Standardní hodnoty zabezpečení Azure pro pracovní prostor Synapse Analytics
Tento standardní plán zabezpečení použije pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na pracovní prostor Synapse Analytics. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejících pokynů platných pro pracovní prostor Synapse Analytics.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na řídicím panelu Microsoft Defender pro cloud.
Pokud oddíl obsahuje relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Ovládací prvky , které se nevztahují na pracovní prostor Synapse Analytics, a ty, pro které se doslovně doporučují globální pokyny, byly vyloučeny. Pokud chcete zjistit, jak se pracovní prostor Synapse Analytics kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení pracovního prostoru Synapse Analytics.
Zabezpečení sítě
Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.
NS-1: Implementace zabezpečení pro interní provoz
Pokyny: Při nasazování prostředků pracovního prostoru Azure Synapse vytvořte nebo použijte existující virtuální síť. Ujistěte se, že všechny virtuální sítě Azure dodržují podnikový princip segmentace, který je v souladu s obchodními riziky. Každý systém, který by mohl pro organizaci představovat vyšší riziko, by měl být izolovaný v rámci vlastní virtuální sítě a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.
Pokud chcete doporučit konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy založené na pravidlech externího síťového provozu, použijte Microsoft Defender pro posílení zabezpečení sítě s adaptivním zabezpečením sítě.
Azure Synapse Analytics poskytuje spravovaný pracovní prostor Virtual Network. Jedná se o skladovou položku pracovního prostoru Synapse přidruženou k Virtual Network spravované službou Azure Synapse. Spravované privátní koncové body můžete vytvářet jenom v pracovním prostoru, ke kterému je přidružený spravovaný pracovní prostor Virtual Network.
V závislosti na vašich aplikacích a strategii podnikové segmentace omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních, dobře definovaných aplikací (například u 3vrstvých aplikací) to může být ve výchozím nastavení vysoce zabezpečené odepření.
Spravovaný pracovní prostor Virtual Network umožňuje příchozím pravidlům NSG ve vašich vlastních virtuálních sítích povolit vstup Azure Synapse provozu správy do vašeho Virtual Network. Navíc nemusíte vytvářet podsíť pro clustery Spark na základě zatížení ve špičce.
Pomocí Služby Azure Sentinel můžete zjistit použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, vazby bez znaménka LDAP a slabé šifry v protokolu Kerberos.
Synapse SQL v Azure Synapse Analytics umožňuje připojení pomocí všech verzí protokolu TLS. V Azure Synapse Analytics nemůžete nastavit minimální verzi protokolu TLS pro Synapse SQL. Jiné funkce Synapse ve výchozím nastavení používají protokol TLS 1.2.
Ujistěte se, že brána firewall ve vaší síti i na místním počítači umožňuje pro funkci Synapse Studio odchozí komunikaci na portech TCP 80, 443 a 1443. Pro Synapse Studio také musíte povolit odchozí komunikaci na portu UDP 53. Pokud se chcete připojovat pomocí nástrojů, jako jsou aplikace SSMS nebo Power BI, je potřeba povolit odchozí komunikaci na portu TCP 1433.
Nastavení brány firewall na portálu Azure Synapse může blokovat veškeré připojení k veřejné síti.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistíte, aby k databázi Azure SQL bylo možné přistupovat jenom z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
NS-2: Propojení privátních sítí
Pokyny: K vytvoření privátních připojení mezi datacentry Azure a místní infrastrukturou v kolokačním prostředí použijte Azure ExpressRoute nebo virtuální privátní síť (VPN) Azure. Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení. V případě vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí libovolné kombinace těchto možností sítě VPN a Azure ExpressRoute.
Pokud chcete v Azure propojit dvě nebo více virtuálních sítí, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure SQL Managed Instances by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti (veřejný koncový bod) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat jenom z jejich virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete na stránce https://aka.ms/mi-public-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
NS-3: Zřízení přístupu privátní sítě ke službám Azure
Pokyny: Spravované privátní koncové body můžete vytvořit z pracovního prostoru Azure Synapse pro přístup ke službám Azure (jako je Azure Storage nebo Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure.
