podporuje Customer Lockbox, aby vám poskytlo rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k zákaznickým datům.

Ve scénářích podpory, ve kterých Microsoft potřebuje získat přístup k datům souvisejícím s SQL Database ve vyhrazeném fondu SQL, poskytuje Azure Customer Lockbox rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k datům.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označení citlivých dat

Pokyny: Zjišťování a klasifikace dat je součástí Azure SQL a podporuje následující možnosti: Zjišťování a doporučení – Klasifikační modul prohledá vaši databázi a identifikuje sloupce, které obsahují potenciálně citlivá data. Pak vám poskytne snadný způsob, jak zkontrolovat a použít doporučenou klasifikaci prostřednictvím Azure Portal.

Popisky – Popisky citlivosti můžete trvale použít u sloupců pomocí nových atributů metadat, které byly přidány do databázového stroje SQL Server. Tato metadata se pak dají použít pro scénáře auditování a ochrany na základě citlivosti.

Citlivost sady výsledků dotazu – Citlivost sady výsledků dotazu se vypočítá v reálném čase pro účely auditování.

Viditelnost – Stav klasifikace databáze můžete zobrazit v podrobném řídicím panelu v Azure Portal. Můžete si také stáhnout sestavu ve formátu Excelu pro účely dodržování předpisů a auditování a další potřeby.

Objevte, klasifikujte a označte citlivá data, abyste mohli navrhnout odpovídající ovládací prvky, které zajistí, aby se citlivé informace ukládaly, zpracovávaly a přenášely bezpečně v technologických systémech organizace.

K citlivým informacím v dokumentech Office v Azure, místním prostředí, Microsoftu 365 a dalších umístěních použijte Azure Information Protection (a přidružený nástroj pro kontrolu).

Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Citlivá data v databázích SQL by se měla klasifikovat. Microsoft Defender for Cloud monitoruje výsledky zjišťování a klasifikace dat pro databáze SQL a poskytuje doporučení ke klasifikaci citlivých dat v databázích pro lepší monitorování a zabezpečení. AuditIfNotExists, Zakázáno 3.0.0-preview

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí řízení přístupu na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování).

Aby bylo zajištěno konzistentní řízení přístupu, měly by být všechny typy řízení přístupu v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro podkladovou platformu (spravovanou Microsoftem) Microsoft považuje veškerý obsah zákazníků za citlivý a chrání před ztrátou a expozicí zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Azure Synapse Analytics nabízí dvojité šifrování pomocí klíče spravovaného zákazníkem pro data ve fondech SQL, fondech Sparku a Azure Data Factory prostředí Integration Runtime, kanálech a datových sadách.

Použijte funkci zjišťování a klasifikace dat SQL Azure Synapse. Kromě toho můžete v Azure Portal nastavit zásady dynamického maskování dat (DDM). Modul doporučení DDM označuje určitá pole z databáze jako potenciálně citlivá pole, která mohou být vhodným kandidátem pro maskování.

Transparentní šifrování dat (TDE) pomáhá chránit data ve vyhrazených fondech SYNApse SQL před hrozbou škodlivé offline aktivity šifrováním neaktivních uložených dat. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Microsoft Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2
Transparentní šifrování dat v databázích SQL by mělo být povolené. Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, Zakázáno 2.0.0

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Azure Synapse Pracovní prostor podporuje přenos zákaznických dat, ale nepodporuje monitorování neoprávněného přenosu citlivých dat nativně.

Rozšířená ochrana před internetovými útoky (ATP) pro službu Azure Storage a ochrana ATP pro Azure SQL dokáží upozorňovat na neobvyklé přenosy informací, které můžou značit neautorizované přenosy citlivých informací.

Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Microsoft Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, měla by být přenášená data chráněná před útoky mimo pásma (jako je zachycení provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.

Azure Synapse Pracovní prostor podporuje šifrování dat při přenosu s protokolem TLS verze 1.2 nebo novějším.

I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že se klienti připojující k prostředkům Azure můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zastaralé protokoly SSL, TLS, verze ASH a slabé šifry by měly být zakázané.

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Zákazník

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Azure Synapse Pracovní prostor šifruje neaktivní uložená data za účelem ochrany před útoky mimo pásma (jako je přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst nebo upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. Pro vysoce citlivá data máte možnosti implementovat další šifrování neaktivních uložených uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale Azure také nabízí možnosti správy vlastních klíčů (klíče spravované zákazníkem) pro určité služby Azure, aby splňovaly zákonné požadavky.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem vám poskytuje větší transparentnost a kontrolu nad ochranu transparentním šifrováním dat, vyšší zabezpečení s externí službou podporovanou HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace s souvisejícím požadavkem na dodržování předpisů. AuditIfNotExists, zakázáno 1.0.2
SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu ochrany transparentním šifrováním dat, vyšší zabezpečení s externí službou podporovanou HSM a povýšení oddělení povinností. Toto doporučení platí pro organizace s souvisejícím požadavkem na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.1
Transparentní šifrování dat v databázích SQL by mělo být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu bezpečnostního týmu o rizicích pro prostředky

Pokyny: Zajistěte udělení oprávnění Čtenář zabezpečení ve vašem tenantovi Azure a vašich předplatných bezpečnostním týmům, aby mohly monitorovat bezpečnostní rizika s využitím služby Azure Security Center.

