Azure-beveiligingsbasislijn voor Synapse Analytics-werkruimte

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie2.0 toe op Synapse Analytics Workspace. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Synapse Analytics Workspace.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Synapse Analytics-werkruimte, en besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe synapse Analytics-werkruimte volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor synapse Analytics-werkruimtebeveiliging.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: wanneer u Azure Synapse Werkruimte-resources implementeert, maakt of gebruikt u een bestaand virtueel netwerk. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan opleveren, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende zijn beveiligd met een netwerkbeveiligingsgroep (NSG) en/of Azure Firewall.

Gebruik Azure Security Center Adaptieve netwerkbeveiliging om configuraties van netwerkbeveiligingsgroepen aan te bevelen die poorten en bron-IP's beperken op basis van de verwijzing naar regels voor extern netwerkverkeer.

Azure Synapse Analytics biedt Beheerde Virtual Network-werkruimte. Het is een Synapse-werkruimte-SKU die is gekoppeld aan de Virtual Network die wordt beheerd door Azure Synapse. U kunt alleen beheerde privé-eindpunten maken in een werkruimte waaraan een beheerd virtueel netwerk is gekoppeld.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van de regels van uw netwerkbeveiligingsgroep. Voor specifieke, goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit standaard een zeer veilige weigering zijn

Met Managed Virtual Network Workspace kunnen binnenkomende NSG-regels op uw eigen virtuele netwerken worden toegestaan om Azure Synapse beheerverkeer toe te staan uw Virtual Network in te voeren. Daarnaast hoeft u geen subnet te maken voor uw Spark-clusters op basis van piekbelasting.

Gebruik Azure Sentinel om het gebruik van verouderde onveilige protocollen te detecteren, zoals SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Niet-ondertekende LDAP-bindingen en zwakke coderingen in Kerberos.

Synapse SQL in Azure Synapse Analytics staat verbindingen toe met behulp van alle TLS-versies. U kunt de minimale TLS-versie voor Synapse SQL niet instellen in Azure Synapse Analytics. Andere Synapse-mogelijkheden maken standaard gebruik van TLS 1.2.

Zorg ervoor dat de firewall in uw netwerk en op uw lokale computer uitgaande communicatie via TCP-poorten 80, 443 en 1443 toestaan voor Synapse Studio. U moet ook uitgaande communicatie toestaan op UDP-poort 53 voor Synapse Studio. Als u verbinding wilt maken met via hulpprogramma's zoals SSMS en Power BI, moet u uitgaande communicatie toestaan op TCP-poort 1433.

De firewallinstelling in Azure Synapse Portal kan alle openbare netwerkconnectiviteit blokkeren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en zijn daardoor betrouwbaarder en sneller, en bieden een lagere latentie dan gewone internetverbindingen. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: U kunt beheerde privé-eindpunten maken vanuit uw Azure Synapse werkruimte voor toegang tot Azure-services (zoals Azure Storage of Azure Cosmos DB) en door Azure gehoste klant-/partnerservices.

Gebruik Azure Private Link om privétoegang tot Azure Synapse Werkruimte vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden.

Privétoegang is een aanvullende diepgaande verdediging ten opzichte van de verificatie- en verkeersbeveiliging die wordt aangeboden door Azure-services.

Er zijn twee stappen om verbinding te maken met Synapse Studio via privékoppelingen. Eerst moet u een Private Link Hubs-resource maken. Ten tweede moet u een privé-eindpunt maken van uw virtuele Azure-netwerk naar deze private link-hub. Vervolgens kunt u privé-eindpunten gebruiken om veilig te communiceren met Synapse Studio. U moet de privé-eindpunten integreren met uw DNS-oplossing, ofwel uw on-premises oplossing of Azure Privé-DNS.

Gebruik Azure Virtual Network-service-eindpunten om beveiligde toegang te bieden tot Azure Synapse Werkruimte via een geoptimaliseerde route via het Azure-backbonenetwerk zonder internet te overschrijden.

