Standardní hodnoty zabezpečení Azure pro pracovní prostor Synapse Analytics

  • Článek

Tento standardní plán zabezpečení použije pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na pracovní prostor Synapse Analytics. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejících pokynů platných pro pracovní prostor Synapse Analytics.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na řídicím panelu Microsoft Defender pro cloud.

Pokud oddíl obsahuje relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na pracovní prostor Synapse Analytics, a ty, pro které se doslovně doporučují globální pokyny, byly vyloučeny. Pokud chcete zjistit, jak se pracovní prostor Synapse Analytics kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení pracovního prostoru Synapse Analytics.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků pracovního prostoru Azure Synapse vytvořte nebo použijte existující virtuální síť. Ujistěte se, že všechny virtuální sítě Azure dodržují podnikový princip segmentace, který je v souladu s obchodními riziky. Každý systém, který by mohl pro organizaci představovat vyšší riziko, by měl být izolovaný v rámci vlastní virtuální sítě a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Pokud chcete doporučit konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy založené na pravidlech externího síťového provozu, použijte Microsoft Defender pro posílení zabezpečení sítě s adaptivním zabezpečením sítě.

Azure Synapse Analytics poskytuje spravovaný pracovní prostor Virtual Network. Jedná se o skladovou položku pracovního prostoru Synapse přidruženou k Virtual Network spravované službou Azure Synapse. Spravované privátní koncové body můžete vytvářet jenom v pracovním prostoru, ke kterému je přidružený spravovaný pracovní prostor Virtual Network.

V závislosti na vašich aplikacích a strategii podnikové segmentace omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních, dobře definovaných aplikací (například u 3vrstvých aplikací) to může být ve výchozím nastavení vysoce zabezpečené odepření.

Spravovaný pracovní prostor Virtual Network umožňuje příchozím pravidlům NSG ve vašich vlastních virtuálních sítích povolit vstup Azure Synapse provozu správy do vašeho Virtual Network. Navíc nemusíte vytvářet podsíť pro clustery Spark na základě zatížení ve špičce.

Pomocí Služby Azure Sentinel můžete zjistit použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, vazby bez znaménka LDAP a slabé šifry v protokolu Kerberos.

Synapse SQL v Azure Synapse Analytics umožňuje připojení pomocí všech verzí protokolu TLS. V Azure Synapse Analytics nemůžete nastavit minimální verzi protokolu TLS pro Synapse SQL. Jiné funkce Synapse ve výchozím nastavení používají protokol TLS 1.2.

Ujistěte se, že brána firewall ve vaší síti i na místním počítači umožňuje pro funkci Synapse Studio odchozí komunikaci na portech TCP 80, 443 a 1443. Pro Synapse Studio také musíte povolit odchozí komunikaci na portu UDP 53. Pokud se chcete připojovat pomocí nástrojů, jako jsou aplikace SSMS nebo Power BI, je potřeba povolit odchozí komunikaci na portu TCP 1433.

Nastavení brány firewall na portálu Azure Synapse může blokovat veškeré připojení k veřejné síti.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistíte, aby k databázi Azure SQL bylo možné přistupovat jenom z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0

NS-2: Propojení privátních sítí

Pokyny: K vytvoření privátních připojení mezi datacentry Azure a místní infrastrukturou v kolokačním prostředí použijte Azure ExpressRoute nebo virtuální privátní síť (VPN) Azure. Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení. V případě vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí libovolné kombinace těchto možností sítě VPN a Azure ExpressRoute.

Pokud chcete v Azure propojit dvě nebo více virtuálních sítí, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Azure SQL Managed Instances by měly zakázat přístup k veřejné síti Zakázání přístupu k veřejné síti (veřejný koncový bod) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat jenom z jejich virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete na stránce https://aka.ms/mi-public-endpoint. Audit, Odepřít, Zakázáno 1.0.0

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Spravované privátní koncové body můžete vytvořit z pracovního prostoru Azure Synapse pro přístup ke službám Azure (jako je Azure Storage nebo Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure.

Pomocí Azure Private Link povolíte privátní přístup k pracovnímu prostoru Azure Synapse z virtuálních sítí, aniž byste museli přecházet přes internet.

Privátní přístup je dalším měřítkem hloubkové ochrany ověřování a zabezpečení provozu nabízených službami Azure.

