Azure-beveiligingsbasislijn voor Azure SQL Database

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure SQL Database. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure SQL Database.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure SQL Database en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure SQL Database volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige bestand Azure SQL databasebeveiligingsbasislijntoewijzingsbestand.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Azure SQL biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. Hierdoor kunt u bepaalde netwerkfuncties niet gebruiken met de resources van het aanbod, zoals netwerkbeveiligingsgroepen, routetabellen of andere netwerkafhankelijke apparaten, zoals een Azure Firewall.

Gebruik Microsoft Sentinel om het gebruik van verouderde onveilige protocollen zoals SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds en zwakke coderingen in Kerberos te detecteren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Azure ExpressRoute of vpn (Virtual Private Network) van Azure gebruiken om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en zijn daardoor betrouwbaarder en sneller, en bieden een lagere latentie dan gewone internetverbindingen. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Gebruik Azure Private Link om privétoegang tot Azure SQL vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden.

Privétoegang is een aanvullende verdedigingsmaatregel voor de verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Gebruik Azure Virtual Network-service-eindpunten om beveiligde toegang te bieden tot Azure SQL via een geoptimaliseerde route via het Azure-backbonenetwerk zonder het internet te overschrijden.

Privétoegang is een aanvullende verdedigingsmaatregel voor de verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen te definiëren of Azure Firewall geconfigureerd voor uw Azure SQL resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd. Wanneer u service-eindpunten gebruikt voor Azure SQL Database, is uitgaand naar Azure SQL Openbare IP-adressen van de database vereist: netwerkbeveiligingsgroepen (NSG's) moeten worden geopend voor Azure SQL database-IP-adressen om connectiviteit mogelijk te maken. U kunt dit doen met behulp van NSG-servicetags voor Azure SQL Database. Servicetags met service-eindpunten voor Azure SQL Database:/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview#limitations

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals dangling DNS, DNS-amplifications-aanvallen, DNS-vergiftiging en adresvervalsing, enzovoort.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beveiligd tegen onbedoelde of schadelijke wijzigingen met behulp van Azure RBAC en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure SQL maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen bij het beoordelen van de identiteitsbeveiligingspostuur ten opzichte van de aanbevelingen voor aanbevolen procedures van Microsoft. Gebruik de score om te meten hoe nauw uw configuratie overeenkomt met aanbevolen aanbevelingen en om verbeteringen aan te brengen in uw beveiligingspostuur.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

De volgende leden van Azure AD kunnen worden ingericht voor Azure SQL Database: Systeemeigen leden, leden van een Active Directory-domein dat is gefedereerd met Azure Active Directory in een beheerd domein dat is geconfigureerd voor naadloze aanmelding met passthrough- of wachtwoord-hashverificatie, geïmporteerde leden uit andere Azure AD 's die systeemeigen of federatieve domeinleden zijn en Active Directory-groepen die zijn gemaakt als beveiligingsgroepen.

Azure Active Directory (Azure AD) ondersteunt het maken van gebruikers in Azure SQL Database (SQL DB) namens Azure AD toepassingen (service-principals).

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure SQL ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Azure SQL in plaats van service-principals te maken voor toegang tot andere resources. Azure SQL kan systeemeigen worden geverifieerd bij de Azure-services/-resources die ondersteuning bieden voor Azure AD verificatie via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in broncode of configuratiebestanden.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure SQL azure Active Directory gebruikt om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat bedrijfsidentiteiten, zoals werknemers, evenals externe identiteiten zoals partners, leveranciers en leveranciers. Hierdoor kan eenmalige aanmelding (SSO) toegang tot de gegevens en resources van uw organisatie on-premises en in de cloud beheren en beveiligen. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Azure SQL kunnen klanten {code of configuraties of persistente gegevens} mogelijk implementeren/uitvoeren met identiteiten/geheimen. Het is raadzaam referentiescanner te implementeren om referenties te identificeren binnen {code of configuraties of persistente gegevens}. Referentiescanner moedigt ook het verplaatsen van gedetecteerde referenties aan naar veiligere locaties, zoals Azure Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere vormen van geheimen in de code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren:

  • Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.
  • Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsassets.

