Az Azure biztonsági alapkonfigurációja a Synapse Analytics-munkaterülethez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Synapse Analytics-munkaterületre. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Synapse Analytics-munkaterületre vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Synapse Analytics-munkaterületre nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy a Synapse Analytics-munkaterület hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a Synapse Analytics-munkaterület biztonsági alapkonfigurációjának leképezési fájljait.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Azure Synapse Workspace-erőforrások üzembe helyezésekor hozzon létre vagy használjon egy meglévő virtuális hálózatot. Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatoknak megfelelő vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelően kell védeni egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall.

Az Azure Security Center Adaptív hálózatmegszűnéssel olyan hálózati biztonsági csoportkonfigurációkat javasolhat, amelyek a külső hálózati forgalmi szabályokra való hivatkozás alapján korlátozzák a portokat és a forrás IP-címeket.

Azure Synapse Analytics felügyelt Virtual Network-munkaterületet biztosít. Ez egy Synapse-munkaterület termékváltozata, amely a Azure Synapse által felügyelt Virtual Network van társítva. Felügyelt privát végpontokat csak olyan munkaterületen hozhat létre, amelyhez felügyelt munkaterület Virtual Network társítva.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat a hálózati biztonsági csoport szabályai alapján. Adott, jól definiált alkalmazások (például háromszintű alkalmazások) esetében ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet

A felügyelt Virtual Network-munkaterület engedélyezi a bejövő NSG-szabályokat a saját virtuális hálózatán, hogy Azure Synapse felügyeleti forgalom beléphessen a Virtual Network. Emellett nem kell alhálózatot létrehoznia a Spark-fürtökhöz a csúcsterhelés alapján.

Az Azure Sentinel használatával felderítheti az olyan örökölt nem biztonságos protokollok használatát, mint az SSL/TLSv1, az SMBv1, az LM/NTLMv1, a wDigest, az Aláíratlan LDAP-kötések és a gyenge titkosítások Kerberosban.

A Synapse SQL az Azure Synapse Analyticsben lehetővé teszi az összes TLS-verziót használó kapcsolatokat. A Synapse SQL minimális TLS-verzióját nem állíthatja be az Azure Synapse Analyticsben. Más Synapse-képességek alapértelmezés szerint a TLS 1.2-t használják.

Ügyeljen arra, hogy a hálózaton és a helyi számítógépen lévő tűzfal engedélyezze a kimenő kommunikációt a Synapse Studio számára a 80-as, a 443-as és az 1443-as TCP-porton keresztül. Emellett engedélyeznie kell a kimenő kommunikációt az 53-s UDP-porton Synapse Studio. Ha olyan eszközök használatával szeretne csatlakozni, mint az SSMS és a Power BI, engedélyeznie kell a kimenő kommunikációt az 1433-as TCP-porton keresztül.

A Azure Synapse Portal tűzfalbeállítása blokkolhatja az összes nyilvános hálózati kapcsolatot.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Le kell tiltani Azure SQL-adatbázis nyilvános hálózati hozzáférését A nyilvános hálózati hozzáférési tulajdonság letiltása azáltal javítja a biztonságot, hogy az Azure SQL-adatbázis csak privát végpontról érhető el. Ez a konfiguráció letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuálishálózat-alapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 1.1.0

NS-2: Privát hálózatok összekapcsolása

Útmutató: Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem a nyilvános interneten haladnak át, így az általános internetes kapcsolatoknál megbízhatóbbak, gyorsabbak és alacsonyabb a késésük. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációjával csatlakoztathatja egy virtuális hálózathoz.

Két vagy több Azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Engedélyezni kell Azure SQL Database privát végpontkapcsolatait A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database privát kapcsolatainak engedélyezésével. Naplózás, letiltva 1.1.0

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: Felügyelt privát végpontokat hozhat létre a Azure Synapse-munkaterületről az Azure-szolgáltatások (például az Azure Storage vagy az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások eléréséhez.

A Azure Private Link segítségével privát hozzáférést engedélyezhet Azure Synapse-munkaterülethez a virtuális hálózatokról anélkül, hogy átküldi az internetet.

A privát hozzáférés egy további mélységi védelmi intézkedés az Azure-szolgáltatások által kínált hitelesítéshez és forgalombiztonsághoz.

A Synapse Studio privát kapcsolatokkal való csatlakozásának két lépése van. Először létre kell hoznia egy privát kapcsolatközpont-erőforrást. Másodszor létre kell hoznia egy privát végpontot az Azure-beli virtuális hálózatról erre a privát kapcsolati központra. Ezután privát végpontok használatával biztonságosan kommunikálhat Synapse Studio. A privát végpontokat integrálnia kell a DNS-megoldással, akár a helyszíni megoldással, akár az Azure saját DNS.