V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Azure Synapse Pracovní prostor. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure Active Directory (Azure AD), která bude obsahovat autorizovaný bezpečnostní tým vaší organizace a přiřadí jim přístup pro čtení ke všem prostředkům pracovního prostoru Azure Synapse, což může být zjednodušeno jediným přiřazením role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí služby Azure Virtual Machine Inventory můžete automatizovat shromažďování informací o softwaru na Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Azure Synapse Pracovní prostor neumožňuje spuštění aplikace nebo instalace softwaru na jeho prostředky.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Sdílené

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Použijte Azure Security Center integrované funkce detekce hrozeb a povolte Azure Defender (dříve Azure Advanced Threat Protection) pro prostředky pracovního prostoru Azure Synapse. Azure Defender for Azure Synapse Workspace poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům Azure Synapse Workspace nebo je zneužívají.

Přeposlat všechny protokoly z Azure Synapse do Služby Azure Sentinel, které je možné použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro nechráněné spravované instance SQL by měl být povolený Microsoft Defender for SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které je možné zobrazit v Azure AD vytváření sestav nebo integraci se službou Azure Monitor, Azure Sentinel nebo jinými nástroji PRO monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny všech prostředků v rámci Azure AD, jako je přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Azure Security Center může také aktivovat upozornění na určité podezřelé aktivity, například nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Azure Security Center shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuálních počítačů, kontejnerů, app service), datových prostředků (SQL DB a úložiště) a vrstev služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro nechráněné spravované instance SQL by měl být povolený Microsoft Defender for SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě ( NSG), protokoly toku NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivního vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak použít Traffic Analytics k poskytování přehledů.

Azure Synapse Pracovní prostor protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníků. Povolení možnosti toku sítě v rámci nasazených nabízených prostředků

Při připojování k vyhrazenému fondu SQL a povolili jste protokoly toku skupiny zabezpečení sítě (NSG), protokoly se odesílají do účtu služby Azure Storage pro auditování provozu.

Můžete také posílat protokoly toku NSG do pracovního prostoru služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu ve vašem cloudu Azure. Mezi výhody analýzy provozu patří možnost vizualizovat síťovou aktivitu a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou při korelaci jiných síťových dat. Implementujte řešení třetích stran z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky pracovního prostoru Azure Synapse kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro pracovní prostor Azure Synapse. Pomocí Azure Security Center a Azure Policy můžete povolit shromažďování dat prostředků a protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

Azure Monitor poskytuje metriky, výstrahy a protokoly infrastruktury základní úrovně pro většinu služeb Azure. Diagnostické protokoly Azure jsou generovány prostředkem a poskytují bohatá a častou data o provozu tohoto prostředku. Azure Synapse Analytics může psát diagnostické protokoly ve službě Azure Monitor. Konkrétně protokoluje operace Synapse RABC.

Azure Synapse Pracovní prostor také vytváří protokoly auditu zabezpečení pro místní účty pro správu. Povolení těchto protokolů auditu místního správce

Auditování pro Azure SQL Azure Synapse Analytics sleduje databázové události a zapisuje je do protokolu auditu v účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které by mohly znamenat obchodní obavy nebo podezření na porušení zabezpečení.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování na SQL Serveru by mělo být povolené. Auditování na vašem SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Služby Azure Sentinel nebo siEM jiného výrobce.

Mnoho organizací se rozhodne používat Azure Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

U aplikací, které můžou běžet v pracovním prostoru Azure Synapse, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.

Auditování pro Azure Synapse Analytics sleduje databázové události a zapisuje je do protokolu auditu v účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které by mohly znamenat obchodní obavy nebo podezření na porušení zabezpečení.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů pracovního prostoru Azure Synapse mají nastavené období uchovávání protokolů podle předpisů vaší organizace.

Auditování pro Azure Synapse Analytics sleduje databázové události a zapisuje je do protokolu auditu v účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu pomáhají udržovat dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které by mohly znamenat obchodní obavy nebo podezření na porušení zabezpečení.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Servery SQL s auditování do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování vašeho SQL Server na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování zákonných standardů. AuditIfNotExists, Zakázáno 3.0.0

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro většinu služeb PaaS platformy Azure a SaaS. Pro vaše virtuální počítače použijte pro synchronizaci času výchozí server NTP (Network Time Protocol) Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server NTP, ujistěte se, že jste zabezpečili port služby UDP 123.

