Garis besar keamanan Azure untuk Ruang Kerja Synapse Analytics

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi2.0 ke Ruang Kerja Synapse Analytics. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Ruang Kerja Synapse Analytics.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Synapse Analytics Workspace, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat bagaimana Ruang Kerja Synapse Analytics sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Ruang Kerja Synapse Analytics secara lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Ruang Kerja Azure Synapse, buat atau gunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan diamankan dengan baik, dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.

Gunakan Pengerasan Jaringan Adaptif Azure Security Center untuk merekomendasikan konfigurasi kelompok keamanan jaringan yang membatasi port dan IP sumber berdasarkan referensi ke aturan lalu lintas jaringan eksternal.

Azure Synapse Analytics menyediakan Ruang Kerja Jaringan Virtual Terkelola. Ini adalah SKU ruang kerja Synapse yang terkait dengan Virtual Network yang dikelola oleh Azure Synapse. Anda hanya bisa membuat titik akhir privat Terkelola di ruang kerja yang memiliki Virtual Network ruang kerja Terkelola yang terkait dengannya.

Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan kelompok keamanan jaringan. Untuk aplikasi tertentu yang didefinisikan dengan baik (seperti aplikasi 3 tingkat), ini dapat menjadi penolakan dengan keamanan tinggi secara default

Ruang Kerja Jaringan Virtual Terkelola memungkinkan aturan NSG masuk di Virtual Network Anda untuk mengizinkan lalu lintas manajemen Azure Synapse memasuki Virtual Network Anda. Selain itu, Anda tidak perlu membuat subnet untuk kluster Spark berdasarkan beban puncak.

Menggunakan Azure Sentinel untuk menemukan penggunaan protokol tidak aman warisan seperti SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Ikatan LDAP Tidak Bertanda, dan sandi lemah di Kerberos.

Synapse SQL di Azure Synapse Analytics memungkinkan koneksi menggunakan semua versi TLS. Anda tidak dapat mengatur versi TLS minimal untuk Synapse SQL di Azure Synapse Analytics. Kemampuan Synapse lainnya menggunakan TLS 1.2 secara default.

Pastikan firewall di jaringan dan komputer lokal Anda memungkinkan komunikasi keluar pada port TCP 80, 443, dan 1443 untuk Synapse Studio. Selain itu, Anda perlu mengizinkan komunikasi keluar pada port UDP 53 untuk Synapse Studio. Agar tersambung menggunakan alat seperti SSMS dan Power BI, Anda harus mengizinkan komunikasi keluar pada port TCP 1433.

Pengaturan firewall di Portal Azure Synapse dapat memblokir semua konektivitas jaringan publik.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, dan mereka menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, dan keterlambatan yang lebih rendah daripada koneksi internet biasa. Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Anda dapat membuat Titik akhir privat terkelola dari ruang kerja Azure Synapse Anda untuk mengakses layanan Azure (seperti Azure Storage atau Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure.

Gunakan Azure Private Link untuk mengaktifkan akses privat ke Ruang Kerja Azure Synapse dari jaringan virtual Anda tanpa melintasi internet.

Akses privat merupakan pertahanan tambahan secara mendalam untuk autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

Ada dua langkah untuk menyambungkan ke Synapse Studio menggunakan tautan privat. Pertama, Anda harus membuat sumber daya hub tautan pribadi. Kedua, Anda harus membuat titik akhir privat dari jaringan virtual Azure Anda ke hub tautan privat ini. Anda kemudian dapat menggunakan titik akhir privat untuk berkomunikasi dengan Studio Synapse secara aman. Anda harus mengintegrasikan titik akhir privat dengan solusi DNS Anda, baik solusi lokal atau DNS Azure Privat Anda.

Gunakan titik akhir layanan Azure Virtual Network untuk menyediakan akses aman ke Ruang Kerja Azure Synapse melalui rute yang dioptimalkan melalui jaringan backbone Azure tanpa melintasi internet.

Akses privat merupakan pertahanan tambahan secara mendalam untuk autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Melindungi sumber daya Ruang Kerja Azure Synapse Anda terhadap serangan dari jaringan eksternal, termasuk serangan penolakan layanan terdistribusi (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya. Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Azure Security Center untuk mendeteksi risiko kesalahan konfigurasi untuk sumber daya terkait jaringan Anda.