Az Azure Virtual Network-szolgáltatásvégpontok használatával biztonságos hozzáférést biztosíthat Azure Synapse-munkaterülethez egy optimalizált útvonalon keresztül az Azure gerinchálózatán anélkül, hogy átküldi az internetet.

A privát hozzáférés egy további mélységi védelmi intézkedés az Azure-szolgáltatások által kínált hitelesítéshez és forgalombiztonsághoz.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Engedélyezni kell a privát végpontkapcsolatokat Azure SQL-adatbázison A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database privát kapcsolatainak engedélyezésével. Naplózás, letiltva 1.1.0

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadásokkal szemben

Útmutató: A Azure Synapse-munkaterület erőforrásainak védelme külső hálózatokról érkező támadásokkal szemben, beleértve az elosztott szolgáltatásmegtagadásos (DDoS) támadásokat, az alkalmazásspecifikus támadásokat, valamint a kéretlen és potenciálisan rosszindulatú internetes forgalmat. Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalomtól. Az adategységek DDoS-támadásokkal szembeni védelméhez engedélyezze a DDoS standard védelmét az Azure-beli virtuális hálózatokon. A Azure Security Center segítségével észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

Azure Synapse Munkaterület nem webalkalmazások futtatására szolgál, és nem követeli meg további beállítások konfigurálását vagy további hálózati szolgáltatások üzembe helyezését a webalkalmazásokat célzó külső hálózati támadások elleni védelem érdekében.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait, hogy elhárítsa az olyan gyakori támadásokat, mint a dangling DNS, DNS-erősítő támadások, DNS-mérgezés és hamisítás stb.

Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, győződjön meg arról, hogy a DNS-zónák és -rekordok védve vannak a véletlen vagy rosszindulatú módosítások ellen az Azure RBAC és az erőforrás-zárolások használatával.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Azure Synapse Workspace az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt prioritásnak kell lennie a szervezet felhőbiztonsági gyakorlatában. Azure AD egy identitásbiztonsági pontszámot biztosít, amely segít felmérni az identitásbiztonsági állapotot a Microsoft ajánlott eljárásaihoz képest. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD támogatja a külső identitásokat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók külső identitással jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Az azure-tulajdonosi vagy közreműködői (Azure RBAC) szerepkörrel rendelkező felhasználók az erőforráscsoportban kezelhetik a dedikált SQL-készleteket, Spark-készleteket és integrációs futtatókörnyezetet a Synapse-ban. Emellett a Synapse RBAC kiterjeszti az Azure RBAC képességeit annak szabályozására, hogy ki olvashatja vagy teheti közzé a kódösszetevőket, végrehajthatja a kódot, hozzáférhet a társított szolgáltatásokhoz, és figyelheti vagy megszakíthatja a feladat végrehajtását.

Azure AD hitelesítés tartalmazott adatbázis-felhasználók vagy készletszintű felhasználók használatával hitelesíti az identitásokat az SQL-készletek adatbázisszintjén az Azure Synapse Analyticsben. A Synapse az SQL-készletek SQL-hitelesítését is támogatja. Ezzel a hitelesítési módszerrel a felhasználó elküldi a felhasználói fiók nevét és a hozzá tartozó jelszót a kapcsolat létrehozásához. Ezt a jelszót a rendszer vagy a master adatbázisban tárolja – a bejelentkezési azonosítóval rendelkező felhasználói fiókok esetén –, vagy abban az adatbázisban, amelyben a felhasználói fiókok nincsenek bejelentkezési azonosítóhoz rendelve.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni AZ SQL-kiszolgálókhoz Azure Active Directory-rendszergazda kiépítésének naplózása az SQL Serverhez Azure AD hitelesítés engedélyezéséhez. Azure AD hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését AuditIfNotExists, Disabled 1.0.0

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Azure Synapse Workspace támogatja az Azure-erőforrások felügyelt identitásait. Felügyelt identitások használata Azure Synapse-munkaterülettel ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez. Azure Synapse-munkaterület natív hitelesítést végezhet a Azure AD hitelesítést támogató Azure-szolgáltatásokon/-erőforrásokon egy előre definiált hozzáférési engedélyezési szabályon keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített, rögzített hitelesítő adatokat használ.

Azure Synapse Analytics a felügyelt identitást használja a folyamatok integrálásához.

