Línea base de seguridad de Azure para Azure SQL Database
Esta línea base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure SQL Database. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y la guía relacionada aplicable a Azure SQL Database.
Nota
Se han excluido los Azure SQL Database que no son aplicables a los Azure SQL Database y aquellos para los que se recomienda la guía global. Para ver cómo Azure SQL Database asigna completamente a Azure Security Benchmark, consulte el archivo de asignación de línea de base de Azure SQL Database de seguridad completo.
Seguridad de redes
Para más información, consulte Azure Security Benchmark: seguridad de red.
NS-1: implementación de la seguridad para el tráfico interno
Guía:Azure SQL no admite la implementación directamente en una red virtual, por lo que no puede aprovechar determinadas características de red con los recursos de la oferta, como grupos de seguridad de red, tablas de rutas u otros dispositivos dependientes de la red, como un Azure Firewall.
Use Microsoft Sentinel para detectar el uso de protocolos no seguros heredados, como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin signo y cifrados débiles en Kerberos.
Protección de red adaptable en Microsoft Defender para la nube
Arquitectura de conectividad de Azure SQL Database y Azure Synapse Analytics
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
NS-2: Conexión conjunta de redes privadas
Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.
Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
NS-3: establecimiento del acceso de red privada a los servicios de Azure
Guía:use Azure Private Link para habilitar el acceso privado a Azure SQL desde las redes virtuales sin atravesar Internet.
El acceso privado es una defensa adicional en profundidad de la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.
Use los puntos Virtual Network de servicio de Azure para proporcionar acceso seguro a Azure SQL a través de una ruta optimizada a través de la red troncal de Azure sin atravesar Internet.
El acceso privado es una defensa adicional en profundidad de la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
NS-6: simplificación de las reglas de seguridad de red
Guía:Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall configurados para los recursos de Azure SQL azure. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Cuando se usan puntos de conexión de servicio para Azure SQL Database, se requiere una salida a las direcciones IP públicas de Azure SQL Database: los grupos de seguridad de red (NSG) deben estar abiertos en las direcciones IP de Azure SQL Database para permitir la conectividad. Puede hacerlo mediante el uso de etiquetas de servicio de grupos de seguridad de red para Azure SQL Database. Descripción de las etiquetas de servicio con puntos de conexión de servicio para Azure SQL Database:/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview#limitations
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
NS-7: servicio de nombres de dominio (DNS) seguro
Guía:siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como DNS desenlazándose, ataques de amplificaciones de DNS, ataques de dns, ataques de suplantación y suplantación de DNS, etc.
Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.
Guía de implementación del sistema de nombres de dominio (DNS) seguro
Evitar las entradas DNS pendientes y la adquisición de subdominios
Configuración de un DNS personalizado para Azure SQL Managed Instance
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de identidades
Para más información, consulte Azure Security Benchmark: Administración de identidades.
IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación
Guía:Azure SQL usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe estandarizar los Azure AD para regular la administración de identidades y acceso de su organización en:
- Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
- Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.
La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a evaluar la posición de seguridad de la identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el nivel de coincidencia de la configuración con las recomendaciones de procedimientos recomendados y para realizar mejoras en la posición de seguridad.
Nota: Azure AD identidades externas que permiten a los usuarios sin una cuenta Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.
Los siguientes miembros de Azure AD se pueden aprovisionar para Azure SQL Database: miembros nativos, miembros de un dominio de Active Directory federados con Azure Active Directory en un dominio administrado configurado para un inicio de sesión sin problemas con autenticación hash de contraseña o paso a través, miembros importados de otros Azure AD son miembros de dominio nativos o federados, y Active Directory creados como grupos de seguridad.
Azure Active Directory (Azure AD) admite la creación de usuarios en Azure SQL Database (SQL DB) en nombre de las aplicaciones de Azure AD (entidades de servicio).
