Línea de base de seguridad de Azure Azure Synapse grupo de SQL dedicado (anteriormente SQL DW)
Esta línea de base de seguridad aplica la guía de la versión 2.0 de Azure Security Benchmark a Azure Synapse grupo de SQL dedicado (anteriormente SQL DW). Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Synapse grupo de SQL dedicado.
Nota
Los controles no aplicables Azure Synapse un grupo de SQL dedicado (anteriormente SQL DW) y aquellos para los que se recomienda textualmente la guía global, se han excluido. Para ver cómo Azure Synapse un grupo de SQL dedicado (anteriormente SQL DW) se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de línea de base de seguridad Azure Synapse un grupo de SQL dedicado (anteriormente SQL DW).
Seguridad de redes
Para más información, consulte Azure Security Benchmark: seguridad de red.
NS-1: implementación de la seguridad para el tráfico interno
Guía:Al implementar recursos Azure Synapse Analytics, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se alinea con los riesgos empresariales.
¿Su sistema incurre en un mayor riesgo para la organización? A continuación, aísle ese sistema dentro de su propia red virtual. Proteja suficientemente la red virtual con un grupo de seguridad de red (NSG) o Azure Firewall.
Use Microsoft Defender para la protección de red adaptable en la nube para configuraciones de NSG. Estas configuraciones limitan los puertos y las IP de origen con referencia a las reglas de tráfico de red externas.
En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en las reglas de NSG. Para aplicaciones específicas y bien definidas (como una aplicación de 3 niveles), este control puede ser una denegación altamente segura de forma predeterminada.
Use Microsoft Sentinel para detectar el uso de protocolos no seguros heredados, como:
- SSL/TLSv1
- SMBv1
- LM/NTLMv1
- WDigest
- Enlaces LDAP sin signo
- Cifrados débiles en Kerberos
La configuración de versión mínima de TLS permite a los clientes elegir qué versión de TLS usan SQL almacenamientos de datos. Actualmente, se admiten TLS 1.0, 1.1 y 1.2. Establecer una versión mínima de TLS garantiza que se admitan las versiones más recientes de TLS. Por ejemplo, elegir una versión 1.1 de TLS significa que solo se aceptan conexiones con TLS 1.1 y 1.2. Se rechazan las conexiones con TLS 1.0.
¿Desea acceder a Azure Synapse Analytics de datos desde el equipo local? A continuación, asegúrese de que el firewall de la red y del equipo local permite la comunicación saliente en el puerto TCP 1433.
Cuando "Denegar acceso a la red pública" está establecido en "Sí", solo se permiten las conexiones a través de puntos de conexión privados. Si esta configuración es "No" (valor predeterminado), los clientes pueden conectarse mediante:
- Puntos de conexión públicos con reglas de firewall basadas en IP o con reglas de firewall basadas en red virtual.
- Puntos de conexión privados mediante Azure Private Link.
Este comportamiento se describe en la introducción al acceso a la red.
Creación de un grupo de seguridad de red con reglas de seguridad
Protección de red adaptable en Microsoft Defender para la nube
Azure Synapse Analytics reglas de firewall de IP de almacenamiento de datos
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
NS-2: Conexión conjunta de redes privadas
Guía:con Azure ExpressRoute o una red privada virtual (VPN) de Azure, cree conexiones privadas entre los centros de datos de Azure y la infraestructura local en un entorno de colocación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las conexiones a Internet típicas, las conexiones ExpressRoute ofrecen:
- Más confiabilidad
- Velocidades más rápidas
- Latencias más bajas
¿Necesita usar VPN de punto a sitio y VPN de sitio a sitio? A continuación, conecte dispositivos o redes locales a una red virtual. Puede usar cualquier combinación de estas opciones de VPN y Azure ExpressRoute.
Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. Este tráfico se mantiene en la red troncal de Azure.
Con Private Link, puede conectarse a un servidor de Azure SQL a través de un punto de conexión privado. Un punto de conexión privado es una dirección IP privada dentro de una red virtual y una subred específicas. El SQL puede elegir aprobar o rechazar una conexión de punto de conexión privado. Opcionalmente, el administrador puede agregar una respuesta de texto corto.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
NS-3: establecimiento del acceso de red privada a los servicios de Azure
Guía:con Azure Private Link, habilite el acceso privado a Azure Synapse Analytics desde las redes virtuales sin cruzar Internet. El acceso privado es otra medida de defensa en profundidad para la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.
También puede optar por denegar el acceso de red pública al servidor de Azure SQL que hospeda los almacenamientos de datos. Cuando está habilitada, esta configuración solo permite conexiones a través de puntos de conexión privados.
PolyBase y la instrucción COPY se usan normalmente para cargar datos en Azure Synapse Analytics desde Azure Storage cuentas. Sin embargo, la conectividad de PolyBase y la instrucción COPY con la cuenta puede interrumpirse. En ese escenario de interrupción, la cuenta de Azure Storage limita el acceso solo a un conjunto de subredes de red virtual a través de:
- Puntos de conexión privados
- Puntos de conexión del servicio
- Firewalls basados en IP
Use los puntos de conexión Virtual Network servicio de Azure para proporcionar acceso seguro a Azure Synapse Analytics. Azure Virtual Network una ruta optimizada a través de la red troncal de Azure sin cruzar Internet.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
NS-4: protección de las aplicaciones y servicios de ataques de redes externas
Guía:Proteja los recursos Azure Synapse Analytics frente a ataques de redes externas, incluidos:
- Ataques de denegación de servicio distribuido (DDoS).
- Ataques específicos de la aplicación.