Připojení k Synapse Studiu s využitím privátních propojení probíhá ve dvou krocích. Nejprve musíte vytvořit prostředek služby Private Link Hubs. Zadruhé musíte vytvořit privátní koncový bod z virtuální sítě Azure do tohoto centra privátního propojení. Pak můžete s využitím privátních koncových bodů zabezpečeně komunikovat se Synapse Studiem. Privátní koncové body musíte integrovat se svým řešením DNS, ať už s místním řešením, nebo s Azure Privátní DNS.

Pomocí koncových bodů služby Azure Virtual Network můžete poskytovat zabezpečený přístup k pracovnímu prostoru Azure Synapse prostřednictvím optimalizované trasy přes páteřní síť Azure bez přechodu přes internet.

Privátní přístup je dalším měřítkem hloubkové ochrany ověřování a zabezpečení provozu nabízených službami Azure.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Připojení privátních koncových bodů ve službě Azure SQL Database by měla být povolená. Připojení privátních koncových bodů vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Chraňte prostředky pracovního prostoru Azure Synapse před útoky z externích sítí, včetně distribuovaných útoků DDoS (DoS), útoků specifických pro konkrétní aplikace a nevyžádaného a potenciálně škodlivého internetového provozu. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a jiných externích umístění. Chraňte své prostředky před útoky DDoS povolením standardní ochrany DDoS ve virtuálních sítích Azure. Pomocí Microsoft Defender for Cloud můžete detekovat rizika chybná konfigurace pro prostředky související se sítí.

Azure Synapse Workspace není určen ke spouštění webových aplikací a nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasadíte další síťové služby, abyste ho ochránili před útoky na externí sítě, které cílí na webové aplikace.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS a zmírnit tak běžné útoky, jako jsou útoky na dangling DNS, útoky na zesílení DNS, otravy DNS a falšování identity atd.

Pokud se azure DNS používá jako autoritativní služba DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Synapse Workspace používá Azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci v:

  • Cloudové prostředky Microsoftu, jako jsou aplikace Azure Portal, Azure Storage, Azure Virtual Machine (Linux a Windows), Azure Key Vault, PaaS a SaaS.
  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být v praxi zabezpečení cloudu vaší organizace vysokou prioritou. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením osvědčených postupů od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlašovat se k aplikacím a prostředkům pomocí externí identity.

Uživatelé s rolemi vlastníka nebo přispěvatele Azure (Azure RBAC) ve skupině prostředků budou moct spravovat vyhrazené fondy SQL, fondy Sparku a prostředí Integration Runtime v Synapse. Synapse RBAC navíc rozšiřuje možnosti Azure RBAC, aby bylo možné řídit, kdo může číst nebo publikovat artefakty kódu, spouštět kód, přistupovat k propojeným službám a monitorovat nebo rušit provádění úloh.

Azure AD ověřování používá uživatele databáze s omezením nebo uživatele na úrovni fondu k ověřování identit na úrovni databáze pro fondy SQL v Azure Synapse Analytics. Synapse také podporuje ověřování SQL pro fondy SQL. V případě této metody ověřování uživatel za účelem navázání připojení odešle název uživatelského účtu a přidružené heslo. Tato hesla se ukládají v hlavní databázi pro uživatelské účty propojené s přihlášením nebo v databázi obsahující uživatelské účty nepropojené s přihlášením.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvku můžou vyžadovat Microsoft Defender plán pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Pro sql servery by měl být zřízen správce Azure Active Directory. Pokud chcete povolit ověřování Azure AD, auditujte zřizování správce Azure Active Directory pro sql server. Azure AD ověřování umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu. AuditIfNotExists, Zakázáno 1.0.0

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Synapse Workspace podporuje spravované identity pro své prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům používejte spravované identity s pracovním prostorem Azure Synapse. Azure Synapse Workspace se může nativně ověřovat ve službách Nebo prostředcích Azure, které podporují ověřování Azure AD prostřednictvím předdefinovaného pravidla udělení přístupu bez použití přihlašovacích údajů pevně zakódovaných ve zdrojovém kódu nebo konfiguračních souborech.

Azure Synapse Analytics používá spravovanou identitu k integraci kanálů.