Azure Synapse Workspace azt javasolja, hogy a Azure AD használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrásszinten a szolgáltatásnevek tanúsítvány-hitelesítő adatokkal való konfigurálásához, és térjen vissza az ügyfél titkos kulcsaihoz. Az Azure Key Vault mindkét esetben használható az Azure által felügyelt identitásokkal együtt, hogy a futtatókörnyezet (például egy Azure-függvény) le tudja kérni a hitelesítő adatokat a kulcstartóból.

Azure Synapse Analytics támogatja az ügyfél által felügyelt kulcsokat (CMK) a titkosításhoz. Ez a titkosítás az Azure Key Vault-ban létrehozott kulcsokat használja.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Azure Synapse Workspace az Azure Active Directory használatával biztosít identitás- és hozzáférés-kezelést az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Ide tartoznak a vállalati identitások, például az alkalmazottak, valamint a külső identitások, például partnerek, szállítók és szállítók. Ez lehetővé teszi, hogy az egyszeri bejelentkezés (SSO) felügyelje és biztonságossá tegye a szervezet adataihoz és erőforrásaihoz való hozzáférést a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: A Azure Synapse Analytics lehetővé teheti az ügyfelek számára a következő entitások üzembe helyezését vagy futtatását, amelyek identitásokkal vagy titkos kódokkal rendelkeznek:

  • Code
  • Konfigurációk
  • Megőrzött adatok

A Hitelesítőadat-ellenőrző implementálása az entitások hitelesítő adatainak azonosításához. A Credential Scanner a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vault-be való áthelyezését is ösztönzi. A GitHubhoz használja a natív titkos kódvizsgálati funkciót. Ez a funkció azonosítja a hitelesítő adatokat vagy a kódon belüli egyéb titkos kulcsokat.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A Azure AD legkritikusabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkör-rendszergazda, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak:

  • Globális rendszergazda/vállalati rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
  • Kiemelt szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatáson belül. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.

Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkeznie kell, amelyeket szabályozni kell, ha bizonyos jogosultsági szintű engedélyekkel rendelkező egyéni szerepköröket használ. Érdemes lehet hasonló vezérlőket alkalmazni a kritikus üzleti eszközök rendszergazdai fiókjára is.

Korlátoznia kell a kiemelt jogosultságú fiókok vagy szerepkörök számát, és emelt szintű védelmet kell biztosítania ezeknek a fiókoknak. Az ezzel a jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve elolvashatják és módosíthatják az Azure-környezet összes erőforrását.

Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz és Azure AD Azure AD PIM használatával. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Azure Synapse munkaterületen az alábbi kiemelt jogosultságú fiókok vannak:

  • Azure-tulajdonos az erőforráscsoportban
  • Azure-közreműködő az erőforráscsoportban
  • Storage-blobadatok közreműködője a Synapse-hez társított ADLS g2 tárolóban
  • Synapse-rendszergazda
  • Synapse SQL-rendszergazda
  • Synapse Spark-rendszergazda

Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatával.

Amikor először hoz létre egy Azure Synapse-munkaterületet, megadhat egy rendszergazdai bejelentkezést és jelszót az SQL-készletekhez a Synapse-munkaterületen belül. Ezt a rendszergazdai fiókot kiszolgáló-rendszergazdanak nevezzük. A Synapse kiszolgálói rendszergazdai fiókját a Azure Portal megnyitásával és a Synapse-munkaterület áttekintési lapjára lépve azonosíthatja. A teljes rendszergazdai engedélyekkel rendelkező Azure AD rendszergazdai fiókot is konfigurálhatja. Erre akkor van szükség, ha engedélyezni szeretné az Azure Active Directory-hitelesítést.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Azure Synapse Munkaterület Azure Active Directory-fiókokat (Azure AD) használ az erőforrások kezeléséhez, a felhasználói fiókok áttekintéséhez és a hozzáférési hozzárendelések rendszeres ellenőrzéséhez, hogy a fiókok és hozzáférésük érvényes legyen. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálati jelentés munkafolyamatokat is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett Azure AD PIM konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezelnek. Ezeket a felhasználókat külön kell kezelnie.

