Línea base de seguridad de Azure para Azure SQL Database

Esta línea base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure SQL Database. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y la guía relacionada aplicable a Azure SQL Database.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure SQL Database y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure SQL Database se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Azure SQL Database.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: Azure SQL no admite la implementación directa en una red virtual. Debido a esto, no se pueden aprovechar ciertas características de red con los recursos de la oferta, como los grupos de seguridad de red, las tablas de rutas u otros dispositivos dependientes de la red, como una instancia de Azure Firewall.

Use Microsoft Sentinel para detectar el uso de protocolos heredados poco seguros como SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin firmar y cifrados débiles de Kerberos.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. Audit, Deny, Disabled 1.1.0

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Las conexiones ExpressRoute no utilizan la red de Internet pública y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. Audit, Disabled 1.1.0

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: use Azure Private Link para habilitar el acceso privado a Azure SQL desde sus redes virtuales sin usar Internet.

El acceso privado es una medida de defensa exhaustiva de la seguridad para la autenticación y el tráfico que ofrecen los servicios de Azure.

Use los puntos de conexión de servicio de red virtual de Azure para proporcionar acceso seguro al área de trabajo de Azure SQL mediante una ruta optimizada por la red troncal de Azure sin cruzar Internet.

El acceso privado es una medida de defensa exhaustiva de la seguridad para la autenticación y el tráfico que ofrecen los servicios de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. Audit, Disabled 1.1.0

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para los recursos de Azure SQL. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Cuando se usan puntos de conexión de servicio para Azure SQL Database, se requiere una salida a las direcciones IP públicas de Azure SQL Database: los grupos de seguridad de red (NSG) deben estar abiertos en las direcciones IP de Azure SQL Database para permitir la conectividad. Puede hacerlo mediante el uso de etiquetas de servicio de grupos de seguridad de red para Azure SQL Database. Descripción de las etiquetas de servicio con puntos de conexión de servicio para Azure SQL Database:/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview#limitations

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: siga los procedimientos recomendados de la seguridad de DNS con el fin de mitigar los ataques comunes, como el DNS pendiente, los ataques de amplificación de DNS, "poisoning" y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure SQL usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de identidad relativa a los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen una cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos mediante su identidad externa.

Para Azure SQL Database se pueden aprovisionar los siguientes miembros de Azure AD: miembros nativos, miembros de un dominio de Active Directory federados con Azure Active Directory en un dominio administrado configurado para el inicio de sesión de conexión directa con autenticación hash con contraseña o de tránsito, miembros importados de otras instancias de Azure AD que sean miembros de dominio nativos o federados y grupos de Active Directory creados como grupos de seguridad.

Azure Active Directory (Azure AD) admite la creación de usuarios en Azure SQL Database (SQL DB) en nombre de las aplicaciones de Azure AD (entidades de servicio).

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Azure SQL admite identidades administradas para sus recursos de Azure. Use identidades administradas con Azure SQL en lugar de crear entidades de servicio para acceder a otros recursos. Azure SQL puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD mediante una regla de concesión de acceso predefinida sin usar las credenciales codificadas de forma rígida en el código fuente o los archivos de configuración.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Azure SQL usa Azure Active Directory para proporcionar administración de identidades y accesos a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye no solo las identidades empresariales (como los empleados), sino también las identidades externas, como asociados y proveedores. Esto habilita el inicio de sesión único para administrar y proteger el acceso a los datos y recursos de su organización locales y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: Azure SQL da la posibilidad a los clientes de implementar o ejecutar {código, configuraciones o datos persistentes} con identidades o secretos. Se recomienda implementar Credential Scanner para identificar las credenciales en {código, configuraciones o datos persistentes}. Credential Scanner también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, puede usar la característica nativa de examen de secretos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados más críticos de Azure AD son los de administrador global y administrador de roles con privilegios, ya que los usuarios que tengan asignados estos dos roles pueden delegar roles de administrador:

  • Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
  • Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel alto. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Puede habilitar el acceso con privilegios cuando es necesario (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Azure SQL usa cuentas de Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y obtener acceso a la asignación con regularidad para asegurarse de que las cuentas y el acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar la pertenencia a grupos, el acceso a las aplicaciones empresariales y la asignación de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Asimismo, puede configurar Azure AD PIM para enviar una alerta cuando se cree un número excesivo de cuentas de administrador y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Azure SQL se integra con el control de acceso basado en roles de Azure (Azure RBAC) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Las cuentas de autenticación de SQL cumplen este requisito.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, Azure SQL admite la Caja de seguridad del cliente, la cual proporciona una interfaz para que pueda revisar y aprobar o rechazar las solicitudes de acceso a los datos del cliente.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que a los equipos de seguridad se les conceden permisos de Lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos de Azure continuamente actualizado, como Azure SQL. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure Active Directory (Azure AD) para que contenga el equipo de seguridad autorizado de su organización y asigne acceso de lectura a todos los recursos de Azure SQL; esto se puede simplificar mediante una única asignación de roles de nivel alto dentro de la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en Virtual Machines. El nombre del software, la versión, el editor y la hora de actualización están disponibles en Azure Portal. Para acceder a las fechas de instalación y a otra información, habilite los diagnósticos de nivel de invitado y transfiera los registros de eventos de Windows a un área de trabajo de Log Analytics.

Azure SQL no permite la ejecución de una aplicación ni la instalación de software en sus recursos. Describa cualquier otra característica de la oferta que permita o admita esta funcionalidad, según corresponda.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: use la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud y habilite Microsoft Defender (anteriormente Azure Advanced Threat Protection) para los recursos de Azure SQL. Microsoft Defender para Azure SQL proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a los recursos de Azure SQL.

Reenvíe los registros de Azure SQL a su SIEM, ya que puede usarse para configurar detecciones de amenazas personalizadas. Asegúrese de que supervisa distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Microsoft Defender para SQL debe habilitarse en las instancias de SQL Managed Instance desprotegidas. Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de supervisión/SIEM para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta capacidad le permite ver las anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Microsoft Defender para SQL debe habilitarse en las instancias de SQL Managed Instance desprotegidas. Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: Azure SQL no admite la integración con redes o no expone sus actividades relacionadas con la red.

Azure SQL no está diseñado para implementarse en redes virtuales. Por este motivo, no puede habilitar el registro de flujo del grupo de seguridad de red, enrutar el tráfico por un firewall ni realizar capturas de paquetes.

Azure SQL no implementa ningún recurso directamente en redes virtuales. Sin embargo, permite usar puntos de conexión privados para conectarse de forma segura a sus recursos desde una red virtual. Azure SQL tampoco genera ni procesa registros de consulta de DNS que deban habilitarse. Azure SQL no genera ni procesa registros de consulta de DNS.

Habilite el registro en los puntos de conexión privados configurados de Azure SQL para capturar:

  • datos procesados por el punto de conexión privado (ENTRADA/SALIDA)

  • datos procesados por el servicio Private Link (ENTRADA/SALIDA)

  • Disponibilidad del puerto NAT

Intencionadamente, aunque los recursos de Azure SQL se pueden implementar en una red virtual, el tráfico hacia los recursos de Azure SQL y desde aquí no se puede aplicar a un grupo de seguridad de red ni pasar por ellos. Las directivas de red deben deshabilitarse en la subred para que la oferta funcione correctamente. Por esta razón, no puede configurar el registro de flujo del grupo de seguridad de red para Azure SQL.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad, disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) de los recursos de Azure SQL, excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Azure SQL. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y la realización de análisis a posteriori.

Azure SQL Database también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite estos registros de auditoría de administrador local y configúrelos para que se envíen a un área de trabajo central de Log Analytics o a una cuenta de almacenamiento para la retención y auditoría a largo plazo.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La auditoría de SQL Server debe estar habilitada La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 2.0.0

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.

Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Además, habilite e incorpore datos a Microsoft Sentinel o a un sistema SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de acceso frecuente y Azure Storage para los datos inactivos que se usan con menos frecuencia.

Para las aplicaciones que se pueden ejecutar en Azure SQL, reenvíe todos los registros relacionados con la seguridad a su SIEM para una administración centralizada.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de Azure SQL tengan el período de retención de registros configurado de acuerdo a la normativa de cumplimiento de la organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Sql:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. AuditIfNotExists, Disabled 3.0.0

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure SQL no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Azure SQL se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: puede usar Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicaciones, incluidas las plantillas de Azure Resource Manager, los controles de Azure RBAC y las directivas, en una única definición de plano técnico.