- Tráfico de Internet no solicitado y potencialmente malintencionado.
Con Azure Firewall, proteja las aplicaciones y los servicios contra el tráfico potencialmente malintencionado desde Internet y otras ubicaciones externas. Para proteger los recursos frente a ataques DDoS, habilite la protección estándar de DDoS en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.
Azure Synapse Analytics no está diseñado para ejecutar aplicaciones web. Por lo tanto, no es necesario protegerlo de ataques de red externos dirigidos a aplicaciones web. No es necesario configurar ninguna otra configuración ni implementar ningún servicio de red adicional.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
NS-6: simplificación de las reglas de seguridad de red
Guía:Con las etiquetas de servicio de Azure Virtual Network, defina controles de acceso a la red en grupos de seguridad de red o azure firewalls que estén configurados para los Azure Synapse Analytics recursos. Use etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique el nombre de la etiqueta de servicio en el origen o destino de la regla, lo que permite o deniega el tráfico para el servicio correspondiente. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio. A continuación, Microsoft actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.
Cuando se usa un punto de conexión de servicio para el grupo de Azure Synapse SQL, se requiere el tráfico saliente a Azure SQL direcciones IP públicas de base de datos. Abra los NSG para Azure SQL Database ips para permitir la conectividad. El uso de etiquetas de servicio de NSG Azure SQL Database este requisito.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
NS-7: servicio de nombres de dominio (DNS) seguro
Guía:Siga los procedimientos recomendados para la seguridad de DNS para ayudar a evitar ataques comunes, como:
- DNS desenlazándose
- Ataques de amplificaciones dns
- Suplantación de nombres dns
¿Usa Azure DNS servicio DNS autoritativo? A continuación, proteja las zonas y los registros DNS frente a modificaciones accidentales o malintencionadas mediante azure RBAC y bloqueos de recursos.
Puede usar alias DNS para conectarse al servidor de Azure SQL que aloja los almacenamientos de datos. Las API de REST y PowerShell aceptan llamadas para crear y administrar alias DNS como nombre del servidor SQL lógico. Puede usar un alias DNS en lugar del nombre del servidor. Los programas cliente pueden usar el alias en sus cadenas de conexión. El alias DNS proporciona una capa de traducción que puede redirigir los programas cliente a diferentes servidores. Esta capa evita las dificultades de buscar y editar todos los clientes y sus cadenas de conexión.
Al iniciar el desarrollo de los programas cliente, haga que usen un alias DNS en sus cadenas de conexión. Las propiedades del alias deben apuntar a una versión de prueba del servidor. Más adelante, cuando el nuevo sistema entre en producción, actualice las propiedades del alias para que apunten al servidor de producción. No es necesario ningún cambio en los programas cliente.
Evitar las entradas DNS pendientes y la adquisición de subdominios
Alias DNS para Azure Synapse Analytics (anteriormente SQL DW)
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de identidades
Para más información, consulte Azure Security Benchmark: Administración de identidades.
IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación
Guía:Azure Synapse Analytics usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Estandarizar Azure AD para regular la administración de identidades y acceso de su organización en:
Recursos de Microsoft Cloud, como:
- Azure Portal
- Azure Storage
- Máquina virtual de Azure (Linux y Windows)
- Azure Key Vault
- PaaS
- Aplicaciones SaaS
Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.
Haga que la protección Azure AD una prioridad alta en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación segura de identidad. Esta puntuación le ayuda a evaluar su posición de seguridad de identidad en comparación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el nivel de coincidencia de la configuración con las recomendaciones de procedimientos recomendados. A continuación, use la puntuación para realizar mejoras en la posición de seguridad.
Nota: Azure AD admite identidades externas. Los usuarios sin una cuenta Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa.
Para grupos de SQL dedicados (anteriormente SQL DW), la autenticación de Azure AD utiliza usuarios de base de datos independientes para autenticar identidades en el nivel de base de datos. Con Azure AD, puede conectarse desde SQL Server Management Studio mediante Active Directory autenticación universal, que incluye la autenticación multifactor. Azure AD admite conexiones similares desde SQL Server Data Tools (SSDT) que usan la autenticación interactiva de Active Directory.
Hay tres roles integrados rbac de Azure disponibles para la administración de grupos de SQL dedicados (anteriormente SQL DW):
SQL colaborador de base de datos le permite administrar SQL almacenamientos de datos, pero no acceder a ellos. No puede administrar sus directivas relacionadas con la seguridad ni sus servidores primarios SQL seguridad.
SQL Security Manager le permite administrar las directivas relacionadas con la seguridad de SQL servidores y almacenamientos de datos, pero no acceder a ellos.
SQL Server colaborador le permite administrar SQL y almacenamientos de datos, pero no acceder a ellos. No puede administrar sus directivas relacionadas con la seguridad.
Azure SQL también admite SQL autenticación. Con este método de autenticación, el usuario envía un nombre de cuenta de usuario y una contraseña asociada para establecer una conexión. Esta contraseña se almacena en uno de estos dos lugares:
- La base de datos maestra para las cuentas de usuario vinculadas a un inicio de sesión.
- Base de datos que contiene las cuentas de usuario no vinculadas a un inicio de sesión.
Un inicio de sesión es una sola cuenta de la base de datos maestra, a la que se puede vincular una cuenta de usuario de una o varias bases de datos. Con un inicio de sesión, la información de credenciales de la cuenta de usuario se almacena con el inicio de sesión.
Una cuenta de usuario es una cuenta individual de cualquier base de datos que puede o no estar vinculada a un inicio de sesión. Con una cuenta de usuario que no está vinculada a un inicio de sesión, la información de credenciales se almacena con la cuenta de usuario.