Azure Synapse munkaterületekhez azure-tulajdonosi vagy Azure-közreműködői szerepkörökben lévő felhasználóknak kell szabályoznia a dedikált SQL-készletek, Spark-készletek és integrációs futtatókörnyezetek kezelését. Emellett a felhasználóknak és a munkaterület rendszeridentitásának hozzáférést kell biztosítani a Storage Blob Data Contributor számára a Synapse-munkaterülethez társított ADLS Gen2 tárolóhoz. SQL-hitelesítés használatakor hozzon létre tartalmazott adatbázis-felhasználókat az SQL-készletekben. Győződjön meg arról, hogy egy vagy több adatbázis-felhasználót egy egyéni adatbázis-szerepkörbe helyez, és az adott felhasználói csoportnak megfelelő engedélyeket kap.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatáskezelő. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory (Azure AD), a Microsoft Defender Advanced Threat Protection (ATP) és/vagy Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A biztonságos munkaállomások központilag felügyelhetők a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Azure Synapse Munkaterület integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket hozzárendelheti a felhasználókhoz, a csoportok szolgáltatásneveihez és a felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Azure Synapse Analyticshez azure-tulajdonosi vagy Azure-közreműködői szerepkörökben lévő felhasználókra van szükség az erőforráscsoportban a dedikált SQL-készletek, Spark-készletek és integrációs futtatókörnyezetek felügyeletének szabályozásához. Emellett a felhasználóknak és a munkaterület rendszeridentitásának hozzáférést kell biztosítani a Storage Blob Data Contributor számára a Synapse-munkaterülethez társított ADLS Gen2 tárolóhoz.

Amikor először hoz létre egy Azure Synapse-munkaterületet, megadhat egy rendszergazdai bejelentkezést és jelszót az SQL-készletekhez a Synapse-munkaterületen belül. Ezt a rendszergazdai fiókot kiszolgáló-rendszergazdanak nevezzük. A Synapse kiszolgálói rendszergazdai fiókját a Azure Portal megnyitásával és a Synapse-munkaterület áttekintési lapjára lépve azonosíthatja. A teljes rendszergazdai engedélyekkel rendelkező Azure AD rendszergazdai fiókot is konfigurálhatja. Erre akkor van szükség, ha engedélyezni szeretné az Azure Active Directory-hitelesítést

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft támogatásához

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, Azure Synapse-munkaterület támogatja az Ügyfélszéfet, hogy felületet biztosítson Az ügyféladatok hozzáférési kérelmeinek áttekintéséhez és jóváhagyásához vagy elutasításához.

Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie a dedikált SQL-készlet SQL Database kapcsolatos adataihoz, az Azure Customer Lockbox egy felületet biztosít az adathozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Az adatfelderítés és -besorolás beépített Azure SQL, és a következő képességeket támogatja: Felderítés és javaslatok – A besorolási motor megvizsgálja az adatbázist, és azonosítja a potenciálisan bizalmas adatokat tartalmazó oszlopokat. Így egyszerűen áttekintheti és alkalmazhatja az ajánlott besorolást a Azure Portal.

Címkézés – A bizalmassági besorolási címkéket állandó módon alkalmazhatja az oszlopokra az SQL Server adatbázismotorhoz hozzáadott új metaadat-attribútumok használatával. Ezek a metaadatok ezután bizalmassági alapú naplózási és védelmi forgatókönyvekhez használhatók.

Lekérdezési eredményhalmaz bizalmassága – A lekérdezés eredményhalmazának bizalmassága valós időben van kiszámítva naplózási célokra.

Láthatóság – Az adatbázis-besorolás állapotát a Azure Portal részletes irányítópultján tekintheti meg. Emellett letöltheti a megfelelőségi és naplózási célokra és egyéb igényekre használható Excel-formátumú jelentéseket is.

Felderítheti, osztályozhatja és címkézheti a bizalmas adatokat, így megtervezheti a megfelelő vezérlőket, így biztosítva, hogy a bizalmas adatokat a szervezet technológiai rendszerei biztonságosan tárolják, dolgozzák fel és továbbítják.

Az Azure Information Protection (és a hozzá tartozó vizsgálati eszköz) használatával bizalmas információkat kaphat az Office-dokumentumokban az Azure-ban, a helyszínen, a Microsoft 365-ben és más helyeken.

Az Azure SQL Information Protection segítséget nyújthat az Azure SQL-adatbázisokban tárolt adatok besorolásában és címkézésében.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Az SQL-adatbázisokban lévő bizalmas adatokat besorolni kell A Microsoft Defender for Cloud figyeli az SQL-adatbázisok adatfelderítési és besorolási vizsgálati eredményeit, és javaslatokat tesz az adatbázisokban lévő bizalmas adatok besorolására a jobb monitorozás és biztonság érdekében AuditIfNotExists, Letiltva 3.0.0-s előzetes verzió

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a hálózatalapú hozzáférés-vezérlés és az Azure-szolgáltatások adott vezérlői (például titkosítás) használatával történő hozzáférés korlátozásával.

