Azure-beveiligingsbasislijn voor Azure Database for PostgreSQL - enkele server

Deze beveiligingsbasislijn past richtlijnen van Azure Security Benchmark versie 1.0 toe op Azure Database for PostgreSQL - Enkele server. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingsbesturingselementen die zijn gedefinieerd door de Azure Security Benchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Database for PostgreSQL - Enkele server.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Database for PostgreSQL - Enkele server of waarvoor de verantwoordelijkheid microsoft is, zijn uitgesloten. Als u wilt zien hoe Azure Database for PostgreSQL - Single Server volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige bestand Azure Database for PostgreSQL - Single Server Security Baseline Mapping File.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Private Link configureren voor Azure Database for PostgreSQL met privé-eindpunten. Met een Private Link kunt u via een privé-eindpunt verbinding maken met verschillende PaaS-services in Azure. Met Azure Private Link worden Azure-services binnen uw persoonlijke virtuele network (VNet) geplaatst. Verkeer tussen uw virtuele netwerk en PostgreSQL-exemplaar reist naar het Backbone-netwerk van Microsoft.

U kunt ook Virtual Network service-eindpunten gebruiken om netwerktoegang tot uw Azure Database for PostgreSQL implementaties te beveiligen en te beperken. Regels voor virtuele netwerken vormen een firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Database for PostgreSQL-server communicatie accepteert die vanuit bepaalde subnetten in virtuele netwerken wordt verzonden.

U kunt uw Azure Database for PostgreSQL server ook beveiligen met firewallregels. De serverfirewall voorkomt alle toegang tot uw databaseserver totdat u opgeeft welke computers zijn gemachtigd. U configureert de firewall door firewallregels te maken die bereiken opgeven van acceptabele IP-adressen. U kunt firewallregels maken op serverniveau.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DBforPostgreSQL:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen toegang mogelijk te maken tot verkeer dat afkomstig is van bekende netwerken en om toegang te voorkomen vanaf alle andere IP-adressen, ook binnen Azure. AuditIfNotExists, uitgeschakeld 1.0.2

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Wanneer uw Azure Database for PostgreSQL-exemplaar is beveiligd met een privé-eindpunt, kunt u virtuele machines in hetzelfde virtuele netwerk implementeren. U kunt een netwerkbeveiligingsgroep (NSG) gebruiken om het risico op gegevensexfiltratie te verminderen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: Advanced Threat Protection gebruiken voor Azure Database for PostgreSQL. Advanced Threat Protection detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases.

Schakel DDoS Protection Standard in op de virtuele netwerken die zijn gekoppeld aan uw Azure Database for PostgreSQL-exemplaren om DDoS-aanvallen te beschermen. Gebruik Geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke of ongebruikte IP-adressen van internet te weigeren.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: Wanneer uw Azure Database for PostgreSQL-exemplaar is beveiligd met een privé-eindpunt, kunt u virtuele machines in hetzelfde virtuele netwerk implementeren. Vervolgens kunt u een netwerkbeveiligingsgroep (NSG) configureren om het risico op gegevensexfiltratie te verminderen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Advanced Threat Protection gebruiken voor Azure Database for PostgreSQL. Advanced Threat Protection detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases.

Verantwoordelijkheid: Klant

1.8: Complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Voor resources die toegang nodig hebben tot uw Azure Database for PostgreSQL-exemplaren, gebruikt u servicetags voor virtuele netwerken om netwerktoegangsbeheer in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven (bijvoorbeeld SQL. WestUs) in het juiste bron- of doelveld van een regel kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Opmerking: Azure Database for PostgreSQL de servicetag Microsoft.Sql gebruikt.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor netwerkinstellingen en netwerkbronnen die zijn gekoppeld aan uw Azure Database for PostgreSQL-exemplaren met Azure Policy. Gebruik Azure Policy aliassen in de naamruimten Microsoft.DBforPostgreSQL en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Azure Database for PostgreSQL-exemplaren te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot netwerken of uw Azure Database for PostgreSQL exemplaren, zoals:

  • De DDoS Protection-standaard moet zijn ingeschakeld

  • TLS-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers

Zie de onderstaande referentiekoppelingen voor meer informatie.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor documentverkeer

Richtlijnen: Tags gebruiken voor resources met betrekking tot netwerkbeveiliging en verkeersstroom voor uw Azure Database for PostgreSQL-exemplaren om metagegevens en logische organisatie te bieden.

Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, zoals 'Tag en waarde vereisen', om ervoor te zorgen dat alle resources worden gemaakt met tags en u op de hoogte te stellen van bestaande niet-gemarkeerde resources.

U kunt Azure PowerShell of Azure CLI gebruiken om acties op te zoeken of uit te voeren op resources op basis van hun tags.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen voor netwerkresources met betrekking tot uw Azure Database for PostgreSQL-exemplaren te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Schakel diagnostische instellingen en serverlogboeken in en opnamelogboeken om beveiligingsgegevens te aggregeren die worden gegenereerd door uw Azure Database for PostgreSQL exemplaren. Gebruik in Azure Monitor Log Analytics-werkruimte(s) om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag. U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Schakel diagnostische instellingen in op uw Azure Database for PostgreSQL instanties voor toegang tot audit-, beveiligings- en resourcelogboeken. Zorg ervoor dat u het PostgreSQL-auditlogboek specifiek inschakelt. Activiteitenlogboeken, die automatisch beschikbaar zijn, omvatten gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen. U kunt ook diagnostische instellingen voor Azure-activiteitenlogboeken inschakelen en de logboeken verzenden naar dezelfde Log Analytics-werkruimte of hetzelfde opslagaccount.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Stel in Azure Monitor voor de Log Analytics-werkruimte die wordt gebruikt om uw Azure Database for PostgreSQL logboeken te bewaren, de bewaarperiode in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: analyseer en bewaak logboeken van uw Azure Database for PostgreSQL exemplaren voor afwijkend gedrag. Gebruik Log Analytics van Azure Monitor om logboeken te controleren en query's uit te voeren op logboekgegevens. U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Advanced Threat Protection inschakelen voor Azure Database for PostgreSQL. Advanced Threat Protection detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases.

Daarnaast kunt u serverlogboeken en diagnostische instellingen voor PostgreSQL inschakelen en logboeken verzenden naar een Log Analytics-werkruimte. Onboarding van uw Log Analytics-werkruimte naar Microsoft Sentinel omdat deze een SOAR-oplossing (Automated Response) voor beveiligingsindeling biedt. Hierdoor kunnen playbooks (geautomatiseerde oplossingen) worden gemaakt en gebruikt om beveiligingsproblemen op te lossen.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Onderhoud een inventarisatie van de gebruikersaccounts die beheerderstoegang hebben tot het besturingsvlak (bijvoorbeeld Azure Portal) van uw Azure Database for PostgreSQL instanties. Onderhoud bovendien een inventarisatie van de beheerdersaccounts die toegang hebben tot het gegevensvlak (binnen de database zelf) van uw Azure Database for PostgreSQL-exemplaren. (Bij het maken van de PostgreSQL-server geeft u referenties op voor een beheerdergebruiker. Deze beheerder kan worden gebruikt om extra PostgreSQL-gebruikers te maken.)

Azure Database for PostgreSQL biedt geen ondersteuning voor ingebouwd op rollen gebaseerd toegangsbeheer, maar u kunt aangepaste rollen maken op basis van specifieke bewerkingen van de resourceprovider.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Azure Active Directory (Azure AD) en Azure Database for PostgreSQL geen standaardwachtwoorden hebben.

Bij het maken van de Azure Database for PostgreSQL-resource zelf dwingt Azure het maken van een gebruiker met beheerdersrechten met een sterk wachtwoord af. Zodra het PostgreSQL-exemplaar is gemaakt, kunt u echter het eerste serverbeheerdersaccount gebruiken dat u hebt gemaakt om extra gebruikers te maken en beheerderstoegang te verlenen. Zorg er bij het maken van deze accounts voor dat u voor elk account een ander, sterk wachtwoord configureert.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts die toegang hebben tot uw Azure Database for PostgreSQL instanties. Gebruik Microsoft Defender voor Cloud Identity en toegangsbeheer om het aantal beheerdersaccounts te controleren.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: aanmelden bij Azure Database for PostgreSQL wordt ondersteund met behulp van gebruikersnaam/wachtwoord die rechtstreeks in de database is geconfigureerd, evenals het gebruik van een Azure Active Directory-identiteit (Azure AD) en het gebruik van een Azure AD-token om verbinding te maken. Wanneer u een Azure AD-token gebruikt, worden verschillende methoden ondersteund, zoals een Azure AD gebruiker, een Azure AD-groep of een Azure AD-toepassing die verbinding maakt met de database.