Pomocí Azure Private Link povolíte privátní přístup k pracovnímu prostoru Azure Synapse z virtuálních sítí, aniž byste museli přecházet přes internet.
Privátní přístup je dalším měřítkem hloubkové ochrany ověřování a zabezpečení provozu nabízených službami Azure.
Připojení k Synapse Studiu s využitím privátních propojení probíhá ve dvou krocích. Nejprve musíte vytvořit prostředek služby Private Link Hubs. Zadruhé musíte vytvořit privátní koncový bod z virtuální sítě Azure do tohoto centra privátního propojení. Pak můžete s využitím privátních koncových bodů zabezpečeně komunikovat se Synapse Studiem. Privátní koncové body musíte integrovat se svým řešením DNS, ať už s místním řešením, nebo s Azure Privátní DNS.
Pomocí koncových bodů služby Azure Virtual Network můžete poskytovat zabezpečený přístup k pracovnímu prostoru Azure Synapse prostřednictvím optimalizované trasy přes páteřní síť Azure bez přechodu přes internet.
Privátní přístup je dalším měřítkem hloubkové ochrany ověřování a zabezpečení provozu nabízených službami Azure.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Připojení privátních koncových bodů ve službě Azure SQL Database by měla být povolená. | Připojení privátních koncových bodů vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
NS-4: Ochrana aplikací a služeb před útoky na externí síť
Pokyny: Chraňte prostředky pracovního prostoru Azure Synapse před útoky z externích sítí, včetně distribuovaných útoků DDoS (DoS), útoků specifických pro konkrétní aplikace a nevyžádaného a potenciálně škodlivého internetového provozu. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a jiných externích umístění. Chraňte své prostředky před útoky DDoS povolením standardní ochrany DDoS ve virtuálních sítích Azure. Pomocí Microsoft Defender for Cloud můžete detekovat rizika chybná konfigurace pro prostředky související se sítí.
Azure Synapse Workspace není určen ke spouštění webových aplikací a nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasadíte další síťové služby, abyste ho ochránili před útoky na externí sítě, které cílí na webové aplikace.
Odpovědnost: Zákazník
NS-7: Secure Domain Name Service (DNS)
Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS a zmírnit tak běžné útoky, jako jsou útoky na dangling DNS, útoky na zesílení DNS, otravy DNS a falšování identity atd.
Pokud se azure DNS používá jako autoritativní služba DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.
Odpovědnost: Zákazník
Správa identit
Další informace najdete v tématu Azure Security Benchmark: správa identit.
IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování
Pokyny: Azure Synapse Workspace používá Azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci v:
- Cloudové prostředky Microsoftu, jako jsou aplikace Azure Portal, Azure Storage, Azure Virtual Machine (Linux a Windows), Azure Key Vault, PaaS a SaaS.
- prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě
Zabezpečení Azure AD by mělo být v praxi zabezpečení cloudu vaší organizace vysokou prioritou. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením osvědčených postupů od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.
Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlašovat se k aplikacím a prostředkům pomocí externí identity.
Uživatelé s rolemi vlastníka nebo přispěvatele Azure (Azure RBAC) ve skupině prostředků budou moct spravovat vyhrazené fondy SQL, fondy Sparku a prostředí Integration Runtime v Synapse. Synapse RBAC navíc rozšiřuje možnosti Azure RBAC, aby bylo možné řídit, kdo může číst nebo publikovat artefakty kódu, spouštět kód, přistupovat k propojeným službám a monitorovat nebo rušit provádění úloh.