Procedimiento para crear y configurar una instancia de Azure AD
Uso de proveedores de identidades externos para una aplicación
Autenticación en un grupo SQL dedicado (anteriormente SQL DW)
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
IM-2: Administración de identidades de aplicaciones de forma segura y automática
Guía:Azure Synapse Analytics identidades administradas para sus recursos de Azure. Use identidades administradas con Azure Synapse Analytics en lugar de crear entidades de servicio para acceder a otros recursos. Azure Synapse Analytics autenticarse de forma nativa en los servicios o recursos de Azure que admiten Azure AD autenticación. Realiza esta autenticación a través de una regla de concesión de acceso predefinida, sin usar credenciales codificadas de forma rígida en el código fuente o los archivos de configuración.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones
Guía:Azure Synapse Analytics usa Azure Active Directory para proporcionar administración de identidades y acceso a:
- Recursos de Azure
- Aplicaciones en la nube
- Aplicaciones locales
Esta administración incluye identidades empresariales, como empleados, e identidades externas, como:
- Asociados
- Proveedores
- Suppliers
Con esta disposición, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización. La administración puede producirse en el entorno local y en la nube. Conectar todos los usuarios, aplicaciones y dispositivos para Azure AD. Experimentará un acceso seguro y sin problemas y una mayor visibilidad y control.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
IM-7: Elimine la exposición de credenciales no intencionada
Guía:Azure Synapse Analytics permitir que los clientes implementen o ejecuten las siguientes entidades que pueden tener identidades o secretos:
- Código
- Configurations
- Datos persistentes
Implemente Credential Scanner para identificar las credenciales dentro de esas entidades. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Para GitHub, use la característica de examen de secretos nativos. Esta característica identifica las credenciales u otras formas de secretos dentro del código.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Acceso con privilegios
Para más información, consulte Azure Security Benchmark: Acceso con privilegios.
PA-1: Protección y limitación de usuarios con privilegios elevados
Guía:Los roles integrados más críticos para Azure AD son el administrador global y el administrador de roles con privilegios:
Administrador global o Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD. Este rol también permite el acceso a los servicios que usan Azure AD identidades.
Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles Azure AD y Azure AD Privileged Identity Management (PIM). Este rol también permite la administración de todos los aspectos de PIM y unidades administrativas.
Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga que regir otros roles críticos. Además, puede aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.
Limite el número de roles o cuentas con privilegios elevados. Proteja estas cuentas en un nivel elevado. Directa o indirectamente, los usuarios con este privilegio pueden leer y modificar todos los recursos del entorno de Azure.
Habilite el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en la Azure AD organización.
Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.
La primera vez que implemente Azure SQL, especifique un inicio de sesión de administrador y una contraseña asociada para ese inicio de sesión. Esta cuenta administrativa se denomina Administrador del servidor. Para identificar las cuentas de administrador de una base de datos, abra el Azure Portal. A continuación, vaya a la pestaña de propiedades del servidor o la instancia administrada. También puede configurar una cuenta Azure AD administrador con permisos administrativos completos. Esta acción es necesaria si desea habilitar la autenticación Azure Active Directory usuario.
Puede crear más inicios de sesión y usuarios con privilegios administrativos con ámbito. Estos inicios de sesión y usuarios se agregan a los roles de administrador integrados de Azure SQL para la autenticación SQL y Azure AD de autenticación.
Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD
Creación de inicios de sesión y usuarios adicionales con permisos administrativos
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios
Guía:Para asegurarse de que las Azure AD y su acceso son válidos, Azure Synapse Analytics esas cuentas con regularidad para:
- Administración de sus recursos
- Revisión de cuentas de usuario
- Asignaciones de acceso
Use Azure AD y revisiones de acceso para revisar:
- Pertenencias a grupos
- Acceso a aplicaciones empresariales
- Asignaciones de roles
Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Use Azure AD PIM para crear flujos de trabajo de informes de revisión de acceso. Estos flujos de trabajo facilitan el proceso de revisión.
También puede configurar Azure AD PIM para que le alerte cuando se crea un número excesivo de cuentas de administrador. O configure Azure AD PIM para identificar cuentas de administrador obsoletas o configuradas incorrectamente.
Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.
Cuando use la autenticación SQL, cree usuarios de base de datos independiente en la base de datos. Coloque uno o varios usuarios de base de datos en un rol de base de datos personalizado. Aplique permisos específicos que sean adecuados para ese grupo de usuarios.
Puede administrar los grupos de SQL dedicados (anteriormente SQL DW) mediante roles rbac de Azure integrados. Los roles disponibles son:
SQL colaborador de base de datos. Este rol le permite administrar bases SQL de datos, pero no acceder a ellas. Además, no puede administrar sus directivas relacionadas con la seguridad ni los servidores SQL primarios.
SQL Server colaborador. Este rol le permite administrar servidores SQL y bases de datos, pero no acceder a ellos ni a sus directivas relacionadas con la seguridad.
SQL Security Manager. Este rol le permite administrar las directivas relacionadas con la seguridad de SQL servidores y bases de datos, pero no acceder a ellas.