Azure Synapse Workspace doporučuje použít Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředků, aby bylo možné nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k tajným klíčům klienta. V obou případech je možné použít azure Key Vault ve spojení s identitami spravovanými v Azure, aby runtime prostředí (například funkce Azure) načetla přihlašovací údaje z trezoru klíčů.

Azure Synapse Analytics podporuje šifrování klíčů spravovaných zákazníkem (CMK). Toto šifrování používá klíče vygenerované v Azure Key Vault.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Synapse Workspace používá Azure Active Directory k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé. Díky tomu může jednotné přihlašování spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Synapse Analytics může zákazníkům umožnit nasadit nebo spustit následující entity, které můžou mít identity nebo tajné kódy:

  • Kód
  • Konfigurace
  • Trvalá data

Implementujte Skener přihlašovacích údajů k identifikaci přihlašovacích údajů v rámci těchto entit. Kontrola přihlašovacích údajů bude také podporovat přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault. Pro GitHub použijte funkci nativní kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jiné formy tajných kódů v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitějšími předdefinovanými rolemi pro Azure AD jsou globální správce a správce privilegovaných rolí, protože uživatelé přiřazení k těmto dvěma rolím můžou delegovat role správce:

  • Globální správce nebo správce společnosti: Uživatelé s touto rolí mají přístup ke všem funkcím správy v Azure AD a ke službám, které používají Azure AD identity.
  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD i v rámci Azure AD Privileged Identity Management (PIM). Kromě toho tato role umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s přiřazenými určitými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také použít podobné ovládací prvky pro účet správce důležitých obchodních prostředků.

Měli byste omezit počet vysoce privilegovaných účtů nebo rolí a chránit tyto účty na zvýšené úrovni. Uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat každý prostředek ve vašem prostředí Azure.

Pomocí Azure AD PIM můžete povolit privilegovaný přístup za běhu (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

Azure Synapse pracovní prostor má tyto vysoce privilegované účty:

  • Vlastník Azure ve skupině prostředků
  • Přispěvatel Azure ve skupině prostředků
  • Přispěvatel dat objektů blob služby Storage v kontejneru úložiště ADLS g2 přidruženého k Synapse
  • Správce Synapse
  • Správce Synapse SQL
  • Správce Synapse Sparku

Vytvořte standardní provozní postupy pro použití vyhrazených účtů pro správu.

Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet správce se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Synapse Workspace používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelné kontrole uživatelských účtů a přiřazení přístupu, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontroly přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestav kontroly přístupu, které usnadní proces kontroly.

Kromě toho je možné Azure AD PIM nakonfigurovat tak, aby vás upozorňovala na vytvoření nadměrného počtu účtů správců a identifikovala účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Azure Synapse pracovních prostorů vyžadují, aby uživatelé v rolích Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků mohli řídit správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse. Při použití ověřování SQL vytvořte uživatele databáze s omezením ve fondech SQL. Ujistěte se, že jste jednoho nebo více uživatelů databáze umístili do vlastní databázové role s konkrétními oprávněními vhodnými pro danou skupinu uživatelů.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené izolované pracovní stanice jsou kriticky důležité pro zabezpečení citlivých rolí, jako jsou správce, vývojář a operátor kritické služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Pomocí Azure Active Directory (Azure AD), Microsoft Defender ATP (Advanced Threat Protection) nebo Microsoft Intune nasaďte zabezpečenou a spravovanou pracovní stanici uživatele pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat, aby bylo možné vynutit zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Synapse Workspace je integrovaný s řízením přístupu na základě role v Azure (Azure RBAC) za účelem správy svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Existují předdefinované role pro určité prostředky a tyto role je možné inventarizované nebo dotazované pomocí nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup podle potřeby (JIT) Azure AD Privileged Identity Management (PIM) a měl by být pravidelně revidován.

Pomocí předdefinovaných rolí můžete přidělovat oprávnění a vytvářet vlastní role jenom v případě potřeby.

Azure Synapse Analytics vyžaduje, aby uživatelé v rolích Vlastník Azure nebo Přispěvatel Azure ve skupině prostředků ovládli správu vyhrazených fondů SQL, fondů Sparku a prostředí Integration Runtime. Kromě toho musí mít uživatelé a identita systému pracovního prostoru udělený přístup Přispěvatel dat v objektech blob služby Storage ke kontejneru úložiště ADLS Gen2 přidruženému k pracovnímu prostoru Synapse.

