Garis besar keamanan Azure untuk kumpulan SQL khusus Azure Synapse (sebelumnya SQL DW)

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 ke kumpulan SQL khusus Azure Synapse (sebelumnya SQL DW). Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk kumpulan SQL khusus Azure Synapse.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk kumpulan SQL khusus Azure Synapse (sebelumnya SQL DW), dan kontrol mendapat rekomendasi penerapan panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana kumpulan SQL khusus Azure Synapse (sebelumnya SQL DW) sepenuhnya memetakan ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan kumpulan SQL khusus Azure Synapse (sebelumnya SQL DW).

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Azure Synapse Analytics, buat atau gunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis.

Apakah sistem Anda memiliki risiko lebih tinggi bagi organisasi? Jika demikian, isolasi sistem itu dalam jaringan virtualnya sendiri. Terapkan pengamanan yang memadai untuk jaringan virtual dengan kelompok keamanan jaringan (NSG) atau Azure Firewall.

Gunakan Microsoft Defender untuk Cloud Adaptive Network Hardening pada konfigurasi NSG. Konfigurasi ini membatasi port dan IP sumber dengan mengacu pada aturan lalu lintas jaringan eksternal.

Berdasarkan strategi segmentasi perusahaan dan aplikasi Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan NSG Anda. Untuk aplikasi tertentu yang terdefinisi dengan baik (seperti aplikasi 3 tingkat), penanganan ini bisa menjadi penolakan yang sangat aman secara default.

Gunakan Microsoft Sentinel untuk menemukan penggunaan protokol tidak aman lama, seperti:

  • SSL/TLSv1
  • SMBv1
  • LM/NTLMv1
  • WDigest
  • Pengikatan LDAP yang tidak ditandatangani
  • Sandi lemah di Kerberos

Pengaturan versi TLS minimal memungkinkan pelanggan memilih versi TLS mana yang digunakan gudang data SQL mereka. Saat ini, TLS 1.0, 1.1, dan 1.2 yang didukung. Menetapkan versi TLS minimal memastikan bahwa versi TLS yang lebih baru didukung. Misalnya, memilih TLS versi 1.1 berarti hanya koneksi dengan TLS 1.1 dan 1.2 yang diterima. Koneksi dengan TLS 1.0 ditolak.

Apakah Anda ingin mengakses gudang data Azure Synapse Analytics dari komputer lokal Anda? Jika demikian, pastikan firewall di jaringan dan komputer lokal Anda memungkinkan komunikasi keluar pada port TCP 1433.

Ketika "Tolak akses jaringan publik" diatur ke "Ya", hanya koneksi melalui titik akhir privat yang diizinkan. Jika diatur ke "Tidak" (default), pelanggan dapat tersambung menggunakan:

  • Titik akhir publik dengan aturan firewall berbasis IP atau dengan aturan firewall berbasis jaringan virtual.
  • Titik akhir privat dengan menggunakan Azure Private Link.

Perilaku ini diuraikan dalam gambaran umum akses jaringan.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Dengan Azure ExpressRoute atau jaringan privat maya (VPN) Azure, buat koneksi privat antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik. Dibandingkan dengan koneksi internet pada umumnya, koneksi ExpressRoute menawarkan:

  • Lebih andal
  • Kecepatan lebih tinggi
  • Latensi yang lebih rendah

Apakah Anda perlu menggunakan VPN point-to-site dan VPN site-to-site? Jika demikian, sambungkan perangkat atau jaringan lokal ke jaringan virtual. Anda dapat menggunakan kombinasi apa pun dari opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang di-peering bersifat privat. Lalu lintas ini disimpan di jaringan backbone Azure.

Dengan Private Link, Anda dapat tersambung ke server Azure SQL melalui titik akhir privat. Titik akhir pribadi adalah alamat IP pribadi di dalam jaringan virtual tertentu dan subnet. Administrator SQL dapat memilih untuk menyetujui atau menolak koneksi titik akhir privat. Administrator dapat menambahkan respons teks pendek secara opsional.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Dengan Azure Private Link, aktifkan akses privat ke Azure Synapse Analytics dari jaringan virtual Anda tanpa melintasi internet. Akses privat adalah langkah pertahanan mendalam lain untuk autentikasi dan keamanan lalu lintas yang ditawarkan layanan Azure.

Anda juga dapat memilih untuk menolak akses jaringan publik ke server Azure SQL yang menghosting gudang data Anda. Saat diaktifkan, konfigurasi ini hanya memungkinkan koneksi melalui titik akhir privat.

PolyBase dan pernyataan COPY umumnya digunakan untuk memuat data ke Azure Synapse Analytics dari akun Azure Storage. Konektivitas dari PolyBase dan pernyataan COPY ke akun dapat rusak. Dalam skenario kerusakan itu, akun Azure Storage membatasi akses hanya ke satu set subnet jaringan virtual melalui:

  • Titik Akhir Privat
  • Titik akhir layanan
  • Firewall berbasis IP

Gunakan titik akhir layanan Azure Virtual Network untuk menyediakan akses aman ke Azure Synapse Analytics. Azure Virtual Network menggunakan rute yang dioptimalkan melalui jaringan backbone Azure tanpa melintasi internet.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Azure Synapse Analytics Anda dari serangan yang berasal dari jaringan eksternal, termasuk:

  • Serangan penolakan layanan terdistribusi (DDoS).
  • Serangan khusus aplikasi.
  • Lalu lintas internet yang tidak diminta dan berpotensi berbahaya.