Az egységes hozzáférés-vezérlés érdekében minden hozzáférés-vezérlési típusnak igazodnia kell a vállalati szegmentálási stratégiához. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A mögöttes platform (a Microsoft által felügyelt) esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Azure Synapse Analytics kettős titkosítást biztosít egy ügyfél által felügyelt kulccsal az SQL-készletekben, Spark-készletekben és Azure Data Factory integrációs futtatókörnyezetekben, folyamatokban és adatkészletekben lévő adatokhoz.

Használja az Azure Synapse SQL-adatfelderítési és -besorolási szolgáltatást. Emellett dinamikus adatmaszkolási (DDM) szabályzatot is beállíthat a Azure Portal. A DDM javaslati motorja az adatbázis bizonyos mezőit potenciálisan bizalmas mezőkként jelöli meg, amelyek maszkolásra alkalmasak lehetnek.

A transzparens adattitkosítás (TDE) az inaktív adatok titkosításával segít megvédeni a dedikált Synapse SQL-készletek adatait a rosszindulatú offline tevékenységek veszélyével szemben. Valós időben titkosítja és fejti vissza az adatbázist, a hozzá tartozó biztonsági másolatokat és a tranzakciónapló-fájlokat anélkül, hogy ehhez módosítani kellene az alkalmazást.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
A Microsoft Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden SQL Managed Instance speciális adatbiztonság nélkül naplóz. AuditIfNotExists, Letiltva 1.0.2
Engedélyezni kell a transzparens adattitkosítást az SQL-adatbázisokon Engedélyezni kell a transzparens adattitkosítást az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében AuditIfNotExists, Letiltva 2.0.0

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: Azure Synapse Workspace támogatja az ügyféladatok átvitelét, de nem támogatja a bizalmas adatok natív jogosulatlan átvitelének figyelését.

Az Azure Storage Advanced Threat Protection (ATP) és az Azure SQL ATP riasztást küldhet olyan rendellenes információátvitelekről, amelyek bizalmas adatok jogosulatlan átvitelét jelezhetik.

Ha az adatveszteség-megelőzési (data loss prevention, DLP) megfelelőséghez szükséges, egy gazdagépalapú DLP-megoldással észlelési és/vagy megelőzési célú vezérlőket kényszeríthet ki az adatok kiszivárogtatásának megakadályozása érdekében.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
A Microsoft Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden SQL Managed Instance speciális adatbiztonság nélkül naplóz. AuditIfNotExists, Letiltva 1.0.2

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat titkosítással kell védeni a sávon kívüli támadások (például a forgalomrögzítés) ellen, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Azure Synapse Workspace támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során.

Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatokon. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és -protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Ügyfél

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként Azure Synapse Workspace titkosítja az inaktív adatokat a sávon kívüli támadások (például a mögöttes tároló elérése) elleni védelem érdekében titkosítással. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure alapértelmezés szerint titkosítást biztosít az inaktív adatokhoz. A rendkívül bizalmas adatok esetében lehetőség van további titkosítás implementálására az összes Azure-erőforráson, ahol elérhető. Az Azure alapértelmezés szerint kezeli a titkosítási kulcsokat, de az Azure a szabályozási követelményeknek megfelelően saját kulcsok (ügyfél által felügyelt kulcsok) kezelésére is kínál lehetőséget bizonyos Azure-szolgáltatásokhoz.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és irányítást biztosít a TDE Protector felett, nagyobb biztonságot nyújt egy HSM-alapú külső szolgáltatással, valamint előlépteti a feladatok elkülönítését. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. AuditIfNotExists, Disabled 1.0.2
Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és irányítást biztosít a TDE Protector felett, nagyobb biztonságot nyújt egy HSM-alapú külső szolgáltatással, valamint előlépteti a feladatok elkülönítését. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell az SQL-adatbázisok transzparens adattitkosítását Engedélyezni kell a transzparens adattitkosítást az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében AuditIfNotExists, Disabled 2.0.0

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Gondoskodás arról, hogy a biztonsági csapat átlássa az adategységek kockázatait

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasó engedélyekkel rendelkeznek az Azure-bérlőben és -előfizetésekben, hogy monitorozni tudják a biztonsági kockázatokat az Azure Security Centerrel.