Azure AD ověřování používá uživatele databáze s omezením nebo uživatele na úrovni fondu k ověřování identit na úrovni databáze pro fondy SQL v Azure Synapse Analytics. Synapse také podporuje ověřování SQL pro fondy SQL. V případě této metody ověřování uživatel za účelem navázání připojení odešle název uživatelského účtu a přidružené heslo. Tato hesla se ukládají v hlavní databázi pro uživatelské účty propojené s přihlášením nebo v databázi obsahující uživatelské účty nepropojené s přihlášením.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Pro sql servery by měl být zřízen správce Azure Active Directory. | Pokud chcete povolit ověřování Azure AD, auditujte zřizování správce Azure Active Directory pro sql server. Azure AD ověřování umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu. | AuditIfNotExists, Zakázáno | 1.0.0 |
IM-2: Zabezpečená a automatická správa identit aplikací
Pokyny: Azure Synapse Workspace podporuje spravované identity pro své prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům používejte spravované identity s pracovním prostorem Azure Synapse. Azure Synapse Workspace se může nativně ověřovat ve službách Nebo prostředcích Azure, které podporují ověřování Azure AD prostřednictvím předdefinovaného pravidla udělení přístupu bez použití přihlašovacích údajů pevně zakódovaných ve zdrojovém kódu nebo konfiguračních souborech.
Azure Synapse Analytics používá spravovanou identitu k integraci kanálů.
Azure Synapse Workspace doporučuje použít Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředků, aby bylo možné nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k tajným klíčům klienta. V obou případech je možné použít azure Key Vault ve spojení s identitami spravovanými v Azure, aby runtime prostředí (například funkce Azure) načetla přihlašovací údaje z trezoru klíčů.
Azure Synapse Analytics podporuje šifrování klíčů spravovaných zákazníkem (CMK). Toto šifrování používá klíče vygenerované v Azure Key Vault.
Odpovědnost: Zákazník
IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím
Pokyny: Azure Synapse Workspace používá Azure Active Directory k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé. Díky tomu může jednotné přihlašování spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.
Odpovědnost: Zákazník
IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů
Pokyny: Azure Synapse Analytics může zákazníkům umožnit nasadit nebo spustit následující entity, které můžou mít identity nebo tajné kódy:
- Kód
- Konfigurace
- Trvalá data
Implementujte Skener přihlašovacích údajů k identifikaci přihlašovacích údajů v rámci těchto entit. Kontrola přihlašovacích údajů bude také podporovat přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault. Pro GitHub použijte funkci nativní kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jiné formy tajných kódů v kódu.
Odpovědnost: Zákazník
Privilegovaný přístup
Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.
PA-1: Ochrana a omezení vysoce privilegovaných uživatelů
Pokyny: Nejdůležitějšími předdefinovanými rolemi pro Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce:
- Globální správce nebo správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD a ke službám, které používají Azure AD identity.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci Azure AD Privileged Identity Management (PIM). Kromě toho tato role umožňuje správu všech aspektů PIM a jednotek pro správu.
Poznámka: Pokud používáte vlastní role s přiřazenými určitými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také použít podobné ovládací prvky pro účet správce důležitých obchodních prostředků.
Měli byste omezit počet vysoce privilegovaných účtů nebo rolí a chránit tyto účty na zvýšené úrovni. Uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat každý prostředek ve vašem prostředí Azure.
Pomocí Azure AD PIM můžete povolit privilegovaný přístup za běhu (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.
Azure Synapse pracovní prostor má tyto vysoce privilegované účty:
- Vlastník Azure ve skupině prostředků
- Přispěvatel Azure ve skupině prostředků
- Přispěvatel dat objektů blob služby Storage v kontejneru úložiště ADLS g2 přidruženého k Synapse
- Správce Synapse
- Správce Synapse SQL
- Správce Synapse Sparku
Vytvořte standardní provozní postupy pro použití vyhrazených účtů pro správu.
Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet správce se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.
Používání upozornění zabezpečení služby Azure Privileged Identity Management
Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Správa existujících přihlášení a účtů správců pro vyhrazené fondy SQL (dříve SQL Dw)
Odpovědnost: Zákazník
PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů
Pokyny: Azure Synapse Workspace používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelné kontrole uživatelských účtů a přiřazení přístupu, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontroly přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestav kontroly přístupu, které usnadní proces kontroly.
Kromě toho je možné Azure AD PIM nakonfigurovat tak, aby vás upozorňovala na vytvoření nadměrného počtu účtů správců a identifikovala účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Poznámka: Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.
