Base de référence de sécurité Azure pour Azure SQL Database

Cette base de référence de sécurité applique les instructions du benchmark de sécurité Azure version 2.0 à Azure SQL Database. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité Azure et les instructions associées applicables à Azure SQL Database.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure SQL Database et ceux pour lesquels l’aide globale est recommandée textuellement, ont été exclus. Pour voir comment s’effectue le mappage intégral d’Azure SQL Database au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Azure SQL Database.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : dans la mesure où Azure SQL ne prend pas en charge le déploiement direct sur un réseau virtuel, vous ne pouvez pas tirer profit de certaines fonctionnalités réseau avec les ressources de l’offre telles que les groupes de sécurité réseau, les tables de routage ou les appliances dépendantes du réseau, par exemple un Pare-feu Azure.

Utilisez Microsoft Sentinel pour découvrir l’utilisation de protocoles non sécurisés hérités, tels que SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, liaisons LDAP non signées et chiffrements faibles dans Kerberos.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0

NS-2 : Interconnecter des réseaux privés

Conseils : Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne sont pas établies via l’internet public et elles offrent une plus grande fiabilité, des débits plus importants et des latences moindres par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.

Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Utilisez Azure Private Link pour activer l’accès privé à Azure SQL à partir de vos réseaux virtuels, sans passer par Internet.

L’accès privé est une mesure de défense en profondeur qui complète l’authentification et la sécurité du trafic offertes par les services Azure.

Utilisez des points de terminaison de service de réseau virtuel Azure pour fournir un accès sécurisé à Azure SQL via une route optimisée sur le réseau principal Azure sans passer par Internet.

L’accès privé est une mesure de défense en profondeur qui complète l’authentification et la sécurité du trafic offertes par les services Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0

NS-6 : Simplifier les règles de sécurité réseau

Conseils : Utilisez les étiquettes de service Réseau virtuel Azure afin de définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le Pare-feu Azure configurés pour vos ressources Azure SQL. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Lorsque vous utilisez des points de terminaison de service pour Azure SQL Database, une sortie à destination d'adresses IP publiques Azure SQL Database est requise : Des groupes de sécurité réseau (NSG) doivent être ouverts aux adresses IP Azure SQL Database pour autoriser la connectivité. Pour ce faire, vous pouvez utiliser des balises de service NSG pour Azure SQL Database. Comprendre les étiquettes de service avec les points de terminaison de service pour Azure SQL Database : /azure/sql-database/sql-database-vnet-service-endpoint-rule-overview#limitations

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Suivez les bonnes pratiques concernant la sécurité DNS afin d’atténuer les attaques courantes comme les entrées DNS non résolues, les attaques d’amplifications DNS, l’empoisonnement et l’usurpation d’identité DNS, etc.

Quand Azure DNS est utilisé comme votre service DNS faisant autorité, vérifiez que les zones et les enregistrements DNS sont protégés contre toute modification accidentelle ou malveillante à l’aide du contrôle d’accès en fonction du rôle (RBAC) Azure et de verrous de ressources.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Azure SQL utilise Azure Active Directory (Azure AD) comme service par défaut de gestion des identités et des accès. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d’identité sécurisée qui aide à évaluer l’état de la sécurité des identités par rapport aux meilleures pratiques recommandées par Microsoft. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes, qui permettent aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources.

Les membres suivants d’Azure AD peuvent être provisionnés pour Azure SQL Database : membres natifs, membres d’un domaine Active Directory fédéré avec Azure Active Directory sur un domaine managé configuré pour l’authentification transparente avec l’authentification directe ou par hachage de mot de passe, les membres importés à partir d’autres instances Azure AD qui sont des membres de domaine natifs ou fédérés et des groupes de Active Directory créés en tant que groupes de sécurité.

Azure Active Directory (Azure AD) prend en charge la création d’utilisateurs dans Azure SQL Database (SQL DB) pour le compte des applications Azure AD (principaux de service).