Dengan menggunakan Azure Firewall, lindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya yang berasal dari internet dan lokasi eksternal lainnya. Untuk melindungi aset Anda dari serangan DDoS, aktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko salah konfigurasi ke sumber daya terkait jaringan Anda.

Azure Synapse Analytics tidak dimaksudkan untuk menjalankan aplikasi web. Jadi Anda tidak perlu melindunginya dari serangan jaringan eksternal yang menargetkan aplikasi web. Tidak perlu mengkonfigurasi pengaturan lain atau menyebarkan layanan jaringan tambahan apa pun.

Tanggung Jawab: Dibagikan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Dengan menggunakan tag layanan Azure Virtual Network, tentukan kontrol akses jaringan pada NSG atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Synapse Analytics Anda. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan di sumber atau tujuan aturan, yang mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang tercakup dalam tag layanan. Microsoft kemudian secara otomatis memperbarui tag layanan saat alamat berubah.

Saat Anda menggunakan titik akhir layanan untuk kumpulan SQL Azure Synapse Anda, lalu lintas keluar ke alamat IP publik database Azure SQL akan diperlukan. Buka NSG ke IP Azure SQL Database untuk memungkinkan konektivitas. Menggunakan tag layanan NSG untuk Azure SQL Database akan memenuhi persyaratan ini.

Tanggung Jawab: Dibagikan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Ikuti praktik terbaik untuk keamanan DNS guna membantu mencegah serangan umum, seperti:

  • DNS menggantung
  • Serangan amplifikasi DNS
  • Keracunan DNS dan spoofing

Apakah Anda menggunakan Azure DNS sebagai layanan DNS otoritatif Anda? Jika demikian, lindungi zona DNS dan rekaman dari modifikasi yang tidak disengaja atau berbahaya menggunakan Azure RBAC dan kunci sumber daya.

Anda dapat menggunakan alias DNS untuk tersambung ke server Azure SQL yang menampung gudang data Anda. PowerShell dan REST API menerima panggilan untuk membuat dan mengelola alias DNS untuk nama server SQL logis Anda. Anda dapat menggunakan alias DNS sebagai pengganti nama server. Program klien dapat menggunakan alias dalam string koneksi mereka. Alias DNS menyediakan lapisan terjemahan yang dapat mengalihkan program klien Anda ke server yang berbeda. Dengan lapisan ini, Anda tidak perlu bersusah payah mencari dan mengedit semua klien dan string koneksi mereka.

Ketika Anda mulai mengembangkan program klien, buat mereka menggunakan alias DNS dalam string koneksi mereka. Anda membuat properti alias merujuk ke server versi pengujian Anda. Kemudian ketika sistem baru diaktifkan dalam produksi, perbarui properti alias agar mengarah ke server produksi. Tidak diperlukan perubahan pada program klien.

Tanggung Jawab: Dibagikan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Synapse Analytics menggunakan Azure Active Directory (Azure AD) sebagai layanan pengelolaan akses dan identitas default. Lakukan standardisasi pada Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

  • Sumber daya Microsoft Cloud, seperti:

    • Portal Azure
    • Azure Storage
    • Azure Virtual Machine (Linux dan Windows)
    • Azure Key Vault
    • PaaS
    • Aplikasi SaaS
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Prioritaskan pengamanan Azure AD dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas. Skor ini membantu Anda menilai kondisi keamanan identitas Anda dibandingkan dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa cocok konfigurasi Anda dengan rekomendasi praktik terbaik. Kemudian gunakan skor untuk meningkatkan kondisi keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal. Pengguna tanpa akun Microsoft dapat masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal.

Untuk kumpulan SQL khusus (sebelumnya SQL DW), autentikasi Azure AD menggunakan pengguna database mandiri untuk mengautentikasi identitas di tingkat database. Dengan Azure AD, Anda dapat tersambung dari SQL Server Management Studio menggunakan Active Directory Universal Authentication, yang mencakup autentikasi multifaktor. Azure AD mendukung koneksi serupa dari SQL Server Data Tools (SSDT) yang menggunakan Active Directory Interactive Authentication.

Tiga peran bawaan Azure RBAC tersedia untuk pengelolaan kumpulan SQL khusus (sebelumnya SQL DW):

  1. SQL DB Contributor memungkinkan Anda mengelola gudang data SQL, tetapi tidak mengaksesnya. Selain itu, Anda tidak dapat mengelola kebijakan terkait keamanan atau server SQL induk mereka.

  2. SQL Security Manager memungkinkan Anda mengelola kebijakan terkait keamanan dari server dan gudang data SQL, tetapi tidak dapat mengaksesnya.

  3. SQL Server Contributor memungkinkan Anda mengelola server dan gudang data SQL, tetapi tidak mengaksesnya. Anda tidak dapat mengelola kebijakan terkait keamanan mereka.

Azure SQL juga mendukung autentikasi SQL. Dengan metode autentikasi ini, pengguna mengirimkan nama akun pengguna dan kata sandi terkait untuk membuat koneksi. Kata sandi ini disimpan di salah satu dari dua tempat:

  • Database master untuk akun pengguna yang ditautkan ke kredensial masuk.
  • Database yang berisi akun pengguna tidak ditautkan ke kredensial masuk.

Kredensial masuk adalah akun tunggal dalam database master, yang memungkinkan penautan dengan akun pengguna dalam satu atau beberapa database. Dengan kredensial masuk, informasi masuk untuk akun pengguna disimpan dengan kredensial masuk.