Při prvním vytvoření pracovního prostoru Azure Synapse můžete zadat přihlašovací jméno správce a heslo pro fondy SQL v pracovním prostoru Synapse. Tento účet správce se nazývá Správce serveru. Účet správce serveru pro Synapse můžete identifikovat tak, že otevřete Azure Portal a přejdete na kartu Přehled pracovního prostoru Synapse. Můžete také nakonfigurovat účet správce Azure AD s úplnými oprávněními správce. To se vyžaduje, pokud chcete povolit ověřování Azure Active Directory.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům zákazníků, Azure Synapse Workspace podporuje Customer Lockbox, aby vám poskytl rozhraní pro kontrolu a schválení nebo zamítnutí žádostí o přístup k zákaznickým datům.

Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům souvisejícím s SQL Database ve vyhrazeném fondu SQL, poskytuje Azure Customer Lockbox rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k datům.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označení citlivých dat

Pokyny: Zjišťování a klasifikace dat je integrovaná do Azure SQL a podporuje následující funkce: Zjišťování a doporučení – Klasifikační modul prohledá databázi a identifikuje sloupce, které obsahují potenciálně citlivá data. Pak vám poskytne snadný způsob, jak zkontrolovat a použít doporučenou klasifikaci prostřednictvím Azure Portal.

Popisování – Pomocí nových atributů metadat, které byly přidány do databázového stroje SQL Server, můžete u sloupců trvale použít popisky klasifikace citlivosti. Tato metadata se pak dají použít pro scénáře auditování a ochrany na základě citlivosti.

Citlivost sady výsledků dotazu – Citlivost sady výsledků dotazu se počítá v reálném čase pro účely auditování.

Viditelnost – Stav klasifikace databáze můžete zobrazit na podrobném řídicím panelu v Azure Portal. Můžete si také stáhnout sestavu ve formátu Excelu a použít ji pro účely dodržování předpisů, auditování a další potřeby.

Objevujte, klasifikujte a označte citlivá data, abyste mohli navrhnout vhodné ovládací prvky, které zajistí, aby byly citlivé informace bezpečně ukládány, zpracovávány a přenášeny technologickými systémy organizace.

Pro citlivé informace v dokumentech Office v Azure, v místním prostředí, v Microsoftu 365 a dalších umístěních použijte Azure Information Protection (a související nástroj pro vyhledávání).

Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Citlivá data v databázích SQL by měla být klasifikovaná. Microsoft Defender for Cloud monitoruje výsledky zjišťování a klasifikace dat pro databáze SQL a poskytuje doporučení ke klasifikaci citlivých dat v databázích pro lepší monitorování a zabezpečení. AuditIfNotExists, zakázáno 3.0.0-preview

DP-2: Ochrana citlivých dat

Pokyny: Chraňte citlivá data omezením přístupu pomocí řízení přístupu na základě role v Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (jako je šifrování).

Aby se zajistilo konzistentní řízení přístupu, měly by být všechny typy řízení přístupu v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro základní platformu (spravovanou Microsoftem) Microsoft považuje veškerý zákaznický obsah za citlivý a chrání před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Azure Synapse Analytics nabízí dvojité šifrování pomocí klíče spravovaného zákazníkem pro data ve fondech SQL, fondech Spark a prostředích Azure Data Factory Integration Runtime, kanálech a datových sadách.

Použijte funkci Azure Synapse zjišťování a klasifikace dat SQL. Kromě toho můžete v Azure Portal nastavit zásadu dynamického maskování dat (DDM). Modul doporučení DDM označí určitá pole z vaší databáze jako potenciálně citlivá pole, která můžou být vhodnými kandidáty pro maskování.

Transparentní šifrování dat pomáhá chránit data ve vyhrazených fondech SYNApse SQL před hrozbou škodlivé offline aktivity tím, že šifruje neaktivní uložená data. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte jednotlivé SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Azure Synapse Workspace podporuje přenos zákaznických dat, ale nativně nepodporuje monitorování neoprávněného přenosu citlivých dat.