Všechny protokoly generované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků Azure RBAC a zásad v jedné definici podrobného plánu.

SQL Server by měl používat koncový bod služby virtuální sítě.

Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků Azure RBAC a zásad v jedné definici podrobného plánu.

Kromě Azure Security Center ovládacích prvků založených na Azure Security Center existuje řada zásad zabezpečení specifických pro zabezpečení, které jsou přiřazené službě Synapse Analytics. Můžete například zabezpečit Azure SQL Server k virtuální síti prostřednictvím Private Link; monitorování a konfigurace protokolu a provozu virtuálních sítí, podsítí a síťových rozhraní pomocí protokolů toku NSG a Analýzy provozu; odepření komunikace se známými IP adresami s využitím advanced Threat Protection (ATP).

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Azure Security Center můžete monitorovat směrný plán konfigurace a vynucovat použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.

Definujte zásady auditování SQL pro konkrétní databázi. Nebo ho definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL). Výchozí zásada auditování zahrnuje všechny akce a sadu skupin akcí. Akce a skupiny akcí budou auditovat:

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití Azure Security Center a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Synapse Pracovní prostor.

Odpovědnost: Microsoft

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Sql:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení. Monitorování výsledků kontroly posouzení ohrožení zabezpečení a doporučení pro nápravu ohrožení zabezpečení databáze AuditIfNotExists, Zakázáno 4.0.0
Posouzení ohrožení zabezpečení by mělo být povolené na SQL Managed Instance Auditujte každou SQL Managed Instance, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, Zakázáno 1.0.1
Posouzení ohrožení zabezpečení by mělo být na serverech SQL povolené. Audit Azure SQL servery, které nemají povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, Zakázáno 2.0.0

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Pro software třetích stran použijte řešení pro správu oprav třetích stran. Nebo použijte nástroj System Center Aktualizace Publisher pro Configuration Manager. Azure Synapse Analytics nepoužívá ani nevyžaduje žádný software třetích stran.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.

Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Zákazník

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana pracovního prostoru Azure Synapse nebo jejích prostředků pomocí centrálně spravovaného moderního antimalwarového softwaru.

  • Používejte centrálně spravované řešení pro antimalwarové řešení, které umožňuje kontrolu v reálném čase a pravidelné kontrole.

  • Azure Security Center může automaticky identifikovat použití několika oblíbených antimalwarových řešení pro vaše virtuální počítače, nahlásit stav spuštěné ochrany koncového bodu a pak provést doporučení.

  • Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarem pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetích stran. K detekci malwaru nahraného do účtů azure Storage můžete použít detekci hrozeb Azure Security Center.

  • Konfigurace Microsoft Antimalware pro Cloud Services a Virtual Machines

  • Podporovaná řešení ochrany koncových bodů

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nepoužitelné; Azure Synapse pracovní prostor se skládá z žádných virtuálních počítačů ani kontejnerů, které by vyžadovaly ochranu detekce koncových bodů a odpovědi (EDR).

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Snímky vyhrazených fondů Synapse SQL se po celý den automaticky pořídí vytváření bodů obnovení, které jsou k dispozici sedm dní. Toto období uchovávání nelze změnit. Vyhrazené fondy SQL podporují cíl bodu obnovení osm hodin (RPO). Fond SQL můžete obnovit v primární oblasti z libovolného snímku pořízeného během posledních sedmi dnů. Všimněte si, že snímky můžete v případě potřeby aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: Snímky vyhrazených fondů Synapse SQL se po celý den automaticky pořídí vytváření bodů obnovení, které jsou k dispozici sedm dní. Toto období uchovávání nelze změnit. Vyhrazené fondy SQL podporují cíl bodu obnovení osm hodin (RPO). Fond SQL můžete obnovit v primární oblasti z libovolného snímku pořízeného během posledních sedmi dnů. Všimněte si, že snímky můžete v případě potřeby aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Snímky vyhrazeného fondu SQL se po celý den automaticky zabíjí a vytvářejí body obnovení, které jsou k dispozici sedm dní. Toto období uchovávání nelze změnit. Vyhrazený fond SQL podporuje cíl bodu obnovení osm hodin (RPO). Datový sklad v primární oblasti můžete obnovit z libovolného snímku pořízeného za posledních 7 dnů. Všimněte si, že snímky můžete v případě potřeby aktivovat také ručně.

Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.

Synapse podporuje klíče spravované zákazníkem (CMK) pro šifrování. Toto šifrování používá klíče generované v Azure Key Vault.

Odpovědnost: Sdílené

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte na místě opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Sdílené

Další kroky