Azure Synapse pracovních prostorů vyžadují, aby uživatelé v rolích Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků mohli řídit správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse. Při použití ověřování SQL vytvořte uživatele databáze s omezením ve fondech SQL. Ujistěte se, že jste jednoho nebo více uživatelů databáze umístili do vlastní databázové role s konkrétními oprávněními vhodnými pro danou skupinu uživatelů.
Odpovědnost: Zákazník
PA-6: Použití pracovních stanic s privilegovaným přístupem
Pokyny: Zabezpečené izolované pracovní stanice jsou kriticky důležité pro zabezpečení citlivých rolí, jako jsou správce, vývojář a operátor kritické služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pomocí Azure Active Directory (Azure AD), Microsoft Defender ATP (Advanced Threat Protection) nebo Microsoft Intune nasaďte zabezpečenou a spravovanou pracovní stanici uživatele pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat, aby bylo možné vynutit zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.
Odpovědnost: Zákazník
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Pokyny: Azure Synapse Workspace je integrovaný s řízením přístupu na základě role v Azure (Azure RBAC) za účelem správy svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Existují předdefinované role pro určité prostředky a tyto role je možné inventarizované nebo dotazované pomocí nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup podle potřeby (JIT) Azure AD Privileged Identity Management (PIM) a měl by být pravidelně revidován.
Pomocí předdefinovaných rolí můžete přidělovat oprávnění a vytvářet vlastní role jenom v případě potřeby.
Azure Synapse Analytics vyžaduje, aby uživatelé v rolích Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků ovládli správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse.
Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet správce se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.
Odpovědnost: Zákazník
PA-8: Volba schvalovacího procesu pro podporu Microsoftu
Pokyny: Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům zákazníků, Azure Synapse Workspace podporuje Customer Lockbox, aby vám poskytl rozhraní pro kontrolu a schválení nebo zamítnutí žádostí o přístup k zákaznickým datům.
Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům souvisejícím s SQL Database ve vyhrazeném fondu SQL, poskytuje Azure Customer Lockbox rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k datům.
Odpovědnost: Zákazník
Ochrana dat
Další informace najdete v tématu Azure Security Benchmark: ochrana dat.
DP-1: Zjišťování, klasifikace a označení citlivých dat
Pokyny: Zjišťování a klasifikace dat je integrovaná do Azure SQL a podporuje následující funkce: Zjišťování a doporučení – Klasifikační modul prohledá databázi a identifikuje sloupce, které obsahují potenciálně citlivá data. Pak vám poskytne snadný způsob, jak zkontrolovat a použít doporučenou klasifikaci prostřednictvím Azure Portal.
Popisování – Pomocí nových atributů metadat, které byly přidány do databázového stroje SQL Server, můžete u sloupců trvale použít popisky klasifikace citlivosti. Tato metadata se pak dají použít pro scénáře auditování a ochrany na základě citlivosti.
Citlivost sady výsledků dotazu – Citlivost sady výsledků dotazu se počítá v reálném čase pro účely auditování.
Viditelnost – Stav klasifikace databáze můžete zobrazit na podrobném řídicím panelu v Azure Portal. Můžete si také stáhnout sestavu ve formátu Excelu a použít ji pro účely dodržování předpisů, auditování a další potřeby.
Objevujte, klasifikujte a označte citlivá data, abyste mohli navrhnout vhodné ovládací prvky, které zajistí, aby byly citlivé informace bezpečně ukládány, zpracovávány a přenášeny technologickými systémy organizace.
Pro citlivé informace v dokumentech Office v Azure, v místním prostředí, v Microsoftu 365 a dalších umístěních použijte Azure Information Protection (a související nástroj pro vyhledávání).
Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Citlivá data v databázích SQL by měla být klasifikovaná. | Microsoft Defender for Cloud monitoruje výsledky zjišťování a klasifikace dat pro databáze SQL a poskytuje doporučení ke klasifikaci citlivých dat v databázích pro lepší monitorování a zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0-preview |
DP-2: Ochrana citlivých dat
Pokyny: Chraňte citlivá data omezením přístupu pomocí řízení přístupu na základě role v Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (jako je šifrování).
Aby se zajistilo konzistentní řízení přístupu, měly by být všechny typy řízení přístupu v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
Pro základní platformu (spravovanou Microsoftem) Microsoft považuje veškerý zákaznický obsah za citlivý a chrání před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.