Ruang Kerja Azure Synapse tidak dimaksudkan untuk menjalankan aplikasi web, dan tidak mengharuskan Anda untuk mengonfigurasi pengaturan tambahan atau menyebarkan layanan jaringan tambahan untuk melindunginya dari serangan jaringan eksternal yang menargetkan aplikasi web.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Mengikuti praktik terbaik untuk keamanan DNS guna mengurangi serangan umum seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dll.

Saat Azure DNS digunakan sebagai layanan DNS otoritatif Anda, pastikan zona dan catatan DNS dilindungi dari modifikasi yang tidak disengaja atau berbahaya menggunakan Azure RBAC dan kunci sumber daya.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Ruang Kerja Azure Synapse menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan pengelolaan identitas dan akses default. Sebaiknya Anda melakukan standardisasi pada Microsoft Azure AD untuk mengelola manajemen identitas dan akses organisasi Anda pada:

  • Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas yang relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka menggunakan identitas eksternal.

Pengguna dengan peran Pemilik atau Kontributor Azure (Azure RBAC) pada grup sumber daya akan dapat mengelola kumpulan SQL khusus, kumpulan Spark, dan runtime Integrasi di Synapse. Selain itu, Synapse RBAC memperluas kemampuan Azure RBAC untuk mengontrol siapa yang dapat membaca atau menerbitkan artefak kode, mengeksekusi kode, mengakses layanan tertaut, dan memantau atau membatalkan eksekusi pekerjaan.

Autentikasi Microsoft Azure AD menggunakan pengguna database yang terkandung atau pengguna tingkat kumpulan untuk mengautentikasi identitas di tingkat database untuk Kumpulan SQL di Azure Synapse Analytics. Synapse juga mendukung autentikasi SQL untuk kumpulan SQL. Dengan metode autentikasi ini, pengguna mengirimkan nama akun pengguna dan kata sandi terkait untuk membuat koneksi. Kata sandi ini disimpan dalam database master untuk akun pengguna yang ditautkan ke login atau disimpan dalam database yang berisi akun pengguna yang tidak ditautkan ke login.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Ruang Kerja Azure Synapse mendukung identitas terkelola untuk sumber daya Azure yang dimiliki. Gunakan identitas terkelola dengan Ruang Kerja Azure Synapse alih-alih membuat perwakilan layanan untuk mengakses sumber daya lainnya. Ruang Kerja Azure Synapse dapat secara native mengautentikasi ke layanan/sumber daya Azure yang mendukung autentikasi Microsoft Azure AD melalui aturan pemberian akses yang sudah ditentukan tanpa menggunakan info masuk yang dikodekan secara permanen di kode atau file konfigurasi sumber.

Azure Synapse Analytics menggunakan identitas terkelola untuk mengintegrasikan alur.

Ruang Kerja Azure Synapse merekomendasikan penggunaan Microsoft Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan kembali ke rahasia klien. Dalam kedua kasus, Azure Key Vault dapat digunakan bersama dengan identitas terkelola Azure, sehingga lingkungan runtime (seperti fungsi Azure) dapat mengambil info masuk dari brankas kunci.

Azure Synapse Analytics mendukung kunci terkelola pelanggan (CMK) untuk enkripsi. Enkripsi ini menggunakan kunci yang dibuat di Azure Key Vault.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Ruang Kerja Azure Synapse menggunakan Azure Active Directory untuk menyediakan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, serta aplikasi lokal. Ini termasuk identitas perusahaan, seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok. Hal ini memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Synapse Analytics memungkinkan pelanggan untuk menyebarkan atau menjalankan entitas berikut yang mungkin memiliki identitas atau rahasia:

  • Kode
  • Konfigurasi
  • Data yang dipertahankan

Menerapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam entitas tersebut. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault. Untuk GitHub, gunakan fitur pemindaian rahasia asli. Fitur ini mengidentifikasi kredensial atau bentuk rahasia lainnya dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran bawaan yang paling penting bagi Microsoft Azure AD yaitu Administrator Global dan Administrator Peran Istimewa, karena pengguna yang ditetapkan ke dua peran ini dapat mendelegasikan peran administrator:

  • Administrator Global / Administrator Perusahaan: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Microsoft Azure Active Directory, serta layanan yang menggunakan identitas Microsoft Azure Active Directory.
  • Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure AD, serta dalam Azure AD Privileged Identity Management (PIM). Selain itu, peran ini memungkinkan pengelolaan semua aspek PIM dan unit administrasi.