Afzonderlijk is de toegang tot het besturingsvlak voor PostgreSQL beschikbaar via REST API en biedt ondersteuning voor eenmalige aanmelding. Als u wilt verifiëren, stelt u de autorisatieheader voor uw aanvragen in op een JSON-webtoken dat u ophaalt uit Azure AD.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen. Wanneer u Azure AD tokens gebruikt om u aan te melden bij uw database, kunt u hiervoor meervoudige verificatie vereisen voor database-aanmeldingen.

Verantwoordelijkheid: Klant

3.6: Veilige, door Azure beheerde werkstations gebruiken voor beheertaken

Richtlijnen: Privileged Access Workstations (PAW's) gebruiken met meervoudige verificatie die is geconfigureerd om u aan te melden en Azure-resources te configureren.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Advanced Threat Protection inschakelen voor Azure Database for PostgreSQL om waarschuwingen te genereren voor verdachte activiteiten.

Daarnaast kunt u Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken voor het genereren van logboeken en waarschuwingen wanneer er verdachte of onveilige activiteiten plaatsvinden in de omgeving.

Gebruik Azure AD Risicodetecties om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om portal en Azure Resource Manager toegang toe te staan vanuit alleen specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

Voor het aanmelden bij Azure Database for PostgreSQL is het raadzaam om Azure AD te gebruiken en een Azure AD token te gebruiken om verbinding te maken. Wanneer u een Azure AD-token gebruikt, worden verschillende methoden ondersteund, zoals een Azure AD gebruiker, een Azure AD groep of een Azure AD-toepassing die verbinding maakt met de database.

Azure AD referenties kunnen ook worden gebruikt voor beheer op beheerniveau (bijvoorbeeld de Azure Portal) om PostgreSQL-beheerdersaccounts te beheren.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Bekijk de Azure Active Directory-logboeken (Azure AD) om verouderde accounts te detecteren die kunnen worden opgenomen in Azure Database for PostgreSQL beheerdersrollen. Daarnaast gebruikt u Azure Identity Access Reviews om groepslidmaatschappen efficiënt te beheren, toegang tot bedrijfstoepassingen die kunnen worden gebruikt voor toegang tot Azure Database for PostgreSQL en roltoewijzingen. Gebruikerstoegang moet regelmatig worden gecontroleerd, zoals elke 90 dagen, om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Pogingen controleren om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Diagnostische instellingen inschakelen voor Azure Database for PostgreSQL en Azure Active Directory (Azure AD), waardoor alle logboeken naar een Log Analytics-werkruimte worden verzonden. Configureer gewenste waarschuwingen (zoals mislukte verificatiepogingen) in Log Analytics.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmelding bij accountaanmelding

Richtlijnen: Advanced Threat Protection inschakelen voor Azure Database for PostgreSQL om waarschuwingen te genereren voor verdachte activiteiten.

Gebruik de identiteitsbeveiligings- en risicodetectiefuncties van Azure Active Directory (Azure AD) om geautomatiseerde reacties op gedetecteerde verdachte acties te configureren. U kunt geautomatiseerde antwoorden via Microsoft Sentinel inschakelen om de beveiligingsantwoorden van uw organisatie te implementeren.

U kunt ook logboeken opnemen in Microsoft Sentinel voor verder onderzoek.

Verantwoordelijkheid: Klant

3.13: Microsoft toegang bieden tot relevante klantgegevens tijdens ondersteuningsscenario's

Richtlijnen: momenteel niet beschikbaar; Customer Lockbox wordt nog niet ondersteund voor Azure Database for PostgreSQL.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventaris van gevoelige informatie onderhouden

Richtlijnen: tags gebruiken om te helpen bij het bijhouden van Azure Database for PostgreSQL instanties of gerelateerde resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Gebruik een combinatie van Private Link, service-eindpunten en/of firewallregels om netwerktoegang tot uw Azure Database for PostgreSQL exemplaren te isoleren en te beperken.

Verantwoordelijkheid: Klant

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Wanneer u virtuele Azure-machines gebruikt voor toegang tot Azure Database for PostgreSQL exemplaren, maakt u gebruik van Private Link, PostgreSQL-netwerkconfiguraties, netwerkbeveiligingsgroepen en servicetags om de mogelijkheid van gegevensexfiltratie te beperken.