Akun pengguna adalah akun individual dalam database apa pun yang mungkin ditautkan atau tidak ditautkan ke kredensial masuk. Dengan akun pengguna yang tidak ditautkan ke kredensial masuk, informasi masuk disimpan di akun pengguna.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure Synapse Analytics mendukung identitas terkelola untuk sumber daya Azure-nya. Gunakan identitas terkelola dengan Azure Synapse Analytics alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain. Azure Synapse Analytics dapat mengautentikasi secara native ke layanan atau sumber daya Azure yang mendukung autentikasi Azure AD. Autentikasi ini melalui aturan pemberian akses yang telah ditentukan, tanpa menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Tanggung Jawab: Dibagikan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Synapse Analytics menggunakan Azure Active Directory untuk menyediakan identitas dan manajemen akses ke:

  • Sumber daya Azure
  • Aplikasi Cloud
  • Aplikasi lokal

Manajemen ini mencakup identitas perusahaan, seperti karyawan, dan identitas eksternal, seperti:

  • Mitra
  • Vendors
  • Pemasok

Dengan pengaturan ini, akses menyeluruh (SSO) dapat mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda. Manajemen dapat terjadi secara lokal dan di cloud. Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Anda akan mengalami akses yang mulus, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Dibagikan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Synapse Analytics memungkinkan pelanggan untuk menyebarkan atau menjalankan entitas berikut yang mungkin memiliki identitas atau rahasia:

  • Kode
  • Konfigurasi
  • Data yang dipertahankan

Menerapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam entitas tersebut. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, gunakan fitur pemindaian rahasia asli. Fitur ini mengidentifikasi info masuk atau bentuk rahasia lainnya dalam kode.

Tanggung Jawab: Dibagikan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran bawaan yang paling penting untuk Azure AD adalah Administrator Global dan Administrator Peran Istimewa:

  • Administrator Global atau Administrator Perusahaan: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Azure AD. Peran ini juga memungkinkan akses ke layanan yang menggunakan identitas Azure AD.

  • Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure AD, serta dalam Azure AD Privileged Identity Management (PIM). Peran ini juga memungkinkan pengelolaan semua aspek PIM dan unit administrasi.

Catatan: Jika Anda menggunakan peran kustom dengan izin istimewa tertentu yang ditetapkan, Anda mungkin perlu mengatur peran penting lainnya. Selain itu, terapkan kontrol serupa ke akun administrator aset bisnis penting.

Batasi jumlah akun atau peran yang sangat istimewa. Lindungi akun ini pada tingkat yang lebih tinggi. Secara langsung atau tidak langsung, pengguna dengan hak istimewa ini dapat membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda.

Aktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Microsoft Azure AD menggunakan Microsoft Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat membuat peringatan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman dalam organisasi Azure AD Anda.

Buat prosedur operasi standar seputar penggunaan akun administratif khusus.

Ketika Anda pertama kali menggunakan Azure SQL, Anda menentukan kredensial masuk admin dan kata sandi terkait untuk kredensial masuk tersebut. Akun administratif ini disebut admin Server. Untuk mengidentifikasi akun administrator untuk database, buka portal Microsoft Azure. Kemudian navigasikan ke tab properti server atau instans terkelola Anda. Anda juga dapat mengonfigurasi akun admin Azure AD dengan izin administratif penuh. Tindakan ini diperlukan jika Anda ingin mengaktifkan autentikasi Azure Active Directory.

Anda dapat membuat lebih banyak kredensial masuk dan pengguna dengan hak istimewa admin tercakup. Kredensial masuk dan pengguna ini ditambahkan ke peran admin Azure SQL bawaan untuk autentikasi SQL dan akun autentikasi Azure AD.

Tanggung Jawab: Dibagikan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Untuk memastikan bahwa akun Azure AD dan aksesnya valid, Azure Synapse Analytics menggunakan akun tersebut secara teratur untuk:

  • Mengelola sumber dayanya
  • Meninjau akun pengguna
  • Penetapan akses

Gunakan Azure AD dan tinjauan akses untuk meninjau:

  • Keanggotaan grup
  • Akses ke aplikasi perusahaan
  • Penetapan peran

Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Gunakan PIM Azure AD untuk membuat alur kerja laporan tinjauan akses. Alur kerja ini membuat proses peninjauan lebih mudah.

Anda juga dapat mengonfigurasi Microsoft Azure AD PIM untuk memberi tahu Anda saat jumlah akun administrator yang dibuat berlebihan. Atau konfigurasikan Azure AD PIM untuk mengidentifikasi akun administrator yang usang atau dikonfigurasi dengan tidak benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Kelola pengguna ini secara terpisah.

Saat menggunakan autentikasi SQL, buatlah pengguna database yang termuat dalam database. Tempatkan satu atau beberapa pengguna database ke dalam peran database kustom. Terapkan izin khusus yang sesuai dengan kelompok pengguna tersebut.

Anda dapat mengelola Kumpulan SQL khusus (sebelumnya SQL DW) menggunakan peran Azure RBAC bawaan. Peran yang tersedia adalah:

  1. Kontributor DB SQL. Peran ini memungkinkan Anda mengelola database SQL, tetapi tidak mengaksesnya. Selain itu, Anda tidak dapat mengelola kebijakan terkait keamanan atau server SQL induk mereka.