Catatan: Anda mungkin memiliki peran penting lainnya yang perlu diatur jika Anda menggunakan peran khusus dengan izin istimewa tertentu yang ditetapkan. Anda mungkin juga ingin menerapkan kontrol serupa ke akun administrator aset bisnis penting.

Anda harus membatasi jumlah akun atau peran pengguna yang sangat istimewa, dan lindungi akun-akun ini pada tingkat yang lebih tinggi. Pengguna dengan hak istimewa ini dapat secara langsung atau tidak langsung membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

Ruang kerja Azure Synapse memiliki akun dengan hak istimewa tinggi berikut:

  • Pemilik Azure di grup sumber daya
  • Kontributor Azure di grup sumber daya
  • Kontributor Data Blob Penyimpanan di kontainer penyimpanan ADLS g2 yang terkait dengan Synapse
  • Admin Synapse
  • Admin Synapse SQL
  • Admin Synapse Spark

Buat prosedur operasi standar seputar penggunaan akun administratif khusus.

Saat pertama kali membuat ruang kerja Azure Synapse, Anda dapat menentukan login admin dan kata sandi untuk kumpulan SQL di dalam ruang kerja Synapse. Akun administratif ini disebut admin Server. Anda dapat mengidentifikasi akun admin Server untuk Synapse dengan membuka portal Microsoft Azure dan menavigasi ke tab ringkasan ruang kerja Synapse Anda. Anda juga dapat mengonfigurasi akun admin Microsoft Azure AD dengan izin administratif penuh. Hal ini diperlukan apabila Anda ingin mengaktifkan autentikasi Azure Active Directory.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Ruang Kerja Azure Synapse menggunakan akun Microsoft Azure Active Directory (Microsoft Azure AD) untuk mengelola sumber daya yang dimiliki, meninjau akun pengguna, dan mengakses penetapan secara rutin untuk memastikan akun dan akses mereka valid. Anda dapat menggunakan Microsoft Azure AD dan tinjauan akses untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat menggunakan Azure AD Privileged Identity Management (PIM) untuk membuat alur kerja laporan ulasan akses untuk memfasilitasi proses peninjauan.

Selain itu, Azure AD PIM juga dapat dikonfigurasi untuk memperingatkan Anda ketika jumlah akun administrator yang dibuat berlebihan dan untuk mengidentifikasi akun administrator yang usang atau tidak dikonfigurasi dengan benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Microsoft Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Ruang kerja Azure Synapse mengharuskan pengguna dalam peran Pemilik Azure atau Kontributor Azure di grup sumber daya untuk mengontrol manajemen kumpulan SQL khusus, kumpulan Spark, dan runtime Integrasi. Selain itu, pengguna dan identitas sistem ruang kerja harus diberikan akses Kontributor Data Blob Penyimpanan ke kontainer penyimpanan ADLS Gen2 yang terkait dengan ruang kerja Synapse. Saat menggunakan autentikasi SQL, buatlah pengguna database yang termuat dalam kumpulan SQL. Pastikan Anda menempatkan satu atau beberapa pengguna database ke dalam peran database kustom dengan izin tertentu yang sesuai dengan grup pengguna tersebut.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory (Microsoft Azure AD), Microsoft Defender Advanced Threat Protection (ATP), dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang diamankan dapat dikelola secara terpusat untuk menegakkan konfigurasi yang aman, termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, serta logika yang dibatasi dan akses jaringan.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Ruang kerja Azure Synapse diintegrasikan dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola sumber daya yang dimiliki. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini ke pengguna, perwakilan layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu dan peran ini dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Microsoft Azure Active Directory Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

Azure Synapse Analytics mewajibkan pengguna dalam peran Pemilik Azure atau Kontributor Azure di grup sumber daya untuk mengontrol manajemen kumpulan SQL khusus, kumpulan Spark, dan runtime Integrasi. Selain itu, pengguna dan identitas sistem ruang kerja harus diberikan akses Kontributor Data Blob Penyimpanan ke kontainer penyimpanan ADLS Gen2 yang terkait dengan ruang kerja Synapse.