U moet het aantal accounts of rollen met hoge bevoegdheden beperken en deze accounts beveiligen op verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure SQL azure Active Directory-accounts (Azure AD) gebruikt om de resources te beheren, gebruikersaccounts te controleren en regelmatig toegang te krijgen tot toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management (PIM) gebruiken om werkstromen voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure AD PIM ook worden geconfigureerd om u te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure SQL is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de resources te beheren. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

SQL-verificatieaccounts voldoen aan deze vereiste.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot klantgegevens, biedt Azure SQL ondersteuning voor Customer Lockbox om u een interface te bieden om aanvragen voor klantgegevenstoegang te beoordelen en goed te keuren of af te wijzen.

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe de verantwoordelijkheden van het beveiligingsteam zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een continu bijgewerkte inventaris van assets in Azure, zoals Azure SQL. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen. Maak een Azure Active Directory-groep (Azure AD) die het geautoriseerde beveiligingsteam van uw organisatie bevat en wijs ze leestoegang toe aan alle Azure SQL resources, die kunnen worden vereenvoudigd door één roltoewijzing op hoog niveau binnen uw abonnement.

Pas tags toe op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op Virtual Machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken in een Log Analytics-werkruimte.

Azure SQL staat het uitvoeren van een toepassing of de installatie van software op de bijbehorende resources niet toe. Beschrijf eventuele andere functies in uw aanbieding die deze functionaliteit toestaat of ondersteunt, indien van toepassing.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor bedreigingsdetectie van Microsoft Defender for Cloud en schakel Microsoft Defender (voorheen Azure Advanced Threat Protection) in voor uw Azure SQL-resources. Microsoft Defender voor Azure SQL biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen detecteert om uw Azure SQL-resources te openen of misbruiken.

Stuur logboeken van Azure SQL door naar uw SIEM, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt voor mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken, die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht krijgen in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Azure SQL biedt geen ondersteuning voor integratie met netwerken of maakt de netwerkgerelateerde activiteiten niet beschikbaar.

Azure SQL is niet bedoeld voor implementatie in virtuele netwerken. Hierdoor kunt u logboekregistratie van netwerkbeveiligingsgroepen niet inschakelen, verkeer routeren via een firewall of pakketopnamen uitvoeren.

Azure SQL implementeert geen resources rechtstreeks in een virtueel netwerk. Azure SQL kunt u echter privé-eindpunten gebruiken om veilig verbinding te maken met de resources vanuit een virtueel netwerk. Azure SQL produceert of verwerkt geen DNS-querylogboeken die moeten worden ingeschakeld. Azure SQL geen DNS-querylogboeken produceert of verwerkt.

Schakel logboekregistratie in op uw geconfigureerde Azure SQL privé-eindpunten om vast te leggen:

  • Gegevens die worden verwerkt door het privé-eindpunt (IN/OUT)

  • Gegevens verwerkt door de Private Link-service (IN/UIT)

  • Beschikbaarheid NAT-poort

Hoewel Azure SQL resources in een virtueel netwerk kunnen worden geïmplementeerd, kan het verkeer van en naar de Azure SQL resources niet worden afgedwongen door of doorgegeven via een netwerkbeveiligingsgroep. Netwerkbeleid moet worden uitgeschakeld in het subnet om de aanbieding correct te laten functioneren. Daarom kunt u de logboekregistratie van netwerkbeveiligingsgroepen voor Azure SQL niet configureren.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure SQL resources, behalve leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Azure SQL. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Azure SQL Database produceert ook beveiligingscontrolelogboeken voor de lokale beheeraccounts. Schakel deze lokale auditlogboeken voor beheerders in en configureer deze logboeken om te worden verzonden naar een centrale Log Analytics-werkruimte of een opslagaccount voor langetermijnretentie en controle.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Voor toepassingen die kunnen worden uitgevoerd op Azure SQL, stuurt u alle beveiligingslogboeken door naar uw SIEM voor gecentraliseerd beheer.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Azure SQL logboeken de bewaarperiode voor logboeken hebben ingesteld volgens de nalevingsregels van uw organisatie.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met 90 dagen retentie of hoger Voor incidentonderzoek wordt u aangeraden de gegevensretentie in te stellen voor de controle van uw SQL Server naar de opslagaccountbestemming ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure SQL biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. Azure SQL service is afhankelijk van Microsoft-tijdsynchronisatiebronnen en wordt niet beschikbaar gesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels in één blauwdrukdefinitie.