Microsoft beheert de onderliggende infrastructuur voor Azure Database for PostgreSQL en heeft strikte controles geïmplementeerd om verlies of blootstelling van klantgegevens te voorkomen.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Azure Database for PostgreSQL ondersteunt het verbinden van uw PostgreSQL-server met clienttoepassingen met behulp van Transport Layer Security (TLS), voorheen SSL (Secure Sockets Layer). Het afdwingen van TLS-verbindingen tussen uw databaseserver en uw clienttoepassingen helpt bescherming te bieden tegen 'man in the middle'-aanvallen door de gegevensstroom tussen de server en uw toepassing te versleutelen. Zorg ervoor dat SSL-verbinding in de Azure Portal standaard is ingeschakeld voor al uw Azure Database for PostgreSQL exemplaren.

Momenteel worden de TLS-versies die worden ondersteund voor Azure Database for PostgreSQL TLS 1.0, TLS 1.1, TLS 1.2 zijn.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DBforPostgreSQL:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Database for PostgreSQL. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot het Azure Database for PostgreSQL besturingsvlak te beheren (bijvoorbeeld Azure Portal). Voor toegang tot gegevensvlakken (binnen de database zelf) gebruikt u SQL-query's om gebruikers te maken en gebruikersmachtigingen te configureren. Azure RBAC heeft geen invloed op gebruikersmachtigingen in de database.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer er wijzigingen plaatsvinden in productie-exemplaren van Azure Database for PostgreSQL en andere kritieke of gerelateerde resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: volg aanbevelingen van Microsoft Defender for Cloud voor het beveiligen van uw Azure Database for PostgreSQL en gerelateerde resources.

Microsoft voert beveiligingsproblemen uit op de onderliggende systemen die ondersteuning bieden voor Azure Database for PostgreSQL.

Verantwoordelijkheid: Gedeeld

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (inclusief Azure Database for PostgreSQL instanties) binnen uw abonnementen. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en dat u alle Azure-abonnementen en resources in uw abonnementen kunt inventariseren.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure Database for PostgreSQL exemplaren en andere gerelateerde resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Azure Database for PostgreSQL exemplaren en gerelateerde resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources en Azure als geheel.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Gebruik bovendien de Azure Resource Graph om resources in de abonnementen op te vragen/te detecteren.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Zie de onderstaande referentiekoppelingen voor meer informatie.

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik de voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers te beperken om te communiceren met Azure Resource Manager door 'Toegang blokkeren' te configureren voor de app Microsoft Azure Management. Dit kan voorkomen dat resources worden gemaakt en gewijzigd in een omgeving met hoge beveiliging, zoals exemplaren van Azure Database for PostgreSQL die gevoelige informatie bevatten.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor uw Azure Database for PostgreSQL exemplaren met Azure Policy. Gebruik Azure Policy aliassen in de naamruimte Microsoft.DBforPostgreSQL om aangepast beleid te maken om de netwerkconfiguratie van uw Azure Database for PostgreSQL-exemplaren te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot uw Azure Database for PostgreSQL exemplaren, zoals:

  • TLS-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers
  • Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers

Zie de onderstaande referentiekoppelingen voor meer informatie.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure Policy definities gebruikt voor uw Azure Database for PostgreSQL exemplaren en gerelateerde resources, gebruikt u Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.DBforPostgreSQL om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Ontwikkel bovendien een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.DBforPostgreSQL om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Gebruik Azure Policy [audit], [weigeren] en [implementeren als deze niet bestaan] om automatisch configuraties af te dwingen voor uw Azure Database for PostgreSQL exemplaren en gerelateerde resources.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Voor Azure Virtual Machines- of webtoepassingen die worden uitgevoerd op Azure App Service die worden gebruikt om toegang te krijgen tot uw Azure Database for PostgreSQL exemplaren, gebruikt u Managed Service Identity in combinatie met Azure Key Vault om uw Azure Database for PostgreSQL te vereenvoudigen en te beveiligen Azure Database for PostgreSQL geheimbeheer. Zorg ervoor dat Key Vault Voorlopig verwijderen is ingeschakeld.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Azure Database for PostgreSQL server ondersteunt Verificatie van Azure Active Directory (Azure AD) voor toegang tot databases. Tijdens het maken van de Azure Database for PostgreSQL-server geeft u referenties op voor een beheerdergebruiker. Deze beheerder kan worden gebruikt om extra databasegebruikers te maken.