Para más información, consulte los siguientes artículos:
Creación de una revisión de acceso de los roles de recursos de Azure en PIM
Configuración y administración de Azure AD autenticación para grupos de SQL dedicados
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Guía:Las estaciones de trabajo aisladas y protegidas son fundamentalmente importantes para la seguridad de roles confidenciales, como:
- Administrador
- Desarrollador
- Operador de servicio crítico
Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas, use:
- Azure AD
- Protección contra amenazas avanzada de Microsoft Defender (ATP)
- Microsoft Intune
Puede administrar centralmente las estaciones de trabajo protegidas para aplicar la configuración protegida, lo que incluye:
- Autenticación sólida
- Líneas base de software y hardware
- Acceso lógico y de red restringido
Para más información, consulte los siguientes artículos:
Implementación de estaciones de trabajo de acceso con privilegios
Implementación de una estación de trabajo con privilegios de acceso
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)
Guía:Azure Synapse Analytics integra con RBAC de Azure para administrar sus recursos. Con RBAC de Azure, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar estos roles a:
- Usuarios
- Grupos
- Entidades de servicio
- Identidades administradas
Hay roles integrados predefinidos para determinados recursos. Estos roles se pueden inventariar o consultar a través de herramientas como:
- Azure CLI
- Azure PowerShell
- Azure Portal
Limite siempre los privilegios que asigne a los recursos a través de RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise esta práctica periódicamente.
Use roles integrados para conceder permisos. Cree solo roles personalizados cuando sea necesario.
La primera vez que implemente Azure SQL, especifique un inicio de sesión de administrador y una contraseña asociada para ese inicio de sesión. Esta cuenta administrativa se denomina Administrador del servidor. Para identificar las cuentas de administrador de una base de datos, abra el Azure Portal. A continuación, vaya a la pestaña de propiedades del servidor o la instancia administrada. También puede configurar una cuenta Azure AD administrador con permisos administrativos completos. Esta acción es necesaria si desea habilitar la autenticación Azure Active Directory usuario.
Cuando use la autenticación SQL, cree usuarios de base de datos independiente en la base de datos. Coloque uno o varios usuarios de base de datos en un rol de base de datos integrado o personalizado. Agregue permisos específicos para ese rol que sean adecuados para ese usuario o grupo de usuarios.
Administración del acceso a grupos SQL dedicados (anteriormente SQL DW)
Roles de nivel de base de datos para grupos de SQL dedicados (anteriormente SQL DW)
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft
Guía:¿Tiene un escenario de soporte técnico en el que Microsoft necesita acceder a los datos relacionados con la Azure SQL Database del grupo de SQL dedicado? Con Azure Caja de seguridad del cliente, hay una interfaz para que revise, apruebe o rechace las solicitudes de acceso a datos.
¿Tiene un escenario de soporte técnico en el que Microsoft necesita acceder a los datos de los clientes? Azure Synapse Analytics admite Caja de seguridad del cliente proporcionar una interfaz para que revise, apruebe o rechace las solicitudes de acceso a datos del cliente.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Protección de datos
Para más información, consulte Azure Security Benchmark: protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Guía:detecte, clasifique y etiquete los datos confidenciales. A continuación, diseñe los controles adecuados para asegurarse de que los sistemas tecnológicos de la organización almacenan, procesan y transmiten información confidencial de forma segura.
Use Azure Information Protection (y su herramienta de análisis asociada) para obtener información confidencial dentro Office documentos sobre:
- Azure
- Local
- Microsoft 365
- Otras ubicaciones
Con la ayuda de Azure SQL Information Protection, clasifique y etiquete la información almacenada en Azure SQL Database.
La clasificación y detección de datos está integrada en Azure SQL admite las siguientes funcionalidades:
Detección y recomendaciones. El motor de clasificación examina la base de datos e identifica las columnas que contienen datos potencialmente confidenciales. A continuación, proporciona una manera sencilla de revisar y aplicar la clasificación recomendada a través del Azure Portal.
Etiquetado. ¿Cómo se aplican etiquetas de clasificación de confidencialidad de forma persistente a las columnas? Use nuevos atributos de metadatos que se han agregado al motor SQL Server base de datos. A continuación, puede usar estos metadatos para escenarios de protección y auditoría basados en confidencialidad.
Consulta de la confidencialidad del conjunto de resultados. La confidencialidad de un conjunto de resultados de consulta se calcula en tiempo real con fines de auditoría.
Visibilidad. Vea el estado de clasificación de la base de datos en un panel detallado en el Azure Portal. Descargue un informe en Excel para usarlo con fines de cumplimiento y auditoría y otras necesidades.
Para obtener más información, lea el siguiente artículo:
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los datos confidenciales de las bases de datos SQL deben clasificarse. | Microsoft Defender para la nube supervisa los resultados del examen de clasificación y detección de datos de las bases de datos SQL y proporciona recomendaciones para clasificar los datos confidenciales de las bases de datos para mejorar la supervisión y la seguridad. | AuditIfNotExists, Disabled | 3.0.0-preview |
DP-2: Protección de datos confidenciales
Guía:Use RbAC de Azure para administrar el acceso a las bases de datos de Azure SQL en el grupo de SQL Synapse. Con el rol integrado SQL Security Manager azure RBAC, puede administrar las directivas relacionadas con la seguridad de servidores y bases de datos de SQL, pero no acceder a ellas.
La autorización se controla por medio de las pertenencias a roles y los permisos de nivel de objeto de la base de datos de la cuenta de usuario. Como procedimiento recomendado, conceda a los usuarios los privilegios mínimos necesarios.
Use la característica Azure Synapse SQL clasificación y detección de datos. También puede configurar una directiva de enmascaramiento dinámico de datos (DDM) en el Azure Portal. El motor de recomendaciones de DDM marca determinados campos de la base de datos. Estos campos son campos potencialmente confidenciales que pueden ser buenos candidatos para enmascaramiento.