Procedimiento para crear y configurar una instancia de Azure AD
Uso de proveedores de identidades externos para una aplicación
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
IM-2: Administración de identidades de aplicaciones de forma segura y automática
Guía:Azure SQL identidades administradas para sus recursos de Azure. Use identidades administradas con Azure SQL en lugar de crear entidades de servicio para acceder a otros recursos. Azure SQL autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD a través de una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma automática en archivos de configuración o código fuente.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones
Guía:Azure SQL usa Azure Active Directory para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye identidades empresariales, como empleados, así como identidades externas como asociados, proveedores y proveedores. Esto permite que el inicio de sesión único (SSO) administre y proteja el acceso a los datos y recursos de su organización tanto en el entorno local como en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
IM-7: Elimine la exposición de credenciales no intencionada
Guía:Azure SQL permite a los clientes implementar o ejecutar {código o configuraciones o datos persistentes} potencialmente con identidades o secretos. Se recomienda implementar Credential Scanner para identificar las credenciales dentro de {código o configuraciones o datos persistentes}. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Por GitHub, puede usar la característica de examen de secretos nativos para identificar credenciales u otras formas de secretos dentro del código.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Acceso con privilegios
Para más información, consulte Azure Security Benchmark: Acceso con privilegios.
PA-1: Protección y limitación de usuarios con privilegios elevados
Guía:Los roles integrados más críticos para Azure AD son el administrador global y el administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador:
- Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
- Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.
Nota: Es posible que tenga otros roles críticos que deban regularse si usa roles personalizados con determinados permisos con privilegios asignados. También puede aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.
Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar directa o indirectamente todos los recursos del entorno de Azure.
Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.
Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.
Uso de alertas de seguridad de Azure Privileged Identity Management
Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios
Guía:Azure SQL usa Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y las asignaciones de acceso con regularidad para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones Azure AD acceso para revisar las pertenencias a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.
Además, Azure AD PIM también se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador e identificar cuentas de administrador obsoletas o configuradas incorrectamente.
Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Guía:Las estaciones de trabajo aisladas y protegidas son fundamentalmente importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar la configuración segura, incluida la autenticación segura, las líneas base de software y hardware, y el acceso lógico y de red restringido.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)
Guía:Azure SQL integra con el control de acceso basado en rol de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.
Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.
SQL de autenticación cumplen este requisito.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft
Guía:en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, Azure SQL admite Caja de seguridad del cliente para proporcionar una interfaz para que revise y apruebe o rechace las solicitudes de acceso a los datos de los clientes.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de recursos
Para más información, consulte Azure Security Benchmark: Administración de recursos.
AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos
Guía:Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.
En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.
Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.
Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos
Guía:Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos actualizado continuamente en Azure, como Azure SQL. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para las mejoras de seguridad continuas. Cree un grupo de Azure Active Directory (Azure AD) que contenga el equipo de seguridad autorizado de su organización y asígneles acceso de lectura a todos los recursos de Azure SQL, que se pueden simplificar mediante una única asignación de roles de alto nivel dentro de la suscripción.
Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.
Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en Virtual Machines. El nombre de software, la versión, Publisher y el tiempo de actualización están disponibles en el Azure Portal. Para obtener acceso para instalar fechas y otra información, habilite los diagnósticos de nivel de invitado y lleve los registros de eventos de Windows a un área de trabajo de Log Analytics.
Azure SQL no permite ejecutar una aplicación ni la instalación de software en sus recursos. Describa cualquier otra característica de la oferta que permita o admita esta funcionalidad, según corresponda.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-3: Uso exclusivo de servicios de Azure aprobados
Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
registro y detección de amenazas
Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.
LT-1: Habilitación de la detección de amenazas para recursos de Azure
Guía:Use la funcionalidad de detección de amenazas integrada de Microsoft Defender para la nube y habilite Microsoft Defender (anteriormente Azure Advanced Threat Protection) para los recursos de Azure SQL nube. Microsoft Defender para Azure SQL proporciona una capa adicional de inteligencia de seguridad que detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos de Azure SQL o aprovecharlos.
Reenvía los registros de Azure SQL a SIEM, que se pueden usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando diferentes tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
Protección contra amenazas en Microsoft Defender para la nube
Guía de referencia de alertas de seguridad de Microsoft Defender para la nube
Creación de reglas de análisis personalizadas para detectar amenazas
Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias administradas SQL no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Guía:Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario, que se pueden ver en los informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de siem/supervisión para casos de uso de supervisión y análisis más sofisticados:
- Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
- Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
- Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
- Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.
Microsoft Defender para la nube también puede desencadenar alertas sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube también puede recopilar alertas de seguridad más detalladas de recursos de proceso individuales de Azure (máquinas virtuales, contenedores, App Service), recursos de datos (almacenamiento y base de datos de SQL) y capas de servicio de Azure. Esta funcionalidad le permite tener visibilidad sobre las anomalías de la cuenta dentro de recursos individuales.