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : Azure SQL prend en charge les identités managées pour ses ressources Azure. Pour accéder à d’autres ressources, servez-vous des identités managées avec Azure SQL plutôt que de créer des principaux de service. Azure SQL peut s’authentifier en mode natif auprès des services ou ressources Azure qui prennent en charge l’authentification Azure AD par le biais d’une règle prédéfinie d’octroi d’accès, sans recourir à des informations d’identification codées en dur dans le code source ou les fichiers config.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : Azure SQL utilise Azure Active Directory pour la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Cela inclut les identités d’entreprise, comme les employés, ainsi que les identités externes, comme les partenaires, les vendeurs et les fournisseurs. Cela permet à l’authentification unique de gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Azure SQL permet aux clients de déployer/exécuter du code, des configurations ou des données persistantes potentiellement avec des identités/secrets. Il est recommandé d'implémenter Credential Scanner pour identifier les informations d'identification dans votre code, vos configurations ou vos données persistantes. Credential Scanner encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Pour GitHub, vous pouvez utiliser la fonctionnalité native d’analyse de secret pour identifier les informations d’identification ou d’autres formes de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseils : Les rôles intégrés les plus critiques dans Azure AD sont Administrateur général et Administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général ou Administrateur d’entreprise : Les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration d’Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
  • Administrateur de rôle privilégié : Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.

Remarque : il est possible que vous disposiez d’autres rôles critiques devant être régis si vous utilisez des rôles personnalisés auxquels sont attribuées certaines autorisations privilégiées. Vous pouvez également choisir d’appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Vous devez limiter le nombre de comptes ou de rôles à privilèges élevés et protéger ces comptes à un haut niveau. Les utilisateurs disposant de ce privilège peuvent lire et modifier directement ou indirectement chaque ressource de votre environnement Azure.

Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et à Azure AD en utilisant Azure AD PIM. JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.

Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Azure SQL utilise des comptes Azure Active Directory (Azure AD) pour gérer ses ressources, ainsi qu’examiner régulièrement les comptes d’utilisateur et l’attribution d’accès pour s’assurer que les comptes et leur accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour examiner les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management (PIM) pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

En outre, Azure AD PIM peut être configuré pour déclencher des alertes lorsqu’un nombre excessif de comptes administrateur est créé et pour identifier des comptes administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et des rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devrez gérer ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, les développeurs et les opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des bases de référence logicielles et matérielles, et un accès logique et réseau restreints.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure SQL est intégré au contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs et regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell ou le portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Ils complètent l’approche juste-à-temps (JAT) d’Azure AD Privileged Identity Management (PIM) et doivent être révisés régulièrement.

Utilisez les rôles intégrés pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.

Les comptes d’authentification SQL répondent à cette exigence.

Responsabilité : Customer

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Conseils : Dans le cadre des scénarios de support où Microsoft a besoin d’accéder aux données client, Azure SQL prend en charge Customer Lockbox pour fournir une interface qui vous permet de consulter et d’approuver ou de refuser les demandes d’accès aux données client.

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseil : Veillez à ce que les équipes de sécurité aient accès à un inventaire continuellement mis à jour des ressources sur Azure, comme Azure SQL. Les équipes de sécurité ont souvent besoin de cet inventaire comme moyen d’évaluer l’exposition potentielle de leur organisation à des risques émergents, et comme source d’informations pour des améliorations de sécurité continues. Créez un groupe Azure Active Directory (Azure AD) pour qu’il contienne les membres de l’équipe de sécurité autorisée de votre organisation, et attribuez-lui un accès en lecture à toutes les ressources Azure SQL. Ce processus peut être simplifié en attribuant un seul rôle de niveau supérieur au sein de votre abonnement.

Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles sur le portail Azure. Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité et importez les journaux des événements Windows dans un espace de travail Log Analytics.

Azure SQL ne permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources. Décrivez toutes les autres fonctionnalités de votre offre qui permettent ou prennent en charge cette fonctionnalité, le cas échéant.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : utilisez la fonctionnalité de détection des menaces intégrée à Microsoft Defender pour le cloud et activez Microsoft Defender (anciennement Azure Advanced Threat Protection) pour vos ressources Azure SQL. Microsoft Defender pour Azure SQL offre une couche supplémentaire de sécurité intelligente qui détecte les tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses de vos ressources Azure SQL.