Mediante el cifrado de datos en reposo, el cifrado de datos transparente (TDE) ayuda a proteger Azure Synapse SQL frente a la amenaza de actividad sin conexión malintencionada. Sin requerir cambios en la aplicación, TDE en reposo realiza el cifrado y descifrado en tiempo real de:
- La base de datos
- Copias de seguridad asociadas
- Archivos de registro de transacciones
En Azure, la configuración predeterminada de TDE es proteger la clave de cifrado de datos (DEK) con un certificado de servidor integrado. En su lugar, puede usar TDE administrado por el cliente. La TDE administrada por el cliente también se conoce como compatibilidad de Bring Your Own Key (BYOK) con TDE. En este escenario, el protector de TDE que cifra la DEK es una clave asimétrica administrada por el cliente. Esta clave asimétrica se almacena en un almacén administrado y propiedad del cliente Azure Key Vault. (Azure Key Vault es el sistema de administración de claves externo basado en la nube de Azure). La clave asimétrica nunca sale del almacén de claves.
Descripción de la protección de datos de los clientes en Azure
Cifrado de datos transparente para grupos de SQL dedicados (anteriormente SQL DW)
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias SQL administradas no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
DP-3: Supervisión de la transferencia no autorizada de datos confidenciales
Guía:supervise la transferencia no autorizada de datos a ubicaciones que están fuera de la visibilidad y el control de la empresa. Este proceso suele implicar la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar la filtración de datos no autorizados.
Con Microsoft Defender para Storage y Microsoft Defender para SQL, alerte sobre una transferencia anómala de información. Estas anomalías pueden indicar transferencias no autorizadas de información confidencial.
Azure Information Protection (AIP) proporciona funcionalidades de supervisión para la información que se ha clasificado y etiquetado.
Si es necesario para lograr la prevención de pérdida de datos (DLP), evite la filtración de datos mediante una solución DLP basada en host para aplicar controles de seguridad o prevención.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias administradas SQL no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
DP-4: Cifrado de la información confidencial en tránsito
Guía:Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico) mediante cifrado. Asegúrese de que los atacantes no puedan leer ni modificar fácilmente los datos.
Azure Synapse Analytics admite el cifrado de datos en tránsito con TLS v1.2 o superior.
Aunque el cifrado de datos en tránsito es opcional para el tráfico en redes privadas, es fundamental para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Deshabilite las versiones obsoletas de estas entidades:
- SSL
- TLS
- Versiones y protocolos de SSH
- Cifrados débiles
De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
DP-5: Cifrado de datos confidenciales en reposo
Guía:Para complementar los controles de acceso, Azure Synapse Analytics los datos en reposo para protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante el cifrado. Esta práctica ayuda a garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.
Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de los datos altamente confidenciales, puede implementar el cifrado adicional en reposo en todos los recursos de Azure cuando estén disponibles. Azure administra las claves de cifrado de forma predeterminada. Pero Azure también le permite administrar sus propias claves (claves administradas por el cliente) para que determinados servicios de Azure cumplan los requisitos normativos.
Al cifrar los datos en reposo, TDE ayuda a proteger Azure Synapse SQL frente a la amenaza de actividad sin conexión malintencionada. Sin requerir cambios en la aplicación, TDE en reposo realiza el cifrado y descifrado en tiempo real de:
- La base de datos
- Copias de seguridad asociadas
- Archivos de registro de transacciones
En Azure, la configuración predeterminada de TDE es que la clave de cifrado está protegida mediante un certificado de servidor integrado. En su lugar, puede usar el TDE administrado por el cliente o la compatibilidad de BYOK con TDE. El protector de TDE que cifra la DEK es una clave asimétrica administrada por el cliente en este escenario. Esta clave asimétrica se almacena en un almacén administrado y propiedad Azure Key Vault cliente, y nunca sale del almacén de claves.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | AuditIfNotExists, Disabled | 1.0.2 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | AuditIfNotExists, Disabled | 2.0.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
Administración de recursos
Para más información, consulte Azure Security Benchmark: Administración de recursos.
AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos
Guía:Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino y las suscripciones de Azure. Estos permisos permiten a esos equipos supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.
La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o un equipo local. Esa decisión depende de cómo se estructuren las responsabilidades del equipo de seguridad. Pero siempre debe agregar información de seguridad y riesgos de forma centralizada dentro de una organización.
Puede aplicar permisos de Lector de seguridad ampliamente a todo un inquilino (grupo de administración raíz) o con ámbito para grupos de administración o suscripciones específicas.
Nota: Es posible que se necesiten más permisos para obtener visibilidad de las cargas de trabajo y los servicios.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos
Guía:Asegúrese de que los equipos de seguridad tienen acceso a un inventario de recursos actualizado continuamente en Azure, como Azure Synapse Analytics. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es necesario como entrada para las mejoras de seguridad continuas. Cree un Azure AD que contenga el equipo de seguridad autorizado de la organización. A continuación, asígneles acceso de lectura a todos Azure Synapse Analytics recursos. Esta acción se puede realizar con una única asignación de roles de alto nivel dentro de la suscripción.
Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.
Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre el software en Virtual Machines. En la Azure Portal, estos elementos de información están disponibles:
- Nombre del software
- Versión
- Publisher
- Tiempo de actualización
Para obtener acceso para instalar fechas y otra información, habilite los diagnósticos de nivel de invitado. A continuación, Windows registros de eventos en un área de trabajo de Log Analytics.
Azure Synapse Analytics no permite ejecutar una aplicación ni la instalación de software en sus recursos.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
AM-3: Uso exclusivo de servicios de Azure aprobados
Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso
Guía:No aplicable; Azure Synapse Analytics no implementa ningún recurso de proceso orientado al cliente. No permite a los clientes instalar aplicaciones en el servicio.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
registro y detección de amenazas
Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.