Met IP-firewallregels op databaseniveau kunnen clients toegang krijgen tot bepaalde (beveiligde) databases. U maakt de regels voor elke database (inclusief de hoofddatabase) en deze worden opgeslagen in de afzonderlijke database.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender for Cloud gebruiken om uw configuratiebasislijn te bewaken en af te dwingen met behulp van Azure Policy [weigeren] en [implementeren indien niet aanwezig] om beveiligde configuratie af te dwingen voor Azure-rekenresources, waaronder VM's, containers en andere.

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Gebruik Microsoft Defender voor Cloud en Azure Policy om veilige configuraties op alle rekenresources tot stand te brengen, waaronder VM's, containers en andere.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost.

Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Klant

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Bescherm uw Azure SQL Database of de bijbehorende resources met een centraal beheerde moderne antimalwaresoftware.

  • Gebruik een centraal beheerde antimalwareoplossing voor eindpunten die in realtime en periodiek kan worden gescand.

  • Microsoft Defender voor Cloud kan automatisch het gebruik van verschillende populaire antimalwareoplossingen voor uw virtuele machines (VM's) identificeren, de status van de actieve eindpuntbeveiliging rapporteren en vervolgens aanbevelingen doen.

  • Microsoft Antimalware voor Azure Cloud Services is de standaard antimalware voor Windows-VM's. Gebruik voor Linux-VM's een antimalwareoplossing van derden. U kunt de bedreigingsdetectie van Microsoft Defender for Cloud voor gegevensservices gebruiken om malware te detecteren die is geüpload naar Azure Storage-accounts.

  • Microsoft Antimalware configureren voor Cloud Services en Virtual Machines

  • Ondersteunde oplossingen voor eindpuntbeveiliging

Verantwoordelijkheid: Klant

ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Zorg ervoor dat antimalwarehandtekeningen snel en consistent worden bijgewerkt.

Volg de aanbevelingen in Microsoft Defender voor Cloud: Compute-apps & om ervoor te zorgen dat alle eindpunten up-to-date zijn met de nieuwste handtekeningen.

Microsoft Antimalware worden standaard automatisch de meest recente handtekeningen en engine-updates geïnstalleerd. Gebruik voor Linux antimalwareoplossing van derden.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: Azure SQL Database maakt elke week gebruik van SQL Server technologie om volledige back-ups te maken, elke 12-24 uur differentiële back-up en elke 5 tot 10 minuten een back-up van transactielogboeken te maken.

Standaard slaat SQL Database gegevens op in geografisch redundante opslagblobs die worden gerepliceerd naar een gekoppelde regio. Voor SQL Database kan de redundantie van de back-upopslag worden geconfigureerd op het moment dat de database wordt gemaakt of kan worden bijgewerkt voor een bestaande database. De wijzigingen in een bestaande database zijn alleen van toepassing op toekomstige back-ups.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: zorg ervoor dat uw back-ups worden beschermd tegen aanvallen. Dit omvat versleuteling van de back-ups om te beschermen tegen verlies van vertrouwelijkheid.

Voor on-premises back-ups met behulp van Azure Backup wordt versleuteling-at-rest verstrekt met behulp van de wachtwoordzin die u opgeeft. Voor regelmatige back-ups van Azure-services worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels. U kunt er ook voor kiezen om de back-up te versleutelen met behulp van een door de klant beheerde sleutel. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in de sleutelkluis zich ook in het back-upbereik bevindt.

Gebruik op rollen gebaseerd toegangsbeheer in Azure Backup, Azure Key Vault of andere resources om back-ups en door de klant beheerde sleutels te beveiligen. Daarnaast kunt u geavanceerde beveiligingsfuncties inschakelen om MFA te vereisen voordat back-ups kunnen worden gewijzigd of verwijderd.

Als uw database is versleuteld met TDE, worden back-ups automatisch at-rest versleuteld, inclusief de LTR-back-ups. Elke nieuwe database in Azure SQL is standaard geconfigureerd met TDE ingeschakeld.

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Voer periodiek gegevensherstel van uw back-up uit.

Zowel SQL Database als SQL Managed Instance gebruiken SQL Server technologie om elke week volledige back-ups te maken, differentiële back-ups elke 12-24 uur en back-ups van transactielogboeken om de 5 tot 10 minuten.

Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om het verlies van sleutels te voorkomen en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Voorlopig inschakelen

Verantwoordelijkheid: Klant

Volgende stappen