Transférez tous les journaux d’Azure SQL à votre solution SIEM, qui peut être utilisée pour configurer des détections de menaces personnalisées. Veillez à surveiller les différents types de ressources Azure pour identifier les anomalies et menaces potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Defender pour SQL doit être activé pour les instances gérées SQL non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou autres outils de supervision/SIEM pour des cas d’usage plus sophistiqués de supervision et d’analytique :

  • Connexions – Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
  • Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD, comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
  • Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également déclencher des alertes dans le cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué ou la présence de comptes dépréciés dans l’abonnement. En plus de la surveillance de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application), de ressources de données (base de données SQL et stockage) et de couches de service Azure. Cette capacité vous permet d’avoir de la visibilité sur les anomalies de compte dans les ressources individuelles.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Defender pour SQL doit être activé pour les instances gérées SQL non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : Azure SQL ne prend pas en charge l’intégration avec les réseaux ou n’expose pas ses activités liées au réseau.

Azure SQL n’est pas destiné à être déployé dans des réseaux virtuels. C’est pourquoi vous ne pouvez pas utiliser la journalisation des flux de groupe de sécurité réseau, router le trafic via un pare-feu ni effectuer des captures de paquets.

Azure SQL ne déploie pas de ressources directement dans un réseau virtuel. Toutefois, Azure SQL vous permet d’utiliser des points de terminaison privés pour vous connecter en toute sécurité à ses ressources à partir d’un réseau virtuel. Azure SQL ne produit pas non plus ni ne traite les journaux de requêtes DNS qui doivent être activés. Azure SQL ne produit pas ou ne traite pas les journaux de requêtes DNS.

Activez la journalisation sur vos points de terminaison privés Azure SQL configurés pour capturer les données suivantes :

  • Données traitées par le point de terminaison privé (entrée/sortie)

  • Données traitées par le service Liaison privée (entrée/sortie)

  • Disponibilité du port NAT

Par défaut, même si les ressources Azure SQL peuvent être déployées dans un réseau virtuel, le trafic vers et depuis les ressources Azure SQL ne peut pas être appliqué ou transmis via un groupe de sécurité réseau. Les stratégies réseau doivent être désactivées sur le sous-réseau pour que l’offre fonctionne correctement. Pour cette raison, vous ne pouvez pas configurer la journalisation des flux de groupe de sécurité réseau pour Azure SQL.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseil : Les journaux d’activité, disponibles automatiquement, contiennent toutes les opérations d’écriture (PUT, POST, DELETE) des ressources Azure SQL, mais ne contiennent aucune opération de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux de ressources Azure pour Azure SQL. Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour l’examen des incidents de sécurité et des investigations légales.

Azure SQL Database produit également des journaux d’audit de sécurité pour les comptes d’administration locaux. Activez ces journaux d’audit d’administrateur local et configurez ces journaux pour qu’ils soient envoyés à un espace de travail central Log Analytics ou un compte de stockage pour la rétention à long terme et l’audit.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences en matière de conservation des données.

Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

En outre, activez et intégrez les données dans Microsoft Sentinel ou une solution SIEM tierce.

De nombreuses organisations choisissent d’utiliser Microsoft Sentinel pour les données « à chaud » qui sont utilisées fréquemment et le Stockage Azure pour les données « à froid » qui sont utilisées moins fréquemment.

Pour les applications qui s’exécutent sur Azure SQL, transférez tous les journaux liés à la sécurité à votre système SIEM pour une gestion centralisée.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseil : Assurez-vous que la période de rétention des journaux définie dans les comptes de stockage ou les espaces de travail Log Analytics utilisés pour le stockage des journaux d’Azure SQL est conforme aux règles de conformité de votre organisation.

Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des règles de conformité de votre organisation. Utilisez des comptes Stockage Azure, Data Lake ou d’espace de travail Log Analytics pour le stockage à long terme et l’archivage.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Sql :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 3.0.0

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : Azure SQL ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service Azure SQL s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseils : Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration de services et d’environnements d’application (par exemple des modèles Azure Resource Manager, des contrôles Azure RBAC et des stratégies) dans une même définition de blueprint.