Las reglas de firewall de IP de nivel de base de datos permiten a los clientes acceder a determinadas bases de datos (seguras). Se crean para cada base de datos (incluida la base datos maestra) y se almacenan en las bases de datos individuales.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para la supervisión de la línea de base de configuración y la aplicación mediante [deny] y [deploy if not exist] de Azure Policy para aplicar la configuración segura en todos los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros elementos.

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, como las máquinas virtuales, los contenedores, etc.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Customer

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-2: Uso de software antimalware moderno administrado centralmente

Guía: proteja Azure SQL Database o sus recursos con un software antimalware moderno administrado centralmente.

  • Use una solución antimalware para punto de conexión administrada centralmente capaz de realizar análisis periódicos y en tiempo real.

  • Microsoft Defender for Cloud puede identificar automáticamente el uso de varias soluciones antimalware populares para las máquinas virtuales e informar del estado de ejecución de la protección del punto de conexión, así como realizar recomendaciones.

  • Microsoft Antimalware para Azure Cloud Services es el antimalware predeterminado para las máquinas virtuales Windows. Para las máquinas virtuales Linux, use una solución antimalware de terceros. Puede usar la detección de amenazas de Microsoft Defender for Cloud para que los servicios de datos detecten malware cargado en las cuentas de Azure Storage.

  • Configuración de Microsoft Antimalware para Cloud Services y Virtual Machines

  • Soluciones de protección de punto de conexión compatibles

Responsabilidad: Customer

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Asegúrese de que las firmas antimalware se actualizan de forma rápida y coherente.

Siga las recomendaciones de Microsoft Defender for Cloud: Proceso y aplicaciones para asegurarse de que todos los puntos de conexión estén actualizados con las firmas más recientes.

De forma predeterminada, Microsoft Antimalware instalará automáticamente las últimas firmas y actualizaciones del motor. Para Linux, use una solución antimalware de terceros.

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: Azure SQL Database emplea tecnología de SQL Server para crear copias de seguridad completas cada semana, copias de seguridad diferenciales cada 12-24 horas y copias de seguridad del registro de transacciones cada 5 o 10 minutos.

De manera predeterminada, SQL Database almacena los datos en blobs de almacenamiento con redundancia geográfica que se replican en una región emparejada. En el caso de una instancia de SQL Database, la redundancia del almacenamiento de copia de seguridad se puede configurar en el momento de crear la base de datos, o se puede actualizar para una base de datos existente; los cambios realizados en una base de datos existente solo se aplican a las copias de seguridad futuras.

Responsabilidad: Customer

BR-2: Cifrado de los datos de copia de seguridad

Guía: Asegúrese de que las copias de seguridad están protegidas frente a los ataques. Esto debe incluir el cifrado de las copias de seguridad para proteger frente a la pérdida de confidencialidad.

En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que proporcione. En el caso de las copias de seguridad periódicas de servicios de Azure, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma de Azure. También puede optar por cifrar la copia de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente del almacén de claves también esté en el ámbito de la copia de seguridad.

Use el control de acceso basado en roles en Azure Backup, Azure Key Vault u otros recursos para proteger las copias de seguridad y las claves administradas por el cliente. Además, puede habilitar características de seguridad avanzadas para requerir MFA antes de modificar o eliminar copias de seguridad.

Si la base de datos se cifra con TDE, las copias de seguridad se cifran de forma automática en reposo, incluidas las copias de seguridad LTR. Todas las bases de datos nuevas de Azure SQL están configuradas con TDE habilitado de forma predeterminada.

Responsabilidad: Customer

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: realice periódicamente la restauración de los datos de la copia de seguridad.

Tanto SQL Database como SQL Managed Instance usan tecnología de SQL Server para crear copias de seguridad completas cada semana, copias de seguridad diferenciales cada 12 o 24 horas y copias de seguridad del registro de transacciones cada 5 o 10 minutos.

asegúrese de forma periódica de que puede restaurar las claves administradas por el cliente de las que se hizo una copia de seguridad.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

Habilitación de la eliminación

Responsabilidad: Customer

Pasos siguientes