Azure Synapse Analytics nabízí dvojité šifrování pomocí klíče spravovaného zákazníkem pro data ve fondech SQL, fondech Spark a prostředích Azure Data Factory Integration Runtime, kanálech a datových sadách.
Použijte funkci Azure Synapse zjišťování a klasifikace dat SQL. Kromě toho můžete v Azure Portal nastavit zásadu dynamického maskování dat (DDM). Modul doporučení DDM označí určitá pole z vaší databáze jako potenciálně citlivá pole, která můžou být vhodnými kandidáty pro maskování.
Transparentní šifrování dat pomáhá chránit data ve vyhrazených fondech SYNApse SQL před hrozbou škodlivé offline aktivity tím, že šifruje neaktivní uložená data. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte jednotlivé SQL Managed Instance bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
DP-3: Monitorování neoprávněného přenosu citlivých dat
Pokyny: Azure Synapse Workspace podporuje přenos zákaznických dat, ale nativně nepodporuje monitorování neoprávněného přenosu citlivých dat.
Rozšířená ochrana před internetovými útoky (ATP) pro službu Azure Storage a ochrana ATP pro Azure SQL dokáží upozorňovat na neobvyklé přenosy informací, které můžou značit neautorizované přenosy citlivých informací.
Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | Nastavení protokolu TLS verze 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, aby k vaší Azure SQL Database měli přístup jenom klienti používající protokol TLS 1.2 nebo novější. Používání verzí protokolu TLS nižších než 1.2 se nedoporučuje, protože mají dobře zdokumentovaná ohrožení zabezpečení. | Auditování, zakázáno, odepření | 2.0.0 |
DP-4: Šifrování citlivých informací při přenosu
Pokyny: Pro doplnění řízení přístupu by přenášená data měla být chráněná proti "vzdáleným" útokům (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.
Azure Synapse Workspace podporuje šifrování přenášených dat pomocí protokolu TLS verze 1.2 nebo vyššího.
I když je to pro provoz v privátních sítích volitelné, je to důležité pro provoz v externích a veřejných sítích. V případě přenosů HTTP se ujistěte, že klienti připojující se k vašim prostředkům Azure můžou vyjednávat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé protokoly SSL, TLS, verze a protokoly SSH a slabé šifry by měly být zakázané.
Azure ve výchozím nastavení poskytuje šifrování dat přenášených mezi datovými centry Azure.
Odpovědnost: Zákazník
DP-5: Šifrování citlivých neaktivních uložených dat
Pokyny: Pro doplnění řízení přístupu Azure Synapse Pracovní prostor šifruje neaktivní uložená data, aby se chránila před "vzdálenými útoky" (jako je přístup k základnímu úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli snadno číst nebo upravovat data.
Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat máte možnost implementovat další šifrování neaktivních uložených dat na všech prostředcích Azure, pokud jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale nabízí také možnosti správy vlastních klíčů (klíčů spravovaných zákazníkem) pro určité služby Azure, aby splňovaly zákonné požadavky.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje větší transparentnost a kontrolu ochrany transparentním šifrováním dat, zvýšené zabezpečení s externí službou s podporou HSM a podporu oddělení povinností. Toto doporučení platí pro organizace se souvisejícími požadavky na dodržování předpisů. | Auditovat, Odepřít, Zakázáno | 2.0.0 |
Správa aktiv
Další informace najdete v tématu Azure Security Benchmark: správa prostředků.
AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým
Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění Čtenář zabezpečení, aby mohly monitorovat bezpečnostní rizika pomocí Microsoft Defender pro cloud.
V závislosti na struktuře odpovědností bezpečnostních týmů může monitorování bezpečnostních rizik odpovídat centrální tým zabezpečení nebo místní tým. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.
Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Odpovědnost: Zákazník
AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým
Pokyny: Zajistěte, aby bezpečnostní týmy měly přístup k průběžně aktualizovanému inventáři prostředků v Azure, jako je Azure Synapse Workspace. Bezpečnostní týmy tento inventář často potřebují k vyhodnocení potenciálního vystavení organizace vznikajícím rizikům a jako vstup pro neustálé vylepšování zabezpečení. Vytvořte skupinu Azure Active Directory (Azure AD), která bude obsahovat autorizovaný tým zabezpečení vaší organizace, a přiřaďte mu přístup ke čtení ke všem prostředkům Azure Synapse pracovního prostoru, což je možné zjednodušit jedním přiřazením role vysoké úrovně v rámci vašeho předplatného.
Pomocí značek u prostředků, skupin prostředků a předplatných Azure je můžete logicky uspořádat do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.
Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o softwaru v Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici na Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.
Azure Synapse pracovní prostor neumožňuje na svých prostředcích spouštět aplikaci ani instalovat software.
Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu
Microsoft Defender pro správu inventáře cloudových prostředků
Odpovědnost: Zákazník
AM-3: Používání jenom schválených služeb Azure
Pokyny: Pomocí Azure Policy můžete auditovat a omezit, které služby můžou uživatelé ve vašem prostředí zřizovat. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.
Odpovědnost: Sdílené
Protokolování a detekce hrozeb
Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.
LT-1: Povolení detekce hrozeb pro prostředky Azure
Pokyny: Použijte integrovanou funkci detekce hrozeb Microsoft Defender pro cloud a povolte Azure Defender (dříve Azure Advanced Threat Protection) pro prostředky pracovního prostoru Azure Synapse. Azure Defender pro Azure Synapse Workspace poskytuje další vrstvu inteligentních informací zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům pracovního prostoru Azure Synapse nebo jejich zneužití.
Všechny protokoly z Azure Synapse můžete předávat do Azure Sentinelu, který můžete použít k nastavení vlastní detekce hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure z hlediska potenciálních hrozeb a anomálií. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili počet falešně pozitivních výsledků pro analytiky. Zdrojem upozornění můžou být data protokolu, agenti nebo jiná data.
Referenční příručka k Microsoft Defender pro výstrahy zabezpečení cloudu
Vytváření vlastních analytických pravidel pro detekci hrozeb
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL | Audit sql serverů bez Advanced Data Security | AuditIfNotExists, zakázáno | 2.0.1 |
LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure
Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které můžete zobrazit v Azure AD generování sestav nebo je integrovat se službou Azure Monitor, Azure Sentinel nebo jinými nástroji SIEM/monitorování pro sofistikovanější případy použití monitorování a analýzy:
- Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
- Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci Azure AD, jako je přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.
- Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
- Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Microsoft Defender for Cloud může také aktivovat upozornění na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datových prostředků (databáze SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje získat přehled o anomáliích účtů uvnitř jednotlivých prostředků.
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL | Audit sql serverů bez Advanced Data Security | AuditIfNotExists, zakázáno | 2.0.1 |
LT-3: Povolení protokolování pro síťové aktivity Azure
Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toků NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak pomocí Analýzy provozu poskytnout přehledy.
Azure Synapse Pracovní prostor protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníka. Povolení možnosti toku sítě v rámci nasazených nabízených prostředků
Když se připojujete k vyhrazenému fondu SQL a máte povolené protokoly toků skupin zabezpečení sítě (NSG), odesílají se protokoly do účtu služby Azure Storage pro účely auditování provozu.
Můžete také odesílat protokoly toků NSG do pracovního prostoru služby Log Analytics a pomocí Analýzy provozu poskytovat přehledy o toku provozu ve vašem cloudu Azure. Mezi výhody Analýzy provozu patří schopnost vizualizovat síťovou aktivitu a identifikovat aktivní body, identifikovat bezpečnostní hrozby, porozumět vzorcům toku provozu a přesně určit chybnou konfiguraci sítě.
Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou při korelaci dalších síťových dat. Implementujte řešení třetí strany z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.
Shromážděte přehledy o infrastruktuře DNS pomocí řešení DNS Analytics.
Principy zabezpečení sítě poskytovaného službou Microsoft Defender for Cloud
Odpovědnost: Zákazník
LT-4: Povolení protokolování pro prostředky Azure
Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky pracovního prostoru Azure Synapse s výjimkou operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo ke sledování toho, jak uživatel ve vaší organizaci upravil prostředek.