LT-1: Habilitación de la detección de amenazas para recursos de Azure
Guía:Para los recursos Azure Synapse Analytics, use la funcionalidad de detección de amenazas integrada de Microsoft Defender para la nube y habilite Microsoft Defender. Microsoft Defender para Azure Synapse Analytics proporciona una capa adicional de inteligencia de seguridad. Detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos Azure Synapse Analytics o aprovecharlos.
Puede definir una directiva de auditoría para una base de datos específica. También puede definirla como una directiva de servidor predeterminada en Azure (que hospeda Azure Synapse). Una directiva de servidor se aplica a todas las bases de datos recién creadas en el servidor.
Si habilita la auditoría de servidor, siempre se aplica a la base de datos. La base de datos se auditará, independientemente de la configuración de auditoría de la base de datos.
Al habilitar la auditoría, puede escribir la auditoría en un registro dentro de:
- Su Azure Storage cuenta
- Área de trabajo de Log Analytics
- Event Hubs
Reenvía los registros Azure Synapse Analytics al SIEM, que puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
Protección contra amenazas en Microsoft Defender para la nube
Guía de referencia de alertas de seguridad de Microsoft Defender para la nube
Creación de reglas de análisis personalizadas para detectar amenazas
Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel
Configuración de la auditoría para los recursos de Azure SQL
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias administradas SQL no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Guía:Azure AD proporciona los registros de usuario que se enumeran a continuación. Para casos de uso de supervisión y análisis más sofisticados, puede ver los registros en Azure AD informes. O bien, puede integrar los registros con Azure Monitor, Microsoft Sentinel u otras herramientas siem o de supervisión.
Inicios de sesión. El informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.
Registros de auditoría. Los registros de auditoría proporcionan rastreabilidad para todos los cambios realizados por varias características de Azure AD. Entre los ejemplos de registros de auditoría se incluyen los cambios realizados en los recursos Azure AD, como agregar o quitar:
- Usuarios
- Aplicaciones
- Grupos
- Roles
- Directivas
Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de inicio de sesión que podría haber realizado alguien que no es el propietario legítimo de la cuenta de usuario.
Usuarios marcados en riesgo. Un usuario de riesgo indica una cuenta de usuario que podría estar en peligro.
Microsoft Defender para la nube también puede desencadenar alertas sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube también puede recopilar alertas de seguridad más detalladas de:
- Recursos de proceso individuales de Azure (máquinas virtuales, contenedores o App Service)
- Recursos de datos (SQL base de datos y almacenamiento)
- Capas de servicio de Azure
Con esta funcionalidad, tiene visibilidad de las anomalías de cuentas dentro de recursos individuales.
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Microsoft Defender para SQL debe estar habilitado para instancias administradas SQL no protegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
LT-3: Habilitación del registro para las actividades de red de Azure
Guía:para el análisis de seguridad, habilite y recopile:
- Registros de recursos de NSG
- Registros de flujos del grupo de seguridad de red
- Registros de Azure Firewall
- Web Application Firewall (WAF)
Use los registros para admitir:
- Investigaciones de incidentes
- Búsqueda de amenazas
- Generación de alertas de seguridad
Puede enviar los registros de flujo a un área de trabajo Azure Monitor Log Analytics. A continuación, Análisis de tráfico para proporcionar información.
Azure Synapse Analytics registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la funcionalidad de flujo de red dentro de los recursos de oferta implementados.
Use Advanced Threat Protection (ATP) para Azure Synapse SQL. ATP detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovecharse de estas. ATP puede desencadenar varias alertas, como:
- "Posible SQL inserción".
- "Acceso desde una ubicación inusual".
ATP forma parte de la oferta advanced data security (ADS). Se puede acceder a él y administrarlo a través del portal SQL ADS.
Recopile registros de consulta DNS para ayudar a correlacionar otros datos de red. Implemente una solución de terceros Azure Marketplace para el registro DNS, según las necesidades de su organización.
Habilitación de los registros de flujo del grupo de seguridad de red
Soluciones de supervisión de redes de Azure en Azure Monitor
Recopilación de información sobre la infraestructura de DNS con la solución DNS Analytics
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
LT-4: Habilitación del registro para recursos de Azure
Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) para los Azure Synapse Analytics recursos. Los registros de actividad no contienen operaciones de lectura (GET). Use los registros de actividad para encontrar un error al solucionar problemas. O bien, use los registros para supervisar cómo un usuario de su organización ha modificado un recurso.
Habilite los registros de recursos de Azure para Azure Synapse Analytics. Use Microsoft Defender para cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.
Azure Synapse Analytics también genera registros de auditoría de seguridad. Habilite estos registros de auditoría para realizar un seguimiento de los eventos de base de datos. Puede escribir estos eventos en un registro de auditoría en:
- Su cuenta de almacenamiento de Azure
- Área de trabajo de Log Analytics
- Event Hubs
Defina una directiva de auditoría para una base de datos específica. También puede definirla como una directiva de servidor predeterminada en Azure (que hospeda los grupos de SQL dedicados).
Advanced Threat Protection para Azure Synapse Analytics habilitado para SQL Server detecta actividades anómalas. Estas actividades pueden indicar intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovecharse de ellas. Advanced Threat Protection forma parte de microsoft defender para SQL oferta. Esa oferta es un paquete unificado para funcionalidades avanzadas SQL seguridad. Puede acceder a Advanced Threat Protection y administrarlo a través del portal central de Microsoft Defender SQL web.