A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például Azure Synapse-munkaterülethez. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciálisan felmerülő kockázatokkal szembeni kitettségét, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak. Hozzon létre egy Azure Active Directory-csoportot (Azure AD), amely tartalmazza a szervezet engedélyezett biztonsági csapatát, és olvasási hozzáférést rendel hozzájuk az összes Azure Synapse-munkaterületi erőforráshoz, ami az előfizetésen belül egyetlen magas szintű szerepkör-hozzárendeléssel egyszerűsíthető.

Címkéket alkalmazhat az Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Az Azure Virtual Machine Inventory használatával automatizálhatja a szoftveradatok gyűjtését a Virtual Machines. A szoftver neve, verziója, közzétevője és frissítési ideje a Azure Portal érhető el. A dátumok és egyéb információk telepítéséhez engedélyeznie kell a vendégszintű diagnosztikát, és be kell állítania a Windows eseménynaplóit egy Log Analytics-munkaterületre.

Azure Synapse Workspace nem engedélyezi az alkalmazások futtatását vagy a szoftverek telepítését az erőforrásain.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Megosztott

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Használja a Azure Security Center beépített fenyegetésészlelési képességet, és engedélyezze az Azure Defendert (korábbi nevén Azure Advanced Threat Protectiont) a Azure Synapse-munkaterület erőforrásaihoz. Az Azure Defender for Azure Synapse Workspace egy további biztonsági intelligenciát biztosít, amely szokatlan és potenciálisan káros kísérleteket észlel a Azure Synapse-munkaterület erőforrásainak elérésére vagy kihasználására.

Az egyéni fenyegetésészlelések beállításához használható naplók továbbítása Azure Synapse-ból az Azure Sentinelbe. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
A Microsoft Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden SQL Managed Instance naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. Az auditnaplók közé tartoznak a Azure AD erőforrásainak módosításai, például felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

Azure Security Center riasztásokat is aktiválhat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról vagy az előfizetés elavult fiókjairól. Az alapvető biztonsági higiénia-monitorozás mellett a Azure Security Center Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure-beli számítási erőforrásokról (virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (SQL DB és tárolók) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák láthatóságát az egyes erőforrásokon belül.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A Microsoft Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden SQL Managed Instance naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és gyűjtése biztonsági elemzésekhez az incidensvizsgálatok, a fenyegetéskeresés és a biztonsági riasztások generálása támogatására. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Azure Synapse-munkaterület naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz. A hálózati folyamat képességének engedélyezése az üzembe helyezett ajánlat erőforrásain belül

Amikor a dedikált SQL-készlethez csatlakozik, és engedélyezte a hálózati biztonsági csoport (NSG) folyamatnaplóit, a rendszer a naplókat egy Azure Storage-fiókba küldi a forgalom naplózásához.

NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőben folyó forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és rögzíteni a hálózati helytelen konfigurációkat.

Győződjön meg arról, hogy DNS-lekérdezési naplókat gyűjt más hálózati adatok korrelálásához. Implementáljon egy külső megoldást Azure Marketplace DNS-naplózáshoz a szervezet igényeinek megfelelően.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan elérhető tevékenységnaplók az olvasási műveletek (GET) kivételével tartalmazzák a Azure Synapse-munkaterület erőforrásaihoz tartozó összes írási műveletet (PUT, POST, DELETE). A tevékenységnaplók segítségével hibakeresést végezhet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Azure-erőforrásnaplók engedélyezése Azure Synapse-munkaterülethez. A Azure Security Center és a Azure Policy használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok elvégzéséhez.

Az Azure Monitor alapszintű infrastruktúra-metrikákat, riasztásokat és naplókat biztosít a legtöbb Azure-szolgáltatáshoz. Az Azure diagnosztikai naplóit egy erőforrás bocsátja ki, és gazdag, gyakori adatokat szolgáltat az erőforrás működéséről. Azure Synapse Analytics diagnosztikai naplókat tud írni az Azure Monitorban. Különösen a Synapse RABC-műveleteket naplózza.

Azure Synapse Workspace biztonsági auditnaplókat is készít a fiókok helyi felügyeletéhez. A helyi rendszergazdai auditnaplók engedélyezése

A Azure SQL Azure Synapse Analytics naplózása nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket az Azure Storage-fiókban, a Log Analytics-munkaterületen vagy az Event Hubsban. Ezek az auditnaplók segítenek fenntartani a jogszabályi megfelelőséget, megérteni az adatbázis tevékenységeit, és betekintést nyerni az olyan eltérésekbe és anomáliákba, amelyek üzleti problémákra vagy biztonsági szabálysértésekre utalhatnak.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Engedélyezni kell a naplózást az SQL Serveren A SQL Server naplózását engedélyezni kell az adatbázis-tevékenységek nyomon követéséhez a kiszolgálón található összes adatbázison, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat integrálja a központi naplózásba. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat az Azure Sentinelbe vagy egy külső SIEM-be.