Informes de actividad de auditoría en Azure Active Directory
Protección contra amenazas en Microsoft Defender para la nube
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias administradas SQL no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
LT-3: Habilitación del registro para las actividades de red de Azure
Guía:Azure SQL no admite la integración con redes o no expone sus actividades relacionadas con la red.
Azure SQL no está diseñado para implementarse en redes virtuales. Por este problema, no puede habilitar el registro de flujo del grupo de seguridad de red, enrutar el tráfico a través de un firewall ni realizar capturas de paquetes.
Azure SQL no implementa ningún recurso directamente en una red virtual. Sin embargo, Azure SQL permite usar puntos de conexión privados para conectarse de forma segura a sus recursos desde una red virtual. Azure SQL tampoco genera ni procesa registros de consulta DNS que deba habilitarse. Azure SQL no genera ni procesa registros de consulta DNS.
Habilite el registro en los puntos de conexión SQL azure configurados para capturar:
Datos procesados por el punto de conexión privado (IN/OUT)
datos procesados por el servicio Private Link (ENTRADA/SALIDA)
Disponibilidad del puerto NAT
Por diseño, aunque los recursos de Azure SQL se pueden implementar en una red virtual, el tráfico hacia y desde los recursos de Azure SQL no se puede aplicar ni pasar a través de un grupo de seguridad de red. Las directivas de red deben deshabilitarse en la subred para que la oferta funcione correctamente. Por este motivo, no puede configurar el registro de flujo del grupo de seguridad de red para Azure SQL.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-4: Habilitación del registro para recursos de Azure
Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) para los recursos de Azure SQL excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.
Habilite los registros de recursos de Azure para Azure SQL. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.
Azure SQL Database también genera registros de auditoría de seguridad para las cuentas de administración locales. Habilite estos registros de auditoría de administrador local y configure estos registros para que se envíen a un área de trabajo central de Log Analytics o a una cuenta de almacenamiento para la retención y auditoría a largo plazo.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Información sobre la recopilación de datos de Microsoft Defender para la nube
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.
Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.
Además, habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros.
Muchas organizaciones eligen usar Microsoft Sentinel para los datos "frecuentes" que se usan con frecuencia y Azure Storage para los datos "fríos" que se usan con menos frecuencia.
Para las aplicaciones que se pueden ejecutar en Azure SQL, reenvía todos los registros relacionados con la seguridad a SIEM para la administración centralizada.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
LT-6: Configuración de la retención del almacenamiento de registros
Guía:Asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar los registros de Azure SQL tienen el período de retención de registros establecido según las regulaciones de cumplimiento de su organización.
En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.
Configuración del período de retención del área de trabajo de Log Analytics
Almacenamiento de registros de recursos en una cuenta de Azure Storage
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
LT-7: Uso de orígenes de sincronización de hora aprobados
Guía:Azure SQL no admite la configuración de sus propios orígenes de sincronización de hora. Azure SQL servicio se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para la configuración.
Responsabilidad: Microsoft
Microsoft Defender para la supervisión en la nube:Ninguno
administración de posturas y vulnerabilidades
Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.
PV-1: establecimiento de configuraciones seguras para servicios de Azure
Guía:puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación, incluidas las plantillas de Azure Resources Manager, los controles RBAC de Azure y las directivas en una única definición de plano técnico.
Las reglas de firewall de IP de nivel de base de datos permiten a los clientes acceder a determinadas bases de datos (seguras). Se crean para cada base de datos (incluida la base datos maestra) y se almacenan en las bases de datos individuales.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-2: sostenimiento de configuraciones seguras para servicios de Azure
Guía:Use Microsoft Defender para la nube para supervisar la línea de base de configuración y aplicar el uso de Azure Policy [deny] e [deploy if not exist] para aplicar una configuración segura en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-3: establecimiento de configuraciones seguras para los recursos de proceso
Guía:Use Microsoft Defender para la nube y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas máquinas virtuales, contenedores y otros.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-8: realización de una simulaciones de ataques periódicas
Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.
siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
seguridad de los puntos de conexión
Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.