Recopilación de métricas y registros de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Información sobre la recopilación de datos de Microsoft Defender para la nube
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Para cada origen de registro, asigne:
- Propietario de datos
- Guía de acceso
- Ubicación de almacenamiento
- Qué herramientas se usan para procesar y acceder a los datos
- Requisitos de retención de datos
Integre los registros de actividad de Azure en el registro central. Ingerir registros a través Azure Monitor para agregar datos de seguridad generados por:
- Dispositivos de punto de conexión
- Recursos de red
- Otros sistemas de seguridad
En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. A continuación, Azure Storage cuentas para el almacenamiento de archivos y a largo plazo.
Habilite e incorpore también datos a Microsoft Sentinel o a un SIEM de terceros.
Muchas organizaciones eligen Microsoft Sentinel para los datos "frecuentes" que se usan con frecuencia. Esas organizaciones eligen Azure Storage datos "fríos" que se usan con menos frecuencia.
Azure Synapse Analytics realiza un seguimiento de los eventos de base de datos. Escribe estos eventos en un registro de auditoría dentro de una de estas entidades:
- Su cuenta de almacenamiento de Azure
- Área de trabajo de Log Analytics
- Event Hubs
Estos registros de auditoría le ayudan a mantener el cumplimiento normativo y a comprender la actividad de la base de datos. Con los registros, también obtendrá información sobre discrepancias y anomalías que podrían indicar problemas empresariales o infracciones de seguridad sospechosas. Para las aplicaciones que se pueden ejecutar Azure Synapse Analytics, reenvía todos los registros relacionados con la seguridad a SIEM para la administración centralizada.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
LT-6: Configuración de la retención del almacenamiento de registros
Guía:¿Tiene cuentas de almacenamiento o áreas de trabajo de Log Analytics que se usan para almacenar Azure Synapse Analytics registros? A continuación, establezca el período de retención de registros según las regulaciones de cumplimiento de su organización.
Configuración del período de retención del área de trabajo de Log Analytics
Almacenamiento de registros de recursos en una cuenta de Azure Storage
Responsabilidad: Compartido
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
LT-7: Uso de orígenes de sincronización de hora aprobados
Guía:No aplicable; Azure Synapse Analytics no admite la configuración de sus propios orígenes de sincronización de hora.
Azure Synapse Analytics servicio se basa en orígenes de sincronización de hora de Microsoft. No se expone a los clientes para la configuración.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
administración de posturas y vulnerabilidades
Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.
PV-1: establecimiento de configuraciones seguras para servicios de Azure
Guía:Con una definición de plano técnico Azure Blueprints, automatice la implementación y configuración de servicios y entornos de aplicación, incluidos:
- Plantillas de Azure Resources Manager
- Controles RBAC de Azure
- Directivas
La auditoría de Azure Synapse Analytics realiza un seguimiento de los eventos de base de datos. Escribe estos eventos en un registro de auditoría dentro de una de las entidades siguientes:
- Su cuenta de almacenamiento de Azure
- Área de trabajo de Log Analytics
- Event Hubs
Defina una directiva de auditoría para una base de datos específica. También puede definirla como una directiva de servidor predeterminada en Azure (que hospeda grupos de SQL dedicados para Azure Synapse). Microsoft Defender proporciona un conjunto de funcionalidades avanzadas SQL seguridad, incluida SQL evaluación de vulnerabilidades y Advanced Threat Protection.
Configure alertas para las bases de datos Azure Synapse Analytics mediante el Azure Portal.
Trabajar con directivas de seguridad en Microsoft Defender para la nube
Tutorial: Creación y administración de directivas para aplicar el cumplimiento
La evaluación de vulnerabilidades ayuda a identificar vulnerabilidades de base de datos
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PV-2: sostenimiento de configuraciones seguras para servicios de Azure
Guía:con Microsoft Defender para la nube, supervise la línea de base de configuración. Con los Azure Policy [Deny] e [DeployIfNotExists], aplique la configuración segura en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otras.
Defina una directiva SQL auditoría para una base de datos específica. También puede definirla como una directiva de servidor predeterminada en Azure (que hospeda grupos de SQL dedicados). La directiva de auditoría predeterminada incluye todas las acciones y un conjunto de grupos de acciones. Las acciones y los grupos de acciones auditarán:
- Todas las consultas y procedimientos almacenados ejecutados en la base de datos.
- Inicios de sesión correctos y con errores.
Para más información, consulte los siguientes artículos:
Creación y administración de directivas para aplicar el cumplimiento
SQL evaluación de vulnerabilidades para identificar vulnerabilidades de base de datos
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
PV-3: establecimiento de configuraciones seguras para los recursos de proceso
Guía:con Microsoft Defender para la nube y Azure Policy, cree configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales, los contenedores y otras.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
PV-6: Realizar evaluaciones de vulnerabilidades de software
Guía:Microsoft no administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Synapse Analytics.
Responsabilidad: Microsoft
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 2.0.0 |
PV-8: realización de una simulaciones de ataques periódicas
Guía:Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos.
Para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft, siga las reglas de compromiso de las pruebas de penetración de la nube de Microsoft. Con la estrategia de Microsoft y la ejecución de Red Teaming y la penetración de sitios en directo, pruebe en la nube administrada por Microsoft:
- Infraestructura
- Servicios
- Aplicaciones
Para más información, consulte los siguientes artículos:
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
seguridad de los puntos de conexión
Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.
ES-2: Uso de software antimalware moderno administrado centralmente
Guía:Proteja el servicio en la nube o sus recursos con un software antimalware moderno administrado centralmente. Use una solución antimalware de punto de conexión administrado centralmente. Asegúrese de que puede realizar análisis periódicos y en tiempo real.