Rozšířená ochrana před internetovými útoky (ATP) pro službu Azure Storage a ochrana ATP pro Azure SQL dokáží upozorňovat na neobvyklé přenosy informací, které můžou značit neautorizované přenosy citlivých informací.

Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. Nastavení protokolu TLS verze 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, aby k vaší Azure SQL Database měli přístup jenom klienti používající protokol TLS 1.2 nebo novější. Používání verzí protokolu TLS nižších než 1.2 se nedoporučuje, protože mají dobře zdokumentovaná ohrožení zabezpečení. Auditování, zakázáno, odepření 2.0.0

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pro doplnění řízení přístupu by přenášená data měla být chráněná proti "vzdáleným" útokům (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.

Azure Synapse Workspace podporuje šifrování přenášených dat pomocí protokolu TLS verze 1.2 nebo vyššího.

I když je to pro provoz v privátních sítích volitelné, je to důležité pro provoz v externích a veřejných sítích. V případě přenosů HTTP se ujistěte, že klienti připojující se k vašim prostředkům Azure můžou vyjednávat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé protokoly SSL, TLS, verze a protokoly SSH a slabé šifry by měly být zakázané.

Azure ve výchozím nastavení poskytuje šifrování dat přenášených mezi datovými centry Azure.

Odpovědnost: Zákazník

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pro doplnění řízení přístupu Azure Synapse Pracovní prostor šifruje neaktivní uložená data, aby se chránila před "vzdálenými útoky" (jako je přístup k základnímu úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli snadno číst nebo upravovat data.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat máte možnost implementovat další šifrování neaktivních uložených dat na všech prostředcích Azure, pokud jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale nabízí také možnosti správy vlastních klíčů (klíčů spravovaných zákazníkem) pro určité služby Azure, aby splňovaly zákonné požadavky.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje větší transparentnost a kontrolu ochrany transparentním šifrováním dat, zvýšené zabezpečení s externí službou s podporou HSM a podporu oddělení povinností. Toto doporučení platí pro organizace se souvisejícími požadavky na dodržování předpisů. Auditovat, Odepřít, Zakázáno 2.0.0

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění Čtenář zabezpečení, aby mohly monitorovat bezpečnostní rizika pomocí Microsoft Defender pro cloud.

V závislosti na struktuře odpovědností bezpečnostních týmů může monitorování bezpečnostních rizik odpovídat centrální tým zabezpečení nebo místní tým. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Zajistěte, aby bezpečnostní týmy měly přístup k průběžně aktualizovanému inventáři prostředků v Azure, jako je Azure Synapse Workspace. Bezpečnostní týmy tento inventář často potřebují k vyhodnocení potenciálního vystavení organizace vznikajícím rizikům a jako vstup pro neustálé vylepšování zabezpečení. Vytvořte skupinu Azure Active Directory (Azure AD), která bude obsahovat autorizovaný tým zabezpečení vaší organizace, a přiřaďte mu přístup ke čtení ke všem prostředkům Azure Synapse pracovního prostoru, což je možné zjednodušit jedním přiřazením role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků, skupin prostředků a předplatných Azure je můžete logicky uspořádat do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o softwaru v Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici na Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Azure Synapse pracovní prostor neumožňuje na svých prostředcích spouštět aplikaci ani instalovat software.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy můžete auditovat a omezit, které služby můžou uživatelé ve vašem prostředí zřizovat. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Sdílené

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Použijte integrovanou funkci detekce hrozeb Microsoft Defender pro cloud a povolte Azure Defender (dříve Azure Advanced Threat Protection) pro prostředky pracovního prostoru Azure Synapse. Azure Defender pro Azure Synapse Workspace poskytuje další vrstvu inteligentních informací zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům pracovního prostoru Azure Synapse nebo jejich zneužití.

Všechny protokoly z Azure Synapse můžete předávat do Azure Sentinelu, který můžete použít k nastavení vlastní detekce hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure z hlediska potenciálních hrozeb a anomálií. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili počet falešně pozitivních výsledků pro analytiky. Zdrojem upozornění můžou být data protokolu, agenti nebo jiná data.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez Advanced Data Security AuditIfNotExists, zakázáno 2.0.1

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které můžete zobrazit v Azure AD generování sestav nebo je integrovat se službou Azure Monitor, Azure Sentinel nebo jinými nástroji SIEM/monitorování pro sofistikovanější případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci Azure AD, jako je přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také aktivovat upozornění na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datových prostředků (databáze SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje získat přehled o anomáliích účtů uvnitř jednotlivých prostředků.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez Advanced Data Security AuditIfNotExists, zakázáno 2.0.1

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toků NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak pomocí Analýzy provozu poskytnout přehledy.