  2. Kontributor SQL Server. Memungkinkan Anda mengelola server dan database SQL, tetapi tidak dapat mengaksesnya, dan bukan kebijakan terkait keamanannya.

  3. Manajer Keamanan SQL. Memungkinkan Anda mengelola kebijakan terkait keamanan dari server dan database SQL, tetapi tidak dapat mengaksesnya.

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Dibagikan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting bagi keamanan peran sensitif, seperti:

  • Administrator
  • Pengembang
  • Operator layanan penting

Gunakan stasiun kerja pengguna yang sangat aman atau Azure Bastion untuk tugas administratif. Untuk menerapkan stasiun kerja pengguna yang aman dan dikelola untuk tugas administratif, gunakan:

  • Azure Active Directory
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Anda dapat mengelola workstation yang aman secara terpusat untuk menerapkan konfigurasi aman, yang meliputi:

  • Autentikasi kuat
  • Garis besar perangkat lunak dan perangkat keras
  • Akses jaringan dan logis yang dibatasi

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Dibagikan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Synapse Analytics terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan Azure RBAC, Anda dapat mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini untuk:

  • Pengguna
  • Grup
  • Perwakilan layanan
  • Identitas Terkelola

Ada peran bawaan yang telah ditentukan untuk sumber daya tertentu. Peran-peran ini dapat diinventarisasi atau dikuerikan melalui alat, seperti:

  • Azure CLI
  • Azure PowerShell
  • portal Microsoft Azure

Selalu batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran izin. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau praktik ini secara berkala.

Gunakan peran bawaan untuk memberikan izin. Hanya buat peran khusus bila perlu.

Ketika Anda pertama kali menggunakan Azure SQL, Anda menentukan kredensial masuk admin dan kata sandi terkait untuk kredensial masuk tersebut. Akun administratif ini disebut admin Server. Untuk mengidentifikasi akun administrator untuk database, buka portal Microsoft Azure. Kemudian navigasikan ke tab properti server atau instans terkelola Anda. Anda juga dapat mengonfigurasi akun admin Azure AD dengan izin administratif penuh. Tindakan ini diperlukan jika Anda ingin mengaktifkan autentikasi Azure Active Directory.

Saat menggunakan autentikasi SQL, buatlah pengguna database yang termuat dalam database. Tempatkan satu atau beberapa pengguna database ke dalam peran database internal atau kustom. Tambahkan izin khusus untuk peran tersebut yang sesuai dengan pengguna atau kelompok pengguna tersebut.

Tanggung Jawab: Dibagikan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Apakah Anda memiliki skenario dukungan di mana Microsoft perlu mengakses data yang terkait dengan Azure SQL Database di kumpulan SQL khusus Anda? Dengan Azure Customer Lockbox, ada antarmuka bagi Anda untuk meninjau, menyetujui, atau menolak permintaan akses data.

Apakah Anda memiliki skenario dukungan di mana Microsoft perlu mengakses data pelanggan? Azure Synapse Analytics mendukung Customer Lockbox untuk menyediakan antarmuka bagi Anda untuk meninjau, menyetujui, atau menolak permintaan akses data pelanggan.

Tanggung Jawab: Dibagikan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Panduan: Temukan, klasifikasikan, dan beri label data sensitif Anda. Kemudian rancang kontrol yang sesuai untuk memastikan sistem teknologi organisasi Anda menyimpan, memproses, dan mengirimkan informasi sensitif dengan aman.

Gunakan Perlindungan Informasi Azure (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office:

  • Azure
  • Lokal
  • Microsoft 365
  • Lokasi lainnya

Dengan bantuan Azure SQL Information Protection, klasifikasikan dan beri label informasi yang disimpan di Azure SQL Database.

Penemuan dan klasifikasi data dibangun di Azure SQL dan mendukung kemampuan berikut:

  • Penemuan dan rekomendasi. Mesin klasifikasi memindai database Anda dan mengidentifikasi kolom yang berisi data yang berpotensi sensitif. Ini kemudian memberi Anda cara mudah untuk meninjau dan menerapkan klasifikasi yang direkomendasikan melalui portal Microsoft Azure.

  • Pelabelan. Bagaimana Anda menerapkan label klasifikasi sensitivitas secara persisten ke kolom? Gunakan atribut metadata baru yang telah ditambahkan ke mesin database SQL Server. Metadata ini kemudian dapat digunakan untuk skenario audit dan perlindungan berbasis sensitivitas.

  • Sensitivitas kumpulan hasil kueri. Sensitivitas tataan hasil kueri dihitung secara real time untuk tujuan audit.

  • Visibilitas. Lihat status klasifikasi database di dasbor terperinci di portal Microsoft Azure. Selain itu, Anda bisa mengunduh laporan dalam format Excel untuk digunakan untuk tujuan kepatuhan dan audit serta kebutuhan lainnya.

Untuk informasi selengkapnya, baca artikel berikut:

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Data sensitif di database SQL Anda harus diklasifikasikan Microsoft Defender untuk Cloud memantau hasil pemindaian penemuan dan klasifikasi data untuk database SQL Anda dan memberikan rekomendasi untuk mengklasifikasikan data sensitif dalam database Anda untuk pemantauan dan keamanan yang lebih baik AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau

DP-2: Melindungi data sensitif

Panduan: Gunakan Azure RBAC untuk mengelola akses ke database Azure SQL di kumpulan SQL Synapse Anda. Dengan peran bawaan SQL Security Manager Azure RBAC, Anda dapat mengelola kebijakan terkait keamanan dari server dan database SQL, tetapi tidak mengaksesnya.