Saat pertama kali membuat ruang kerja Azure Synapse, Anda dapat menentukan login admin dan kata sandi untuk kumpulan SQL di dalam ruang kerja Synapse. Akun administratif ini disebut admin Server. Anda dapat mengidentifikasi akun admin Server untuk Synapse dengan membuka portal Microsoft Azure dan menavigasi ke tab ringkasan ruang kerja Synapse Anda. Anda juga dapat mengonfigurasi akun admin Microsoft Azure AD dengan izin administratif penuh. Hal ini diperlukan apabila Anda ingin mengaktifkan autentikasi Azure Active Directory

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Dalam skenario dukungan di mana Microsoft perlu mengakses data pelanggan, Ruang Kerja Azure Synapse mendukung Customer Lockbox untuk menyediakan antarmuka bagi Anda untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan.

Dalam skenario dukungan di mana Microsoft perlu mengakses data yang terkait dengan Azure SQL Database di kumpulan SQL khusus Anda, Azure Customer Lockbox menyediakan antarmuka bagi Anda untuk meninjau dan menyetujui atau menolak permintaan akses data.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan dan memberi label pada data sensitif

Panduan: Penemuan dan klasifikasi data dibangun di Azure SQL dan mendukung kemampuan berikut: Penemuan dan rekomendasi- Mesin klasifikasi memindai database Anda dan mengidentifikasi kolom yang berisi data yang berpotensi sensitif. Ini kemudian memberi Anda cara mudah untuk meninjau dan menerapkan klasifikasi yang direkomendasikan melalui portal Microsoft Azure.

Pelabelan- Anda dapat menerapkan label klasifikasi sensitivitas secara terus-menerus ke kolom menggunakan atribut metadata baru yang telah ditambahkan ke mesin database SQL Server. Metadata ini kemudian dapat digunakan untuk skenario audit dan perlindungan berbasis sensitivitas.

Sensitivitas set hasil kueri- Sensitivitas set hasil kueri dihitung secara real time untuk tujuan audit.

Visibilitas- Anda dapat melihat status klasifikasi database di dasbor terperinci di portal Microsoft Azure. Selain itu, Anda bisa mengunduh laporan dalam format Excel untuk digunakan untuk tujuan kepatuhan dan audit serta kebutuhan lainnya.

Temukan, klasifikasi, dan beri label data sensitif Anda sehingga Anda dapat merancang kontrol yang sesuai untuk memastikan informasi sensitif disimpan, diproses, dan dikirimkan dengan aman oleh sistem teknologi organisasi.

Gunakan Perlindungan Informasi Azure (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office di Azure, lokal, Office 365, dan lokasi lainnya.

Anda dapat menggunakan Perlindungan Informasi Azure SQL untuk membantu dalam klasifikasi dan pelabelan informasi yang disimpan di Database Azure SQL.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Data sensitif di database SQL Anda harus diklasifikasikan Microsoft Defender untuk Cloud memantau hasil pemindaian penemuan dan klasifikasi data untuk database SQL Anda dan memberikan rekomendasi untuk mengklasifikasikan data sensitif dalam database Anda untuk pemantauan dan keamanan yang lebih baik AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan kontrol akses berbasis peran Azure (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure (seperti enkripsi).

Untuk memastikan kontrol akses yang konsisten, semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar (yang dikelola oleh Microsoft), Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Azure Synapse Analytics menawarkan enkripsi ganda dengan kunci yang dikelola pelanggan untuk data di kumpulan SQL, kumpulan Spark, dan runtime integrasi, alur, dan himpunan data Azure Data Factory.

Gunakan fitur Penemuan dan Klasifikasi Data Azure Synapse SQL. Selain itu, Anda dapat menyiapkan kebijakan masking data dinamis (DDM) di portal Microsoft Azure. Mesin rekomendasi DDM, menandai bidang tertentu dari database Anda sebagai bidang yang berpotensi sensitif, yang mungkin merupakan kandidat yang baik untuk masking.

Enkripsi data transparan (TDE) membantu melindungi data di kumpulan SQL khusus Synapse dari ancaman aktivitas offline berbahaya dengan mengenkripsi data tidak aktif. Enkripsi data transparan melakukan enkripsi dan dekripsi real time dari database, cadangan terkait, dan file log transaksi saat tidak aktif tanpa memerlukan perubahan pada aplikasi.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Enkripsi Data Transparan pada database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Ruang Kerja Azure Synapse mendukung transfer data pelanggan, tetapi tidak mendukung pemantauan untuk transfer data sensitif yang tidak sah secara native.