Voor Azure Virtual Machines of webtoepassingen die worden uitgevoerd op Azure App Service worden gebruikt voor toegang tot uw Azure Database for PostgreSQL-server, gebruikt u Managed Service Identity in combinatie met Azure Key Vault voor het opslaan en ophalen van referenties voor Azure Database for PostgreSQL server. Zorg ervoor dat Key Vault Voorlopig verwijderen is ingeschakeld.

Beheerde identiteiten gebruiken om Azure-services een automatisch beheerde identiteit te bieden in Azure AD. Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code.

Verantwoordelijkheid: Klant

7.13: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources in Azure

Richtlijnen: Microsoft antimalware is ingeschakeld op de onderliggende host die Ondersteuning biedt voor Azure-services (bijvoorbeeld Azure Database for PostgreSQL), maar deze wordt niet uitgevoerd op klantinhoud.

Scan vooraf alle inhoud die wordt geüpload naar niet-rekenresources van Azure, zoals App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, enzovoort. Microsoft heeft geen toegang tot uw gegevens in deze exemplaren.

Verantwoordelijkheid: Gedeeld

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Azure Database for PostgreSQL maakt back-ups van de gegevensbestanden en het transactielogboek. Afhankelijk van de ondersteunde maximale opslaggrootte maken we volledige en differentiële back-ups (maximaal 4 TB maximale opslagservers) of momentopnameback-ups (maximaal 16 TB maximale opslagservers). Met deze back-ups kunt u een server herstellen naar een bepaald tijdstip binnen de geconfigureerde bewaarperiode voor back-ups. De standaardretentieperiode voor back-ups is zeven dagen. U kunt deze desgewenst maximaal 35 dagen configureren. Alle back-ups worden versleuteld met AES 256-bits versleuteling.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DBforPostgreSQL:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Azure Database for PostgreSQL automatisch serverback-ups maakt en opslaat in lokaal redundante of geografisch redundante opslag, afhankelijk van de keuze van de gebruiker. Back-ups kunnen worden gebruikt om de status van de server naar een bepaald tijdstip te herstellen. Back-ups maken en herstellen zijn essentiële onderdelen van een strategie voor bedrijfscontinuïteit omdat ze uw gegevens beschermen tegen onbedoelde beschadiging of verwijdering.

Als u Azure Key Vault gebruikt om referenties voor uw Azure Database for PostgreSQL exemplaren op te slaan, moet u ervoor zorgen dat regelmatig geautomatiseerde back-ups van uw sleutels worden gemaakt.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DBforPostgreSQL:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: In Azure Database for PostgreSQL maakt het uitvoeren van een herstel een nieuwe server op basis van de back-ups van de oorspronkelijke server. Er zijn twee soorten herstel beschikbaar: herstel naar een bepaald tijdstip en geo-herstel. Herstel naar een bepaald tijdstip is beschikbaar met de optie back-upredundantie en maakt een nieuwe server in dezelfde regio als de oorspronkelijke server. Geo-herstel is alleen beschikbaar als u uw server hebt geconfigureerd voor geografisch redundante opslag en u kunt uw server herstellen naar een andere regio.

De geschatte duur van het herstel is afhankelijk van diverse factoren, waaronder de grootte van de databases, de transactielogboekgrootte, de netwerkbandbreedte en het totale aantal databases dat op hetzelfde moment in dezelfde regio moet worden hersteld. De hersteltijd is doorgaans minder dan 12 uur.

Test periodiek het herstel van uw Azure Database for PostgreSQL exemplaren.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Azure Database for PostgreSQL volledige, differentiële en transactielogboekback-ups maakt. Met deze back-ups kunt u een server herstellen naar een bepaald tijdstip binnen de geconfigureerde bewaarperiode voor back-ups. De standaardretentieperiode voor back-ups is zeven dagen. U kunt deze desgewenst maximaal 35 dagen configureren. Alle back-ups worden versleuteld met AES 256-bits versleuteling.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de metrische gegevens die worden gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer daarnaast duidelijk abonnementen (voor bijvoorbeeld productie, niet-prod) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en te categoriseren.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen van Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en -aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Verantwoordelijkheid: Gedeeld

Volgende stappen