ES-2: Uso de software antimalware moderno administrado centralmente
Guía:proteja su Azure SQL Database sus recursos con un software antimalware moderno administrado centralmente.
Use una solución antimalware de punto de conexión administrada centralmente capaz de realizar análisis periódicos y en tiempo real.
Microsoft Defender para la nube puede identificar automáticamente el uso de varias soluciones antimalware populares para las máquinas virtuales (VM), notificar el estado de ejecución de Endpoint Protection y, a continuación, realizar recomendaciones.
Microsoft Antimalware para Azure Cloud Services es el antimalware predeterminado para Windows máquinas virtuales. En el caso de las máquinas virtuales Linux, use una solución antimalware de terceros. Puede usar Microsoft Defender para la detección de amenazas en la nube para los servicios de datos con el objeto de detectar malware cargado en Azure Storage cliente.
Configuración de Microsoft Antimalware para Cloud Services y Virtual Machines
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
Guía: Asegúrese de que las firmas antimalware se actualizan de forma rápida y coherente.
Siga las recomendaciones de Microsoft Defender para la nube: Aplicaciones de proceso para asegurarse de que todos los puntos de conexión están & actualizados con las firmas más recientes.
De forma predeterminada, Microsoft Antimalware instalará automáticamente las últimas firmas y actualizaciones del motor. Para Linux, use una solución antimalware de terceros.
Implementación de Microsoft Antimalware para Azure Cloud Services y Virtual Machines
Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Copia de seguridad y recuperación
Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Guía:Azure SQL Database tecnología SQL Server para crear copias de seguridad completas cada semana, copias de seguridad diferenciales cada 12-24 horas y copia de seguridad del registro de transacciones cada 5 a 10 minutos.
De forma predeterminada, SQL Database datos en blobs de almacenamiento con redundancia geográfica que se replican en una región emparejada. En el caso de una instancia de SQL Database, la redundancia del almacenamiento de copia de seguridad se puede configurar en el momento de crear la base de datos, o se puede actualizar para una base de datos existente; los cambios realizados en una base de datos existente solo se aplican a las copias de seguridad futuras.
Copias de seguridad automatizadas: Azure SQL Database Azure SQL Instancia administrada
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
BR-2: Cifrado de los datos de copia de seguridad
Guía: Asegúrese de que las copias de seguridad están protegidas frente a los ataques. Esto debe incluir el cifrado de las copias de seguridad para proteger frente a la pérdida de confidencialidad.
En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que proporcione. En el caso de las copias de seguridad periódicas de servicios de Azure, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma de Azure. También puede cifrar la copia de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente del almacén de claves también esté en el ámbito de la copia de seguridad.
Use el control de acceso basado en roles en Azure Backup, Azure Key Vault u otros recursos para proteger las copias de seguridad y las claves administradas por el cliente. Además, puede habilitar características de seguridad avanzadas para requerir MFA antes de modificar o eliminar copias de seguridad.
Si la base de datos se cifra con TDE, las copias de seguridad se cifran de forma automática en reposo, incluidas las copias de seguridad LTR. Todas las bases de datos nuevas de Azure SQL están configuradas con TDE habilitado de forma predeterminada.
Introducción a las características de seguridad de Azure Backup
Cifrado de datos de copia de seguridad mediante claves administradas por el cliente
Características de seguridad que ayudan a proteger las copias de seguridad híbridas frente a ataques
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía:Realice periódicamente la restauración de datos de la copia de seguridad.
Tanto SQL Database como SQL Managed Instance usan tecnología de SQL Server para crear copias de seguridad completas cada semana, copias de seguridad diferenciales cada 12 o 24 horas y copias de seguridad del registro de transacciones cada 5 o 10 minutos.
Asegúrese periódicamente de que puede restaurar claves administradas por el cliente de copia de seguridad.
Recuperación de archivos desde una copia de seguridad de máquina virtual de Azure
Información general sobre la eliminación temporal de Azure Key Vault
Copias de seguridad automatizadas: Azure SQL Database Azure SQL Instancia administrada
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
BR-4: Mitigación del riesgo de pérdida de claves
Guía:Asegúrese de que tiene medidas para evitar y recuperarse de la pérdida de claves. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.
Habilitación de soft
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Pasos siguientes
- Consulte la Información general sobre Azure Security Benchmark V2.
- Obtenga más información sobre las líneas de base de seguridad de Azure.