Otorisasi dikontrol oleh keanggotaan peran database akun pengguna Anda dan izin tingkat objek. Sebagai praktik terbaik, beri pengguna hak istimewa paling sedikit yang diperlukan.

Gunakan fitur penemuan dan klasifikasi data Azure Synapse SQL Database. Anda juga dapat menyiapkan kebijakan masking data dinamis (DDM) di portal Microsoft Azure. Rekomendasi DDM menandai bidang tertentu dari database Anda. Bidang-bidang ini adalah bidang yang berpotensi sensitif yang mungkin merupakan kandidat yang baik untuk menutupi.

Dengan mengenkripsi data tidak aktif, enkripsi data transparan (TDE) membantu melindungi Azure Synapse SQL dari ancaman aktivitas offline berbahaya. Tanpa memerlukan perubahan pada aplikasi, TDE tidak aktif melakukan enkripsi real-time dan dekripsi:

  • Database
  • Pencadangan terkait
  • File log transaksi

Di Azure, pengaturan default untuk TDE adalah melindungi kunci enkripsi data (DEK) dengan sertifikat server bawaan. Anda dapat menggunakan TDE yang dikelola pelanggan. TDE yang dikelola pelanggan juga disebut sebagai dukungan Bring Your Own Key (BYOK) untuk TDE. Dalam skenario ini, pelindung TDE yang mengenkripsi DEK adalah kunci asimetris yang dikelola pelanggan. Kunci asimetris ini disimpan di Azure Key Vault milik pelanggan dan dikelola. (Azure Key Vault adalah sistem manajemen kunci eksternal berbasis cloud Azure.) Kunci asimetris tidak pernah meninggalkan brankas kunci.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Enkripsi Data Transparan pada database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Proses ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat mengindikasikan eksfiltrasi data yang tidak sah.

Dengan Microsoft Defender untuk Storage dan Microsoft Defender untuk SQL, waspada pada transfer informasi anomali. Anomali ini mungkin menunjukkan transfer informasi sensitif yang tidak sah.

Perlindungan Informasi Azure (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.

Jika perlu untuk mencapai pencegahan kehilangan data (DLP), cegah eksfiltrasi data dengan menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif atau pencegahan.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, lindungi data dalam transit terhadap serangan 'out of band' (seperti pengambilan lalu lintas) menggunakan enkripsi. Pastikan penyerang tidak dapat dengan mudah membaca atau mengubah data.

Azure Synapse Analytics mendukung enkripsi data dalam transit dengan TLS v1.2 atau yang lebih tinggi.

Meskipun enkripsi data dalam transit bersifat opsional untuk lalu lintas di jaringan privat, hal ini penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan bahwa setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih tinggi. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Nonaktifkan versi usang dari entitas ini:

  • SSL
  • TLS
  • Versi dan protokol SSH
  • Sandi lemah

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Azure Synapse Analytics mengenkripsi data tidak aktif untuk melindungi dari serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Praktik ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda dapat menerapkan enkripsi ekstra saat tidak aktif di semua sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default. Tetapi Azure juga memungkinkan Anda mengelola kunci sendiri (kunci yang dikelola pelanggan) untuk layanan Azure tertentu guna memenuhi persyaratan peraturan.

Dengan mengenkripsi data tidak aktif, TDE membantu melindungi Azure Synapse SQL terhadap ancaman aktivitas offline berbahaya. Tanpa memerlukan perubahan pada aplikasi, TDE tidak aktif melakukan enkripsi dan dekripsi real time pada:

  • Database
  • Pencadangan terkait
  • File log transaksi

Di Azure, pengaturan default untuk TDE adalah kunci enkripsi dilindungi oleh sertifikat server bawaan. Anda dapat menggunakan TDE yang dikelola pelanggan, atau dukungan BYOK untuk TDE. Pelindung TDE yang mengenkripsi DEK adalah kunci asimetris yang dikelola pelanggan dalam skenario ini. Kunci asimetris ini disimpan di Azure Key Vault yang dimiliki dan dikelola pelanggan, serta tidak pernah dipindahkan dari brankas kunci.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 1.0.2
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 2.0.1
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda. Izin ini memungkinkan tim tersebut memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Pemantauan risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Keputusan itu bergantung pada struktur tanggung jawab tim keamanan. Namun, wawasan dan risiko keamanan harus selalu diagregasi secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Grup Manajemen Akar) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin lainnya mungkin diperlukan untuk mendapatkan visibilitas dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Azure Synapse Analytics. Tim keamanan sering kali membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul. Inventaris juga diperlukan sebagai masukan untuk perbaikan keamanan berkelanjutan. Buat grup Azure AD untuk berisi tim keamanan resmi organisasi Anda. Kemudian tetapkan akses baca untuk mereka ke semua sumber daya Azure Synapse Analytics. Tindakan ini dapat dilakukan dengan satu penerapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan "Produksi" nilai ke semua sumber daya dalam produksi.

Gunakan Azure Virtual Machine Inventory untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak di Mesin Virtual. Di portal Microsoft Azure, item informasi ini tersedia:

  • Nama Perangkat Lunak
  • Versi
  • Publisher
  • Waktu Refresh

Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu. Kemudian masukkan Log Peristiwa Windows ke Ruang Kerja Analitik Log.

Azure Synapse Analytics tidak mengizinkan aplikasi dijalankan atau perangkat lunak diinstal pada sumber dayanya.