Azure Storage Advanced Threat Protection (ATP) dan Azure SQL ATP dapat memberitahukan transfer informasi yang tidak wajar yang mungkin mengindikasikan transfer informasi sensitif yang tidak sah.

Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data dalam perjalanan harus dilindungi dari serangan 'out of band' (seperti pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Ruang Kerja Azure Synapse mendukung enkripsi data dalam perjalanan dengan TLS v1.2 atau yang lebih tinggi.

Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Tanggung Jawab: Pelanggan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Ruang Kerja Azure Synapse mengenkripsi data tidak aktif untuk melindungi terhadap serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda memiliki opsi untuk menerapkan enkripsi tambahan saat tidak aktif ke semua sumber daya Microsoft Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default, tetapi Azure juga menyediakan opsi untuk mengelola kunci Anda sendiri (kunci yang dikelola pelanggan) untuk layanan Azure tertentu guna memenuhi persyaratan peraturan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 1.0.2
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 2.0.1
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Memastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Azure Security Center.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Memastikan bahwa tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Ruang Kerja Azure Synapse. Tim keamanan sering kali membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai input untuk terus meningkatkan keamanan. Buat grup Azure Active Directory (Microsoft Azure AD) untuk menampung tim keamanan resmi organisasi Anda dan tetapkan tim dengan akses baca ke semua sumber daya Ruang Kerja Azure Synapse, yang dapat disederhanakan dengan penetapan peran tingkat tinggi tunggal dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan "Produksi" nilai ke semua sumber daya dalam produksi.

Gunakan Azure Virtual Machine Inventory untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak di Mesin Virtual. Nama, Versi, Penerbit, dan Waktu Refresh perangkat lunak tersedia dari portal Microsoft Azure. Untuk mendapatkan akses ke tanggal instal dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Peristiwa Windows ke Ruang Kerja Log Analytics.

Ruang Kerja Azure Synapse tidak mengizinkan eksekusi aplikasi atau penginstalan perangkat lunak pada sumber daya yang dimiliki.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

Tanggung Jawab: Dibagikan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Menggunakan kemampuan deteksi ancaman bawaan Azure Security Center dan mengaktifkan Azure Defender (sebelumnya Azure Advanced Threat Protection) untuk sumber daya Ruang Kerja Azure Synapse Anda. Azure Defender untuk Ruang Kerja Azure Synapse menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Ruang Kerja Azure Synapse Anda.

Teruskan log apa pun dari Azure Synapse ke Azure Sentinel yang dapat digunakan untuk menyiapkan deteksi ancaman kustom. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Microsoft Azure Active Directory (Microsoft Azure AD) menyediakan log pengguna berikut yang dapat dilihat di pelaporan Microsoft Azure AD atau terintegrasi dengan Azure Monitor, Azure Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang lebih canggih:

  • Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Azure Security Center juga dapat memicu peringatan mengenai aktivitas mencurigakan tertentu, seperti jumlah berlebihan upaya autentikasi yang gagal atau akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Azure Security Center juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda untuk memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan untuk mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Ruang Kerja Azure Synapse mencatat semua lalu lintas jaringan yang diprosesnya untuk akses pelanggan. Aktifkan kemampuan alur jaringan dalam sumber daya penawaran yang anda sebarkan

Saat menyambungkan ke kumpulan SQL khusus, dan Anda telah mengaktifkan log alur kelompok keamanan jaringan (NSG), log dikirim ke Akun Azure Storage untuk audit lalu lintas.

Anda juga dapat mengirim log alur NSG ke ruang kerja Log Analytics dan menggunakan Traffic Analytics untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuannya untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Pastikan Anda mengumpulkan log kueri DNS untuk membantu berkorelasi dengan data jaringan lainnya. Terapkan solusi pihak ketiga dari Marketplace Azure untuk pengelogan DNS sesuai kebutuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang tersedia secara otomatis, berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Ruang Kerja Azure Synapse Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Mengaktifkan log sumber daya Azure untuk Azure Synapse Workspace. Anda dapat menggunakan Azure Security Center dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

Azure Monitor menyediakan metrik, peringatan, dan log infrastruktur tingkat dasar untuk sebagian besar layanan Azure. Log diagnostik Azure dipancarkan oleh sumber daya dan menyediakan data yang kaya dan sering tentang pengoperasian sumber daya tersebut. Azure Synapse Analytics dapat menulis log diagnostik di Azure Monitor. Secara khusus, log Operasi Synapse RABC.