Povolte protokoly prostředků Azure pro pracovní prostor Azure Synapse. Pomocí Microsoft Defender for Cloud a Azure Policy můžete povolit shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.
Azure Monitor poskytuje metriky, výstrahy a protokoly základní infrastruktury pro většinu služeb Azure. Diagnostické protokoly Azure se generují prostředkem a poskytují bohatá a častá data o provozu tohoto prostředku. Azure Synapse Analytics může zapisovat diagnostické protokoly ve službě Azure Monitor. Konkrétně protokoluje operace Synapse RABC.
Azure Synapse Workspace také vytváří protokoly auditu zabezpečení pro účty místních správců. Povolit tyto protokoly auditu místního správce
Auditování služby Azure SQL Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.
Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor
Použití služby Azure Monitor s pracovním prostorem Azure Synapse Analytics
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Auditování na SQL Serveru by mělo být povolené. | Auditování SQL Server by mělo být povolené, aby bylo možné sledovat databázové aktivity napříč všemi databázemi na serveru a ukládat je do protokolu auditování. | AuditIfNotExists, zakázáno | 2.0.0 |
LT-5: Centralizace správy a analýz protokolu zabezpečení
Pokyny: Centralizace úložiště a analýzy protokolování za účelem zajištění korelace U každého zdroje protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování dat a přístupu k datům a požadavky na uchovávání dat.
Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestujte protokoly prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení. Ve službě Azure Monitor použijte pracovní prostory Log Analytics k dotazování a provádění analýz a účty Azure Storage použijte k dlouhodobému a archivačnímu ukládání.
Kromě toho povolte a připojte data do služby Azure Sentinel nebo siem třetí strany.
Mnoho organizací se rozhodne používat Azure Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.
U aplikací, které můžou běžet v pracovním prostoru Azure Synapse, předejte všechny protokoly související se zabezpečením do siEM pro centralizovanou správu.
Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.
Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
LT-6: Konfigurace uchovávání úložiště protokolů
Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů Azure Synapse pracovních prostorů mají nastavenou dobu uchovávání protokolů v souladu s předpisy vaší organizace.
Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.
Konfigurace doby uchovávání pracovního prostoru služby Log Analytics
Auditování pro služby Azure SQL Database a Azure Synapse Analytics
Odpovědnost: Zákazník
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Servery SQL s auditováním do cíle účtu úložiště by měly být nakonfigurované s uchováváním po dobu 90 dnů nebo vyšší. | Pro účely šetření incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Server na cíl účtu úložiště na alespoň 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje kvůli dodržování zákonných standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
LT-7: Použití schválených zdrojů synchronizace času
Pokyny: Microsoft udržuje časové zdroje pro většinu služeb Platformy Azure PaaS a SaaS. Pro virtuální počítače použijte pro synchronizaci času server NTP (Default Network Time Protocol) společnosti Microsoft, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server NTP, ujistěte se, že jste zabezpečili port 123 služby UDP.
Všechny protokoly generované prostředky v Azure poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.
Jak nakonfigurovat synchronizaci času pro výpočetní prostředky Azure s Windows
Jak nakonfigurovat synchronizaci času pro výpočetní prostředky Azure s Linuxem
Odpovědnost: Microsoft
Stav a správa ohrožení zabezpečení
Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.
PV-1: Zřízení zabezpečených konfigurací pro služby Azure
Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.
SQL Server by měl používat koncový bod služby pro virtuální síť.
Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.
Kromě Microsoft Defender pro řízení založené na cloudu je službě Synapse Analytics přiřazena řada zásad zabezpečení specifických pro nabídky. Můžete například zabezpečit Azure SQL Server s virtuální sítí prostřednictvím Private Link, monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní pomocí protokolů toku NSG a Analýzy provozu; odepření komunikace s IP adresami se známými škodlivými úmysly pomocí služby Advanced Threat Protection (ATP).