Tanggung Jawab: Dibagikan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Dibagikan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Tidak berlaku; Azure Synapse Analytics tidak menyebarkan sumber daya komputasi yang menghadap pelanggan. Pelanggan tidak diizinkan untuk menginstal aplikasi pada layanan.

Tanggung Jawab: Dibagikan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Untuk sumber daya Azure Synapse Analytics Anda, gunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud dan aktifkan Microsoft Defender. Microsoft Defender untuk Azure Synapse Analytics menyediakan lapisan kecerdasan keamanan tambahan. Lapisan ini mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Azure Synapse Analytics Anda.

Anda dapat menentukan kebijakan audit untuk database tertentu. Atau tentukan sebagai kebijakan server default di Azure (yang menghosting Azure Synapse). Kebijakan server berlaku untuk semua database yang sudah ada dan yang baru dibuat di server.

Audit server yang diaktifkan selalu berlaku untuk database. Database akan diaudit, terlepas dari pengaturan audit database.

Saat mengaktifkan audit, Anda dapat menulis audit ke log di dalam:

  • Akun Azure Storage Anda
  • Ruang kerja Analitik Log
  • Event Hubs

Teruskan setiap log dari Azure Synapse Analytics ke SIEM Anda, yang dapat Anda gunakan untuk menyiapkan deteksi ancaman kustom. Pastikan Anda memantau berbagai jenis aset Azure jika ada potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna yang tercantum di bawah. Untuk kasus penggunaan pemantauan dan analitik yang lebih mendetail, Anda dapat melihat log dalam pelaporan Azure AD. Atau Anda dapat mengintegrasikan log dengan Azure Monitor, Microsoft Sentinel, SIEM, atau alat pemantauan lainnya.

  • Proses masuk - Laporan proses masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit. Log audit memberikan keterlacakan untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dibuat pada setiap sumber daya dalam Azure AD seperti menambahkan atau menghapus:

    • Pengguna
    • Aplikasi
    • Grup
    • Peran
    • Kebijakan
  • Proses masuk riskan. Proses masuk riskan menunjukkan upaya masuk yang mungkin dilakukan oleh seseorang yang bukan pemilik sah akun pengguna.

  • Pengguna ditandai karena berisiko. Pengguna berisiko menunjukkan akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memicu peringatan tentang aktivitas mencurigakan tertentu. Aktivitas ini mencakup terlalu banyak upaya autentikasi yang gagal atau akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Setiap sumber daya komputasi Azure (mesin virtual, kontainer, atau layanan aplikasi)
  • Sumber daya data (SQL DB dan penyimpanan)
  • Lapisan layanan Azure

Kemampuan ini memungkinkan Anda memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Untuk analisis keamanan, aktifkan dan kumpulkan:

  • Log sumber daya NSG
  • Log alur NSG
  • Log Azure Firewall
  • Log Firewall Aplikasi Web (WAF)

Gunakan log untuk mendukung:

  • Investigasi insiden
  • Perburuan ancaman
  • Pembuatan peringatan keamanan

Anda dapat mengirim log alur ke ruang kerja Log Analytics Azure Monitor. Kemudian gunakan Analitik Lalu Lintas untuk memberikan wawasan.

Azure Synapse Analytics mencatat semua lalu lintas jaringan yang diprosesnya untuk akses pelanggan. Aktifkan kemampuan alur jaringan dalam sumber daya penawaran yang Anda sebarkan.

Gunakan Perlindungan Ancaman Tingkat Lanjut (ATP) untuk Azure Synapse SQL. ATP ini mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. ATP dapat memicu berbagai peringatan, seperti:

  • "Potensi injeksi SQL."
  • "Akses dari lokasi yang tidak biasa."

ATP adalah bagian dari penawaran Keamanan Data Tingkat Lanjut (ADS). Fitur ini dapat diakses dan dikelola melalui portal SQL ADS pusat.

Kumpulkan log kueri DNS untuk membantu menghubungkan data jaringan lainnya. Terapkan solusi pihak ketiga dari Marketplace Azure untuk solusi pengelogan DNS sesuai kebutuhan organisasi Anda.

Tanggung Jawab: Dibagikan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang secara otomatis tersedia, berisi semua operasi tulis (PUT, POST, dan DELETE) untuk sumber daya Azure Synapse Analytics Anda. Log aktivitas tidak berisi operasi baca (GET). Gunakan log aktivitas untuk menemukan kesalahan saat pemecahan masalah. Atau gunakan log untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Azure Synapse Analytics. Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini sangat berguna dalam menyelidiki insiden keamanan dan melakukan latihan forensik.

Azure Synapse Analytics juga menghasilkan log audit keamanan. Aktifkan log audit ini untuk melacak peristiwa database. Anda dapat menulis peristiwa ini ke log audit di dalam:

  • Akun penyimpanan Azure Anda
  • Ruang kerja Analitik Log
  • Event Hubs

Tentukan kebijakan audit untuk database tertentu. Atau tentukan sebagai kebijakan server default di Azure (yang menghosting kumpulan SQL khusus).