Számos szervezet úgy dönt, hogy az Azure Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage pedig a ritkábban használt "ritka" adatokhoz.

A Azure Synapse-munkaterületen futó alkalmazások esetében a központi felügyelet érdekében továbbítja az összes biztonsági naplót a SIEM-nek.

A Azure Synapse Analytics naplózása nyomon követi az adatbázis-eseményeket, és naplóba írja őket az Azure Storage-fiókban, a Log Analytics-munkaterületen vagy az Event Hubsban. Ezek az auditnaplók segítenek fenntartani a jogszabályi megfelelőséget, megérteni az adatbázis tevékenységeit, és betekintést nyerni az olyan eltérésekbe és anomáliákba, amelyek üzleti problémákra vagy biztonsági szabálysértésekre utalhatnak.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a Azure Synapse munkaterület naplóinak tárolására használt tárfiókok vagy Log Analytics-munkaterületek naplómegőrzési ideje a szervezet megfelelőségi előírásainak megfelelően van beállítva.

A Azure Synapse Analytics naplózása nyomon követi az adatbázis-eseményeket, és naplóba írja őket az Azure Storage-fiókban, a Log Analytics-munkaterületen vagy az Event Hubsban. Ezek az auditnaplók segítenek fenntartani a jogszabályi megfelelőséget, megérteni az adatbázis tevékenységeit, és betekintést nyerni az olyan eltérésekbe és anomáliákba, amelyek üzleti problémákra vagy biztonsági szabálysértésekre utalhatnak.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni Incidensvizsgálati célokból javasoljuk, hogy a SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, amelyekben üzemel. Ez néha szükséges a szabályozási szabványoknak való megfeleléshez. AuditIfNotExists, Letiltva 3.0.0

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure-platform PaaS- és SaaS-szolgáltatáshoz. A virtuális gépekhez használjon egy Alapértelmezett Hálózatiidő-protokoll (NTP) kiszolgálót az időszinkronizáláshoz, hacsak nem rendelkezik egy adott követelményvel. Ha ki kell állnia a saját NTP-kiszolgálójához, győződjön meg arról, hogy a 123-es UDP-szolgáltatásportot védi.

Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Az Azure Blueprints segítségével automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resources Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatokat egyetlen tervdefinícióban.

SQL Server virtuális hálózati szolgáltatásvégpontot kell használnia.

Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resources Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatokat egyetlen tervdefinícióban.

A Synapse Analytics számos ajánlatspecifikus biztonsági szabályzatot tartalmaz a Azure Security Center alapú vezérlők mellett. A Azure SQL-kiszolgálót például Private Link; A virtuális hálózatok, alhálózatok és hálózati adapterek forgalmának figyelése és naplózása NSG-forgalomnaplók és Traffic Analytics használatával; az Advanced Threat Protection (ATP) használatával megtagadhatja az ismert kártékony IP-címekkel folytatott kommunikációt.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Guidance: Use Azure Security Center to monitor your configuration baseline and enforce using Azure Policy [deny] and [deploy if not exist] to enforce secure configuration across Azure compute resources including VMs, containers, and others.

Sql-naplózási szabályzat definiálása egy adott adatbázishoz. Vagy definiálja alapértelmezett kiszolgálószabályzatként az Azure-ban (amely dedikált SQL-készleteket üzemeltet). Az alapértelmezett naplózási szabályzat az összes műveletet és műveletcsoportot tartalmazza. A műveletek és a műveletcsoportok a következőket naplózják:

Felelősség: Ügyfél

PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása

Útmutató: A Azure Security Center és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, a tárolókat és más erőforrásokat is.

Felelősség: Ügyfél

PV-6: Szoftveres sebezhetőségi felmérések végrehajtása

Útmutató: A Microsoft biztonságirés-kezelést végez az Azure Synapse Workspacet támogató mögöttes rendszereken.

Felelősség: Microsoft

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Sql:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok monitorozása. AuditIfNotExists, Letiltva 4.0.0
A sebezhetőségi felmérést engedélyezni kell a SQL Managed Instance Minden olyan SQL Managed Instance naplózása, amelyen nincs engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatok. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázisok lehetséges biztonsági réseit. AuditIfNotExists, Letiltva 1.0.1
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon Naplózhatók Azure SQL olyan kiszolgálók, amelyeken nincs engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatok. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázisok lehetséges biztonsági réseit. AuditIfNotExists, Letiltva 2.0.0

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Harmadik féltől származó szoftverekhez használjon külső javításkezelési megoldást. Vagy használja a System Center Frissítések Publishert Configuration Manager. Azure Synapse Analytics nem használ vagy igényel harmadik féltől származó szoftvereket.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása.