Ruang Kerja Azure Synapse juga menghasilkan log audit keamanan untuk akun kelola lokal. Mengaktifkan log audit admin lokal ini

Audit untuk Azure SQL Azure Synapse Analytics melacak peristiwa database dan menulisnya ke log audit di akun penyimpanan Azure, ruang kerja Log Analytics, atau Azure Event Hubs Anda. Log audit ini dapat membantu menjaga kepatuhan terhadap peraturan, memahami aktivitas database, dan memperoleh wawasan tentang adanya perbedaan dan anomali yang dapat menunjukkan masalah bisnis atau dugaan ancaman keamanan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat apa yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pembuatan log pusat Anda. Lakukan penyerapan log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan integrasikan data ke Azure Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Azure Sentinel untuk data 'panas' yang sering digunakan dan Azure Storage untuk data 'dingin' yang lebih jarang digunakan.

Untuk aplikasi yang dapat berjalan di Ruang Kerja Azure Synapse, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Pengauditan untuk Azure Synapse Analytics melacak peristiwa database dan menulisnya ke log audit di akun penyimpanan Azure, ruang kerja Log Analytics, atau Azure Event Hubs. Log audit ini dapat membantu menjaga kepatuhan terhadap peraturan, memahami aktivitas database, dan memperoleh wawasan tentang adanya perbedaan dan anomali yang dapat menunjukkan masalah bisnis atau dugaan ancaman keamanan.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa akun penyimpanan atau ruang kerja Log Analytics yang digunakan untuk menyimpan log Ruang Kerja Azure Synapse telah menyetel periode retensi log sesuai dengan peraturan kepatuhan organisasi Anda.

Pengauditan untuk Azure Synapse Analytics melacak peristiwa database dan menulisnya ke log audit di akun penyimpanan Azure, ruang kerja Log Analytics, atau Azure Event Hubs. Log audit ini dapat membantu menjaga kepatuhan terhadap peraturan, memahami aktivitas database, dan memperoleh wawasan tentang adanya perbedaan dan anomali yang dapat menunjukkan masalah bisnis atau dugaan ancaman keamanan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sebagian besar layanan PaaS dan SaaS platform Azure. Untuk mesin virtual Anda, gunakan server protokol waktu jaringan (NTP) default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan tertentu. Jika perlu mendirikan server NTP Anda sendiri, pastikan Anda mengamankan port layanan UDP 123.

Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi lingkungan layanan dan aplikasi termasuk templat Azure Resources Manager, kontrol Azure RBAC, dan kebijakan, dalam definisi cetak biru tunggal.

SQL Server harus menggunakan titik akhir layanan jaringan virtual.

Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi, termasuk templat Azure Resource Manager, kontrol RBAC Azure, dan kebijakan, dalam satu definisi cetak biru.

Terdapat sejumlah kebijakan keamanan khusus penawaran yang dikaitkan dengan Synapse Analytics selain kontrol berbasis Azure Security Center. Misalnya, Anda dapat mengamankan Azure SQL Server ke jaringan virtual melalui Private Link; memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan menggunakan log alur NSG dan Analitik Lalu Lintas; menolak komunikasi dengan alamat IP berbahaya yang diketahui menggunakan Advanced Threat Protection (ATP).

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Menggunakan Azure Security Center untuk memantau garis besar konfigurasi Anda dan memberlakukan penggunaan [deny] dan [deploy if not exist] Azure Policy untuk memberlakukan konfigurasi aman di seluruh sumber daya komputasi Azure, termasuk VM, kontainer, dan lainnya.