Ces règles de pare-feu IP au niveau de la base de données permettent aux clients d'accéder à certaines bases de données (sécurisées). Vous devez créer les règles pour chaque base de données (dont la base de données MASTER). Elles y seront stockées de façon individuelle.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseils : Utilisez Microsoft Defender pour le cloud pour superviser votre base de référence de configuration et appliquez Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur des ressources de calcul Azure, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseil:  Utilisez Microsoft Defender pour le cloud et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés.

Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Customer

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseils : protégez votre base de données Azure SQL Database ou ses ressources avec un logiciel anti-programme malveillant moderne géré de manière centralisée.

  • Utilisez une solution anti-programme malveillant pour les points de terminaison qui est gérée de manière centralisée et capable d’effectuer des analyses en temps réel et périodiques.

  • Microsoft Defender pour le cloud peut identifier automatiquement l’utilisation de plusieurs solutions anti-programmes malveillants populaires pour vos machines virtuelles, signaler l’état de fonctionnement de la protection des points de terminaison et formuler des recommandations.

  • Microsoft Antimalware pour Azure Cloud Services est le logiciel anti-programme malveillant par défaut pour les machines virtuelles Windows. Pour les machines virtuelles Linux, utilisez une solution anti-programme malveillant tierce. Vous pouvez utiliser la détection des menaces de Microsoft Defender pour le cloud pour les services de données afin de détecter les programmes malveillants chargés sur des comptes de stockage Azure.

  • Guide pratique pour configurer Microsoft Antimalware pour les services cloud et les machines virtuelles

  • Solutions de protection des points de terminaison prises en charge

Responsabilité : Customer

ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Aide : Vérifiez que les signatures anti-programme malveillant sont mises à jour rapidement et de manière cohérente.

Suivez les recommandations fournies par « Calculs & applications » dans Microsoft Defender pour le cloud afin de garantir que tous les points de terminaison sont à jour avec les signatures les plus récentes.

Par défaut, Microsoft Antimalware installe automatiquement les dernières signatures et mises à jour du moteur. Pour Linux, utilisez une solution logicielle anti-programme malveillant tierce.

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseils : Azure SQL Database utilise la technologie SQL Server pour créer des sauvegardes complètes (chaque semaine), différentielles (toutes les 12-24 heures) et du journal des transactions (toutes les 5 à 10 minutes).

Par défaut, Azure SQL Database stocke les données dans des objets blob de stockage géoredondants qui sont répliqués dans une région jumelée. Pour SQL Database, la redondance du stockage de sauvegarde peut être configurée au moment de la création de la base de données ou peut être mise à jour pour une base de données existante ; les modifications apportées à une base de données existante s’appliquent uniquement aux sauvegardes ultérieures.

Responsabilité : Customer

BR-2 : Chiffrer les données de sauvegarde

Conseils : Assurez-vous que vos sauvegardes sont protégées contre les attaques. Cela doit inclure le chiffrement des sauvegardes afin de vous protéger contre la perte de confidentialité.

Pour une sauvegarde locale à l’aide du service Sauvegarde Azure, le chiffrement au repos est assuré à l’aide de la phrase secrète que vous fournissez. Pour une sauvegarde de service Azure normale, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure. Vous pouvez choisir de chiffrer la sauvegarde avec une clé gérée par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans le coffre de clés est également dans l’étendue de la sauvegarde.

Utilisez le contrôle d’accès en fonction du rôle dans Sauvegarde Azure, Azure Key Vault ou d’autres ressources pour protéger les sauvegardes et les clés gérées par le client. En outre, vous pouvez activer des fonctionnalités de sécurité avancées pour exiger une authentification multifacteur avant que les sauvegardes soient modifiées ou supprimées.

Si votre base de données est chiffrée à l’aide de TDE, les sauvegardes sont automatiquement chiffrées au repos, y compris les sauvegardes LTR. Par défaut, TDE est activé sur toutes les nouvelles bases de données dans Azure SQL.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Effectuez régulièrement une restauration des données de votre sauvegarde.

SQL Database et SQL Managed Instance utilisent la technologie SQL Server pour créer des sauvegardes complètes (chaque semaine), différentielles (toutes les 12 à 24 heures) et du journal des transactions (toutes les 5 à 10 minutes).

Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui sont sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous que vous avez pris les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Activer la suppression réversible

Responsabilité : Customer

Étapes suivantes