Perlindungan Ancaman Tingkat Lanjut untuk SQL Server berkemampuan Azure Synapse Analytics mendeteksi aktivitas anomali. Aktivitas ini dapat menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Perlindungan Ancaman Tingkat Lanjut adalah bagian dari penawaran Microsoft Defender untuk SQL. Penawaran itu adalah paket terpadu untuk kemampuan keamanan SQL tingkat lanjut. Perlindungan Ancaman Tingkat Lanjut dapat diakses dan dikelola melalui portal Microsoft Defender untuk SQL pusat.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, tetapkan:

  • Pemilik data
  • Panduan akses
  • Lokasi penyimpanan
  • Alat apa yang digunakan untuk memproses dan mengakses data
  • Persyaratan retensi data

Integrasikan log aktivitas Azure ke dalam pengelogan pusat Anda. Serap log melalui Azure Monitor guna mengagregasikan data keamanan yang dihasilkan oleh:

  • Perangkat titik akhir
  • Sumber daya jaringan
  • Sistem keamanan lainnya

Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik. Kemudian, gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Selain itu, aktifkan dan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih Microsoft Sentinel untuk data 'hot' yang sering digunakan. Organisasi tersebut memilih Azure Storage untuk data 'cold' yang lebih jarang digunakan.

Azure Synapse Analytics melacak peristiwa database. Azure Synapse Analytics menulis peristiwa ini ke log audit dalam salah satu entitas ini:

  • Akun penyimpanan Azure Anda
  • Ruang kerja Analitik Log
  • Event Hubs

Log audit ini membantu Anda mempertahankan kepatuhan terhadap peraturan dan memahami aktivitas database. Dengan log tersebut, Anda juga akan memperoleh wawasan tentang perbedaan dan anomali yang dapat menunjukkan masalah bisnis atau dugaan pelanggaran keamanan. Untuk aplikasi yang dapat berjalan di Azure Synapse Analytics, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Tanggung Jawab: Dibagikan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Apakah Anda memiliki akun penyimpanan atau ruang kerja Log Analytics yang digunakan untuk menyimpan log Azure Synapse Analytics? Kemudian atur periode retensi log sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini kadang-kadang diperlukan untuk kepatuhan dengan standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Tidak berlaku; Azure Synapse Analytics tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri.

Layanan Azure Synapse Analytics bergantung pada sumber sinkronisasi waktu Microsoft. Hal ini tidak dapat dikonfigurasi pelanggan.

Tanggung Jawab: Dibagikan

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Dengan definisi cetak biru di Azure Blueprints, otomatiskan penyebaran dan konfigurasi layanan serta lingkungan aplikasi, termasuk:

  • Templat Azure Resource Manager
  • Kontrol Azure RBAC
  • Kebijakan

Audit untuk Azure Synapse Analytics melacak peristiwa database. Azure Synapse Analytics menulis peristiwa ini ke log audit dalam salah satu entitas berikut:

  • Akun penyimpanan Azure Anda
  • Ruang kerja Analitik Log
  • Event Hubs

Tentukan kebijakan audit untuk database tertentu. Atau tentukan kebijakan tersebut sebagai kebijakan server default di Azure (yang menghosting kumpulan SQL khusus untuk Azure Synapse). Microsoft Defender menyediakan serangkaian kemampuan keamanan SQL tingkat lanjut, yang mencakup Penilaian Kerentanan SQL dan Perlindungan Ancaman Tingkat Lanjut.

Siapkan pemberitahuan untuk database di Azure Synapse Analytics menggunakan portal Microsoft Azure.

Tanggung Jawab: Dibagikan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Dengan Microsoft Defender untuk Cloud, pantau garis besar konfigurasi Anda. Dengan efek Azure Policy [Deny] dan [DeployIfNotExists], terapkan konfigurasi yang aman di seluruh sumber daya komputasi Azure termasuk mesin virtual, kontainer, dan lainnya.

Tentukan kebijakan audit SQL untuk database tertentu. Atau tentukan kebijakan tersebut sebagai kebijakan server default di Azure (yang menghosting kumpulan SQL khusus). Kebijakan audit default mencakup semua tindakan dan serangkaian kelompok tindakan. Tindakan dan kelompok tindakan tersebut akan mengaudit:

  • Semua kueri dan prosedur tersimpan yang dijalankan berdasarkan database.
  • Kredensial masuk yang berhasil dan gagal.

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Dibagikan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Dengan Microsoft Defender untuk Cloud dan Azure Policy, buat konfigurasi yang aman di semua sumber daya komputasi termasuk mesin virtual, kontainer, dan lainnya.

Tanggung Jawab: Pelanggan

PV-6: Lakukan penilaian kerentanan perangkat lunak

Panduan: Microsoft melakukan pengelolaan kerentanan pada sistem yang mendasarinya yang mendukung Azure Synapse Analytics.

Tanggung jawab: Microsoft

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.0.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 2.0.0

PV-8: Melakukan simulasi serangan rutin

Panduan: Jika perlu, lakukan uji penetrasi atau aktivitas red team pada sumber daya Azure Anda. Pastikan Anda memulihkan semua temuan keamanan yang penting.

Untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft, ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft. Menggunakan strategi Microsoft dan pelaksanaan Red Teaming serta penetrasi situs langsung, lakukan pengujian terhadap cloud yang dikelola Microsoft:

  • Infrastruktur
  • Layanan
  • Aplikasi

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Lindungi layanan cloud Anda atau sumber dayanya dengan perangkat lunak anti-malware modern yang dikelola secara terpusat. Gunakan solusi anti-malware titik akhir yang dikelola secara terpusat. Pastikan solusi tersebut dapat melakukan pemindaian secara real-time dan berkala.