Tentukan kebijakan audit SQL untuk database tertentu. Atau tentukan kebijakan tersebut sebagai kebijakan server default di Azure (yang menghosting kumpulan SQL khusus). Kebijakan audit default mencakup semua tindakan dan serangkaian kelompok tindakan. Tindakan dan kelompok tindakan tersebut akan mengaudit:

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Azure Security Center dan Azure Policy untuk membuat konfigurasi aman pada semua sumber daya komputasi termasuk VM, kontainer, dan lainnya.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Microsoft melakukan manajemen kerentanan pada sistem mendasar yang mendukung Ruang Kerja Azure Synapse.

Tanggung Jawab: Microsoft

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Sql:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.0.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 2.0.0

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga. Atau gunakan Penerbit Pembaruan Pusat Sistem untuk Configuration Manager. Azure Synapse Analytics tidak menggunakan atau memerlukan perangkat lunak pihak ketiga.

Tanggung Jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Melindungi Ruang Kerja Azure Synapse atau sumber daya yang dimiliki dengan perangkat lunak anti-malware modern yang dikelola secara terpusat.

  • Gunakan solusi anti-malware titik akhir yang dikelola secara terpusat yang mampu memindai secara real time dan berkala.

  • Azure Security Center dapat secara otomatis mengidentifikasi penggunaan sejumlah solusi anti-malware populer untuk mesin virtual (VM) Anda, melaporkan status eksekusi perlindungan titik akhir, kemudian membuat rekomendasi.

  • Microsoft Antimalware untuk Azure Cloud Services adalah anti-malware default untuk VM Windows. Untuk VM Linux, gunakan solusi anti-malware pihak ketiga. Anda dapat menggunakan Deteksi ancaman Azure Security Center untuk layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

  • Cara mengonfigurasi Microsoft Antimalware untuk Cloud Services dan Virtual Machines

  • Solusi perlindungan titik akhir yang didukung

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Tidak berlaku; Ruang Kerja Azure Synapse tidak terdiri dari mesin virtual atau kontainer apa pun yang memerlukan perlindungan Deteksi dan Respons Titik Akhir (EDR).

Tanggung Jawab: Microsoft

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Rekam jepret dari kumpulan SQL khusus Anda secara otomatis diambil sepanjang hari, menciptakan titik pemulihan yang tersedia selama tujuh hari. Periode retensi ini tidak dapat diubah. Kumpulan SQL khusus mendukung tujuan titik pemulihan (RPO) delapan jam. Anda dapat memulihkan kumpulan SQL Anda di wilayah utama dari salah satu rekam jepret yang diambil dalam tujuh hari terakhir. Perhatikan bahwa Anda juga dapat memicu rekam jepret secara manual jika perlu. Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi Kunci Enkripsi Database Anda, pastikan kunci Anda sedang dicadangkan.

Tanggung Jawab: Bersama

BR-2: Mengenkripsi data cadangan

Panduan: Snapshot dari kumpulan SQL khusus Anda secara otomatis diambil sepanjang hari, menciptakan titik pemulihan yang tersedia selama tujuh hari. Periode retensi ini tidak dapat diubah. Kumpulan SQL khusus mendukung tujuan titik pemulihan (RPO) delapan jam. Anda dapat memulihkan kumpulan SQL Anda di wilayah utama dari salah satu rekam jepret yang diambil dalam tujuh hari terakhir. Perhatikan bahwa Anda juga dapat memicu rekam jepret secara manual jika perlu. Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi Kunci Enkripsi Database Anda, pastikan kunci Anda sedang dicadangkan.

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Rekam jepret dari kumpulan SQL khusus Anda secara otomatis diambil sepanjang hari menciptakan titik pemulihan yang tersedia selama tujuh hari. Periode retensi ini tidak dapat diubah. Kumpulan SQL khusus mendukung tujuan titik pemulihan (RPO) delapan jam. Anda dapat memulihkan gudang data Anda di wilayah utama dari salah satu rekam jepret yang diambil dalam tujuh hari terakhir. Perhatikan bahwa Anda juga dapat memicu rekam jepret secara manual jika perlu.

Secara berkala, pastikan Anda dapat memulihkan kunci yang dikelola pelanggan yang dicadangkan.

Synapse mendukung kunci yang dikelola pelanggan (CMK) untuk enkripsi. Enkripsi ini menggunakan kunci yang dibuat di Azure Key Vault.

Tanggung Jawab: Dibagikan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan Anda memiliki langkah-langkah untuk mencegah dan memulihkan kunci yang hilang. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Dibagikan

Langkah berikutnya