Microsoft Defender para la nube puede:
- Identifique el uso de varias soluciones antimalware populares para las máquinas virtuales .
- Informe del estado de ejecución de Endpoint Protection.
- Realice recomendaciones.
Microsoft Antimalware para Azure Cloud Services es el antimalware predeterminado para Windows virtuales. En el caso de las máquinas virtuales Linux, use una solución antimalware de terceros. Use Microsoft Defender para la detección de amenazas en la nube para los servicios de datos para detectar malware cargado en Azure Storage cuentas.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Copia de seguridad y recuperación
Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Guía:una instantánea de almacenamiento de datos crea un punto de restauración. Puede usar este punto de restauración para recuperar o copiar el almacenamiento de datos a un estado anterior. Dado que un grupo de SQL dedicado es un sistema distribuido, una instantánea de almacenamiento de datos tiene muchos archivos que se encuentran en Azure Storage. Las instantáneas capturan los cambios incrementales de los datos almacenados en el almacenamiento de datos. Las instantáneas del grupo SQL dedicado se toman automáticamente a lo largo del día. Estas instantáneas crean puntos de restauración que están disponibles durante siete días. (Este período de retención no se puede cambiar). El grupo de SQL admite un objetivo de punto de recuperación (RPO) de ocho horas. En la región primaria, puede restaurar el almacenamiento de datos desde cualquier instantánea en los últimos siete días. También puede desencadenar instantáneas manualmente si es necesario.
Con los puntos de restauración definidos por el usuario, desencadene instantáneas manualmente. Esta acción crea puntos de restauración del almacenamiento de datos antes y después de grandes cambios. Esta funcionalidad se asegura de que los puntos de restauración sean coherentes lógicamente. La coherencia proporciona más protección de datos si hay interrupciones de la carga de trabajo o errores de usuario, lo que da lugar a un tiempo de recuperación rápido.
Los puntos de restauración definidos por el usuario están disponibles durante siete días y se eliminan automáticamente. No se puede modificar el período de retención de los puntos de restauración definidos por el usuario. Se garantizan 42 puntos de restauración definidos por el usuario en cualquier momento. Esos puntos de restauración deben eliminarse antes de crear otro punto de restauración. Puede desencadenar instantáneas para crear puntos de restauración definidos por el usuario mediante PowerShell o Azure Portal.
Una copia de seguridad geográfica se crea una vez al día en un centro de datos emparejado. El RPO para una restauración geográfica es de 24 horas. Puede restaurar la copia de seguridad geográfica en un servidor de otra región en la que se SQL grupo de servidores dedicados. Una copia de seguridad geográfica le permite restaurar el almacenamiento de datos si no puede acceder a los puntos de restauración de la región primaria. Si no necesita copias de seguridad geográficas para el grupo de SQL dedicado, puede deshabilitarlas. Esta acción reduce los costos de almacenamiento de la recuperación ante desastres.
Si usa una clave administrada por el cliente para cifrar la DEK, asegúrese de que se está haciendo una copia de seguridad de la clave.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
BR-2: Cifrado de los datos de copia de seguridad
Guía:con puntos de restauración en un grupo de SQL dedicado, recupere o copie el almacenamiento de datos a un estado anterior en la región primaria. Use copias de seguridad con redundancia geográfica del almacenamiento de datos para restaurar en otra región geográfica. Las instantáneas son una característica integrada que crea puntos de restauración. No tiene que habilitar esta funcionalidad. Sin embargo, mantenga el grupo de SQL dedicado en un estado activo para la creación de puntos de restauración.
¿Qué ocurre después de cifrar un grupo de SQL dedicado con TDE mediante una clave de Key Vault? TDE también cifra las copias de seguridad recién generadas con el mismo protector de TDE. Si se cambia el protector de TDE, las copias de seguridad antiguas del grupo de SQL dedicado no se actualizan para usar el protector de TDE más reciente.
¿Cómo se prepara para restaurar una copia de seguridad cifrada con un protector de TDE desde Key Vault? Asegúrese de que el material de clave esté disponible para el servidor de destino. Mantenga todas las versiones anteriores del protector de TDE en Key Vault, para que se puedan restaurar las copias de seguridad SQL grupo de servidores dedicados.
Copia de seguridad y restauración en Azure Synapse grupo de SQL dedicado
Copia de seguridad y restauración con TDE administrado por el cliente
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía:con puntos de SQL de restauración de grupo dedicados, recupere o copie el almacenamiento de datos en un estado anterior de la región primaria. Utilice copias de seguridad con redundancia geográfica del almacenamiento de datos para restaurarlo en otra región geográfica.
Cuando se quita un grupo de SQL dedicado, se crea una instantánea final que se guarda durante siete días. Puede restaurar el grupo de SQL dedicado al punto de restauración final que se creó al eliminarse. Si el grupo de SQL dedicado se quita en estado en pausa, no se toma ninguna instantánea. En ese escenario, cree un punto de restauración definido por el usuario antes de quitar el grupo de SQL dedicado.
Asegúrese periódicamente de que puede restaurar las claves administradas por el cliente de las que se ha hecho una copia de seguridad.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
BR-4: Mitigación del riesgo de pérdida de claves
Guía:asegúrese de que puede evitar y recuperarse de la pérdida de claves. Habilite la eliminación flexible y la protección de purga en Azure Key Vault. Esta acción protege las claves frente a eliminaciones accidentales o malintencionadas.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Pasos siguientes
- Consulte la Información general sobre Azure Security Benchmark V2.
- Obtenga más información sobre las líneas de base de seguridad de Azure.