Práce se zásadami zabezpečení ve službě Microsoft Defender for Cloud
Ilustrace implementace mantinely v cílové zóně na podnikové úrovni
Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů
Ilustrace implementace mantinely v cílové zóně na podnikové úrovni
Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů
Odpovědnost: Zákazník
PV-2: Udržování zabezpečených konfigurací pro služby Azure
Pokyny: Pomocí Microsoft Defender for Cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat je pomocí Azure Policy [zamítnout] a [nasadit, pokud neexistuje] k vynucování zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.
Definujte zásady auditování SQL pro konkrétní databázi. Nebo ji definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL). Výchozí zásady auditování zahrnují všechny akce a sadu skupin akcí. Akce a skupiny akcí budou auditovat:
Všechny dotazy a uložené procedury byly spuštěny v databázi.
Úspěšná a neúspěšná přihlášení.
Posouzení ohrožení zabezpečení SQL za účelem identifikace ohrožení zabezpečení databáze
Odpovědnost: Zákazník
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
Pokyny: Použití Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečené konfigurace pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.
Odpovědnost: Zákazník
PV-6: Provádění posouzení ohrožení zabezpečení softwaru
Pokyny: Microsoft provádí správu ohrožení zabezpečení v základních systémech, které podporují Azure Synapse Workspace.
Odpovědnost: Microsoft
Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.
Azure Policy předdefinovaných definic – Microsoft.Sql:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
U databází SQL by se měla vyřešit zjištěná ohrožení zabezpečení. | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru
Pokyny: Pro software třetích stran použijte řešení pro správu oprav od jiného výrobce. Nebo pro Configuration Manager použijte System Center Aktualizace Publisher. Azure Synapse Analytics nepoužívá ani nevyžaduje žádný software třetích stran.
Odpovědnost: Microsoft
PV-8: Provádění pravidelné simulace útoku
Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.
Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.
Odpovědnost: Zákazník
Zabezpečení koncového bodu
Další informace najdete ve srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.
ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru
Pokyny: Chraňte svůj pracovní prostor Azure Synapse nebo jeho prostředky pomocí centrálně spravovaného moderního antimalwarového softwaru.
Použijte centrálně spravované antimalwarové řešení koncového bodu, které umožňuje kontrolu v reálném čase a pravidelnou kontrolu.
Microsoft Defender for Cloud může automaticky identifikovat použití několika oblíbených antimalwarových řešení pro virtuální počítače, nahlásit stav spuštěné ochrany koncových bodů a pak zadat doporučení.
Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarovým softwarem pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany. K detekci malwaru nahraného do účtů Azure Storage můžete použít Microsoft Defender for Cloud's Threat detection for Cloud's Threat detection for Data Services.
Konfigurace Microsoft Antimalware pro Cloud Services a Virtual Machines
Odpovědnost: Zákazník
ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů
Pokyny: Nelze použít; Azure Synapse pracovní prostor se skládá z virtuálních počítačů ani kontejnerů, které by vyžadovaly ochranu EDR (Endpoint Detection and Response).
Odpovědnost: Microsoft
Zálohování a obnovy
Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Pokyny: Snímky vyhrazených fondů SYNApse SQL se během dne automaticky pořizují a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného za posledních 7 dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.
Odpovědnost: Sdílené
BR-2: Šifrování zálohovaných dat
Pokyny: Snímky vyhrazených fondů SYNApse SQL se automaticky pořizují po celý den a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.
Odpovědnost: Zákazník
BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem
Pokyny: Snímky vyhrazeného fondu SQL se automaticky pořizují v průběhu dne a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazený fond SQL podporuje 8hodinový cíl bodu obnovení (RPO). Datový sklad v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně.
Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.
Synapse podporuje klíče spravované zákazníkem (CMK) pro šifrování. Toto šifrování používá klíče vygenerované v Azure Key Vault.
Odpovědnost: Sdílené
BR-4: Zmírnění rizika ztracených klíčů
Pokyny: Ujistěte se, že máte zavedená opatření, která zabrání ztrátě klíčů a obnoví se po této ztrátě klíčů. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.
Odpovědnost: Sdílené
Další kroky
- Další informace najdete v článku Přehled Azure Security Benchmark v2.
- Další informace o základních úrovních zabezpečení Azure