Azure Synapse Pracovní prostor protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníka. Povolení možnosti toku sítě v rámci nasazených nabízených prostředků

Když se připojujete k vyhrazenému fondu SQL a máte povolené protokoly toků skupin zabezpečení sítě (NSG), odesílají se protokoly do účtu služby Azure Storage pro účely auditování provozu.

Můžete také odesílat protokoly toků NSG do pracovního prostoru služby Log Analytics a pomocí Analýzy provozu poskytovat přehledy o toku provozu ve vašem cloudu Azure. Mezi výhody Analýzy provozu patří schopnost vizualizovat síťovou aktivitu a identifikovat aktivní body, identifikovat bezpečnostní hrozby, porozumět vzorcům toku provozu a přesně určit chybnou konfiguraci sítě.

Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou při korelaci dalších síťových dat. Implementujte řešení třetí strany z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky pracovního prostoru Azure Synapse s výjimkou operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo ke sledování toho, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro pracovní prostor Azure Synapse. Pomocí Microsoft Defender for Cloud a Azure Policy můžete povolit shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

Azure Monitor poskytuje metriky, výstrahy a protokoly základní infrastruktury pro většinu služeb Azure. Diagnostické protokoly Azure se generují prostředkem a poskytují bohatá a častá data o provozu tohoto prostředku. Azure Synapse Analytics může zapisovat diagnostické protokoly ve službě Azure Monitor. Konkrétně protokoluje operace Synapse RABC.

Azure Synapse Workspace také vytváří protokoly auditu zabezpečení pro účty místních správců. Povolit tyto protokoly auditu místního správce

Auditování služby Azure SQL Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Auditování na SQL Serveru by mělo být povolené. Auditování SQL Server by mělo být povolené, aby bylo možné sledovat databázové aktivity napříč všemi databázemi na serveru a ukládat je do protokolu auditování. AuditIfNotExists, zakázáno 2.0.0

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizace úložiště a analýzy protokolování za účelem zajištění korelace U každého zdroje protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování dat a přístupu k datům a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestujte protokoly prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení. Ve službě Azure Monitor použijte pracovní prostory Log Analytics k dotazování a provádění analýz a účty Azure Storage použijte k dlouhodobému a archivačnímu ukládání.

Kromě toho povolte a připojte data do služby Azure Sentinel nebo siem třetí strany.

Mnoho organizací se rozhodne používat Azure Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

U aplikací, které můžou běžet v pracovním prostoru Azure Synapse, předejte všechny protokoly související se zabezpečením do siEM pro centralizovanou správu.

Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů Azure Synapse pracovních prostorů mají nastavenou dobu uchovávání protokolů v souladu s předpisy vaší organizace.

Auditování služby Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditování v účtu Azure Storage, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs. Tyto protokoly auditu vám pomůžou zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit obavy nebo podezření na narušení zabezpečení.

Odpovědnost: Zákazník

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
Servery SQL s auditováním do cíle účtu úložiště by měly být nakonfigurované s uchováváním po dobu 90 dnů nebo vyšší. Pro účely šetření incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Server na cíl účtu úložiště na alespoň 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje kvůli dodržování zákonných standardů. AuditIfNotExists, zakázáno 3.0.0

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro většinu služeb Platformy Azure PaaS a SaaS. Pro virtuální počítače použijte pro synchronizaci času server NTP (Default Network Time Protocol) společnosti Microsoft, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server NTP, ujistěte se, že jste zabezpečili port 123 služby UDP.

Všechny protokoly generované prostředky v Azure poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.

SQL Server by měl používat koncový bod služby pro virtuální síť.

Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manageru, ovládacích prvků Azure RBAC a zásad, v jedné definici podrobného plánu.