A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Ügyfél

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: A Azure Synapse-munkaterület vagy erőforrásainak védelme egy központilag felügyelt, modern kártevőirtó szoftverrel.

  • Használjon egy központilag felügyelt végpont kártevőirtó megoldást, amely képes valós idejű és rendszeres vizsgálatra.

  • Azure Security Center képes automatikusan azonosítani a virtuális gépek (VM-ek) népszerű kártevőirtó megoldásainak használatát, jelentést készít a végpontvédelem futó állapotáról, majd javaslatokat tesz.

  • Microsoft Antimalware Az Azure Cloud Services a Windows rendszerű virtuális gépek alapértelmezett kártevőirtója. Linux rendszerű virtuális gépek esetén használjon külső kártevőirtó megoldást. Az adatszolgáltatások Azure Security Center fenyegetésészlelésével észlelheti az Azure Storage-fiókokba feltöltött kártevőket.

  • Microsoft Antimalware konfigurálása Cloud Services és Virtual Machines

  • Támogatott végpontvédelmi megoldások

Felelősség: Ügyfél

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Nem alkalmazható; Azure Synapse munkaterület nem tartalmaz olyan virtuális gépeket vagy tárolókat, amelyek végpontészlelést és válaszvédelmet (EDR) igényelnének.

Felelősség: Microsoft

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: A dedikált Synapse SQL-készletek pillanatképeit a rendszer a nap folyamán automatikusan készíti, és hét napig elérhető visszaállítási pontokat hoz létre. Ez a megőrzési időszak nem módosítható. A dedikált SQL-készletek egy nyolc órás helyreállításipont-célkitűzést (RPO) támogatnak. Az SQL-készletet az elsődleges régióban az elmúlt hét napban készített pillanatképek bármelyikéből visszaállíthatja. Vegye figyelembe, hogy szükség esetén manuálisan is aktiválhatja a pillanatképeket. Ha ügyfél által felügyelt kulccsal titkosítja az adatbázis-titkosítási kulcsot, győződjön meg arról, hogy a kulcsról biztonsági másolat készül.

Felelősség: Megosztott

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: A dedikált Synapse SQL-készletek pillanatképeit a rendszer a nap folyamán automatikusan készíti, és hét napig elérhető visszaállítási pontokat hoz létre. Ez a megőrzési időszak nem módosítható. A dedikált SQL-készletek egy nyolc órás helyreállításipont-célkitűzést (RPO) támogatnak. Az SQL-készletet az elsődleges régióban az elmúlt hét napban készített pillanatképek bármelyikéből visszaállíthatja. Vegye figyelembe, hogy szükség esetén manuálisan is aktiválhatja a pillanatképeket. Ha ügyfél által felügyelt kulccsal titkosítja az adatbázis-titkosítási kulcsot, győződjön meg arról, hogy a kulcsról biztonsági másolat készül.

Felelősség: Ügyfél

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: A dedikált SQL-készlet pillanatképeit a rendszer a nap folyamán automatikusan készíti, és hét napig elérhető visszaállítási pontokat hoz létre. Ez a megőrzési időszak nem módosítható. A dedikált SQL-készlet egy nyolcórás helyreállításipont-célkitűzést (RPO) támogat. Az elsődleges régióban lévő adattárházat az elmúlt hét napban készített bármelyik pillanatképből visszaállíthatja. Vegye figyelembe, hogy szükség esetén manuálisan is aktiválhatja a pillanatképeket.

Rendszeres időközönként győződjön meg arról, hogy visszaállíthatja az ügyfél által felügyelt biztonsági másolatok kulcsait.

A Synapse támogatja az ügyfél által felügyelt kulcsokat (CMK) a titkosításhoz. Ez a titkosítás az Azure Key Vault-ban létrehozott kulcsokat használja.

Felelősség: Megosztott

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Győződjön meg arról, hogy rendelkezik olyan intézkedésekkel, amelyek megakadályozzák és helyreállítják a kulcsok elvesztését. Engedélyezze a helyreállítható törlést és a végleges törléssel szembeni védelmet az Azure Key Vaultban, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törléssel szemben.

Felelősség: Megosztott

Következő lépések