Microsoft Defender untuk Cloud dapat secara otomatis:

  • Mengidentifikasi penggunaan beberapa solusi anti-malware populer untuk mesin virtual Anda.
  • Melaporkan status perlindungan titik akhir yang sedang berjalan.
  • Membuat rekomendasi.

Microsoft Antimalware untuk Azure Cloud Services adalah anti-malware default untuk mesin virtual Windows. Untuk mesin virtual Linux, gunakan solusi antimalware pihak ketiga. Gunakan deteksi Ancaman Microsoft Defender untuk Cloud bagi layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Snapshot gudang data membuat titik pemulihan. Anda dapat menggunakan titik pemulihan ini untuk memulihkan atau menyalin gudang data Anda ke status sebelumnya. Karena kumpulan SQL khusus adalah sistem terdistribusi, snapshot gudang data berisi banyak file yang terletak di penyimpanan Azure. Snapshot menangkap perubahan inkremental dari data yang disimpan di gudang data Anda. Snapshot kumpulan SQL khusus Anda secara otomatis diambil sepanjang hari. Snapshot ini membuat titik pemulihan yang tersedia selama tujuh hari. (Periode retensi ini tidak dapat diubah.) Kumpulan SQL mendukung tujuan titik pemulihan (RPO) delapan jam. Di wilayah utama, Anda dapat memulihkan gudang data Anda dari snapshot apa pun dalam tujuh hari terakhir. Anda juga dapat memicu snapshot secara manual jika perlu.

Dengan titik pemulihan yang ditentukan pengguna, picu snapshot secara manual. Tindakan ini akan membuat titik pemulihan gudang data Anda sebelum dan sesudah perubahan besar. Kemampuan ini memastikan bahwa titik pemulihan konsisten secara logis. Konsistensi ini akan memberikan lebih banyak perlindungan data jika ada gangguan beban kerja atau kesalahan pengguna, sehingga waktu pemulihan menjadi cepat.

Titik pemulihan yang ditentukan pengguna tersedia selama tujuh hari dan dihapus secara otomatis atas nama Anda. Anda tidak dapat mengubah periode retensi titik pemulihan yang ditentukan pengguna. 42 titik pemulihan yang ditentukan pengguna dijamin kapan saja. Titik pemulihan tersebut harus dihapus sebelum membuat titik pemulihan lain. Anda dapat memicu rekam jepret untuk membuat titik pemulihan yang ditentukan pengguna melalui PowerShell atau portal Microsoft Azure.

Cadangan geo dibuat sekali per hari ke pusat data yang dipasangkan. RPO untuk pemulihan geo adalah 24 jam. Anda dapat memulihkan cadangan geo ke server di wilayah lain tempat kumpulan SQL khusus didukung. Cadangan geo memungkinkan Anda memulihkan gudang data jika Anda tidak dapat mengakses titik pemulihan di wilayah utama. Jika Anda tidak memerlukan cadangan geo untuk kumpulan SQL khusus, Anda dapat menonaktifkannya. Tindakan ini mengurangi biaya penyimpanan untuk pemulihan bencana.

Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi DEK, pastikan kunci Anda dicadangkan.

Tanggung Jawab: Dibagikan

BR-2: Mengenkripsi data cadangan

Panduan: Dengan titik pemulihan di kumpulan SQL khusus, pulihkan atau salin gudang data Anda ke status sebelumnya di wilayah utama. Gunakan cadangan geo-redundan gudang data untuk memulihkan ke wilayah geografis yang berbeda. Rekam jepret merupakan fitur bawaan yang membuat titik pemulihan. Anda tidak perlu mengaktifkan kemampuan ini. Namun, kumpulan SQL khusus harus dalam kondisi aktif untuk pembuatan titik pemulihan.

Apa yang terjadi setelah Anda mengenkripsi kumpulan SQL khusus dengan TDE menggunakan kunci dari Key Vault? TDE juga mengenkripsi cadangan yang baru dibuat dengan pelindung TDE yang sama. Jika pelindung TDE diubah, cadangan lama dari Kumpulan SQL khusus tidak diperbarui untuk menggunakan pelindung TDE terbaru.

Bagaimana persiapan Anda untuk memulihkan cadangan yang dienkripsi dengan pelindung TDE dari Key Vault? Pastikan materi kunci tersedia untuk server target. Simpan semua versi lama pelindung TDE di Key Vault, sehingga cadangan Kumpulan SQL khusus dapat dipulihkan.

Tanggung Jawab: Dibagikan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Dengan titik pemulihan kumpulan SQL khusus, pulihkan atau salin gudang data Anda ke status sebelumnya di wilayah utama. Gunakan cadangan geo-redundan gudang data untuk memulihkan ke wilayah geografis yang berbeda.

Ketika Anda menghilangkan kumpulan SQL khusus, rekam jepret akhir dibuat dan disimpan selama tujuh hari. Anda dapat memulihkan kumpulan SQL khusus ke titik pemulihan akhir yang dibuat saat penghapusan. Jika kumpulan SQL khusus dihilangkan dalam kondisi dijeda, rekam jepret tidak diambil. Dalam skenario ini, buat titik pemulihan yang ditentukan pengguna sebelum menghilangkan kumpulan SQL khusus.

Secara rutin, pastikan Anda dapat memulihkan kunci yang dikelola pelanggan dan dicadangkan.

Tanggung Jawab: Dibagikan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan Anda dapat mencegah dan memulihkan dari kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault. Tindakan ini melindungi kunci terhadap penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Dibagikan

Langkah berikutnya