Kromě Microsoft Defender pro řízení založené na cloudu je službě Synapse Analytics přiřazena řada zásad zabezpečení specifických pro nabídky. Můžete například zabezpečit Azure SQL Server s virtuální sítí prostřednictvím Private Link, monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní pomocí protokolů toku NSG a Analýzy provozu; odepření komunikace s IP adresami se známými škodlivými úmysly pomocí služby Advanced Threat Protection (ATP).

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defender for Cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat je pomocí Azure Policy [zamítnout] a [nasadit, pokud neexistuje] k vynucování zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.

Definujte zásady auditování SQL pro konkrétní databázi. Nebo ji definujte jako výchozí zásadu serveru v Azure (která hostuje vyhrazené fondy SQL). Výchozí zásady auditování zahrnují všechny akce a sadu skupin akcí. Akce a skupiny akcí budou auditovat:

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečené konfigurace pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Odpovědnost: Zákazník

PV-6: Provádění posouzení ohrožení zabezpečení softwaru

Pokyny: Microsoft provádí správu ohrožení zabezpečení v základních systémech, které podporují Azure Synapse Workspace.

Odpovědnost: Microsoft

Microsoft Defender pro monitorování cloudu: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender pro cloud a je základem doporučení Microsoft Defender pro cloud. Microsoft Defender for Cloud automaticky povolí definice Azure Policy související s tímto ovládacím prvku. Výstrahy související s tímto ovládacím prvkům můžou vyžadovat plán Microsoft Defender pro související služby.

Azure Policy předdefinovaných definic – Microsoft.Sql:

Name
(Azure Portal)		 Description Efekty Verze
(GitHub)
U databází SQL by se měla vyřešit zjištěná ohrožení zabezpečení. Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 4.1.0

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Pro software třetích stran použijte řešení pro správu oprav od jiného výrobce. Nebo pro Configuration Manager použijte System Center Aktualizace Publisher. Azure Synapse Analytics nepoužívá ani nevyžaduje žádný software třetích stran.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.

Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Zákazník

Zabezpečení koncového bodu

Další informace najdete ve srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Chraňte svůj pracovní prostor Azure Synapse nebo jeho prostředky pomocí centrálně spravovaného moderního antimalwarového softwaru.

  • Použijte centrálně spravované antimalwarové řešení koncového bodu, které umožňuje kontrolu v reálném čase a pravidelnou kontrolu.

  • Microsoft Defender for Cloud může automaticky identifikovat použití několika oblíbených antimalwarových řešení pro virtuální počítače, nahlásit stav spuštěné ochrany koncových bodů a pak zadat doporučení.

  • Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarovým softwarem pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany. K detekci malwaru nahraného do účtů Azure Storage můžete použít Microsoft Defender for Cloud's Threat detection for Cloud's Threat detection for Data Services.

  • Konfigurace Microsoft Antimalware pro Cloud Services a Virtual Machines

  • Podporovaná řešení ochrany koncových bodů

Odpovědnost: Zákazník

ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů

Pokyny: Nelze použít; Azure Synapse pracovní prostor se skládá z virtuálních počítačů ani kontejnerů, které by vyžadovaly ochranu EDR (Endpoint Detection and Response).

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Snímky vyhrazených fondů SYNApse SQL se během dne automaticky pořizují a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného za posledních 7 dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: Snímky vyhrazených fondů SYNApse SQL se automaticky pořizují po celý den a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazené fondy SQL podporují osmihodinový cíl bodu obnovení (RPO). Fond SQL v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně. Pokud k šifrování šifrovacího klíče databáze používáte klíč spravovaný zákazníkem, ujistěte se, že se váš klíč zálohuje.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Snímky vyhrazeného fondu SQL se automaticky pořizují v průběhu dne a vytvářejí se body obnovení, které jsou k dispozici po dobu sedmi dnů. Tuto dobu uchovávání nelze změnit. Vyhrazený fond SQL podporuje 8hodinový cíl bodu obnovení (RPO). Datový sklad v primární oblasti můžete obnovit z libovolného snímku pořízeného během posledních sedmi dnů. V případě potřeby můžete snímky aktivovat také ručně.

Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.

Synapse podporuje klíče spravované zákazníkem (CMK) pro šifrování. Toto šifrování používá klíče vygenerované v Azure Key Vault.

Odpovědnost: Sdílené

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte zavedená opatření, která zabrání ztrátě klíčů a obnoví se po této ztrátě klíčů. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Sdílené

Další kroky