Privétoegang is een aanvullende diepgaande verdediging ten opzichte van de verificatie- en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Bescherm uw Azure Synapse Werkruimte-resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en mogelijk schadelijk internetverkeer. Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken. Gebruik Azure Security Center om onjuiste configuratierisico's voor uw netwerkgerelateerde resources te detecteren.

Azure Synapse Werkruimte is niet bedoeld om webtoepassingen uit te voeren en hoeft u geen extra instellingen te configureren of extra netwerkservices te implementeren om deze te beschermen tegen externe netwerkaanvallen die zijn gericht op webtoepassingen.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals dangling DNS, DNS-amplifications-aanvallen, DNS-vergiftiging en adresvervalsing, enzovoort.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beveiligd tegen onbedoelde of schadelijke wijzigingen met behulp van Azure RBAC en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Synapse Werkruimte maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen bij het beoordelen van de identiteitsbeveiligingspostuur ten opzichte van de aanbevelingen voor aanbevolen procedures van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Gebruikers met azure-eigenaar- of inzenderrollen (Azure RBAC) in de resourcegroep kunnen toegewezen SQL-pools, Spark-pools en Integration Runtime beheren in Synapse. Bovendien breidt Synapse RBAC de mogelijkheden van Azure RBAC uit om te bepalen wie codeartefacten kan lezen of publiceren, code kan uitvoeren, gekoppelde services opent en taakuitvoering kan controleren of annuleren.

Azure AD verificatie maakt gebruik van ingesloten databasegebruikers of gebruikers op poolniveau om identiteiten te verifiëren op databaseniveau voor SQL-pools in Azure Synapse Analytics. Synapse ondersteunt ook SQL-verificatie voor SQL-pools. Met deze verificatiemethode verzendt de gebruiker een gebruikersnaam en het bijbehorende wachtwoord om een verbinding tot stand te brengen. Dit wachtwoord wordt opgeslagen in de hoofddatabase voor gebruikersaccounts die zijn gekoppeld aan een aanmelding of wordt opgeslagen in de database met de gebruikersaccounts die niet aan een aanmelding zijn gekoppeld.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure Synapse Werkruimte ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Azure Synapse Werkruimte in plaats van service-principals te maken voor toegang tot andere resources. Azure Synapse Werkruimte kan systeemeigen worden geverifieerd bij de Azure-services/-resources die ondersteuning bieden voor Azure AD verificatie via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in broncode of configuratiebestanden.

Azure Synapse Analytics maakt gebruik van de beheerde identiteit om pijplijnen te integreren.

Azure Synapse Werkruimte raadt het gebruik van Azure AD aan om een service-principal te maken met beperkte machtigingen op resourceniveau om service-principals met certificaatreferenties te configureren en terug te vallen op clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt voor in combinatie met door Azure beheerde identiteiten, zodat de runtime-omgeving (zoals een Azure-functie) de referentie uit de sleutelkluis kan ophalen.

Azure Synapse Analytics ondersteunt door de klant beheerde sleutels (CMK) voor versleuteling. Deze versleuteling maakt gebruik van sleutels die zijn gegenereerd in Azure Key Vault.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Synapse Werkruimte maakt gebruik van Azure Active Directory om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat bedrijfsidentiteiten, zoals werknemers, evenals externe identiteiten zoals partners, leveranciers en leveranciers. Hierdoor kan eenmalige aanmelding (SSO) toegang tot de gegevens en resources van uw organisatie on-premises en in de cloud beheren en beveiligen. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Azure Synapse Analytics kan klanten toestaan de volgende entiteiten te implementeren of uit te voeren die mogelijk identiteiten of geheimen hebben:

  • Code
  • Configuraties
  • Persistente gegevens

Implementeer referentiescanner om referenties binnen deze entiteiten te identificeren. Referentiescanner moedigt ook het verplaatsen van gedetecteerde referenties aan naar veiligere locaties, zoals Azure Key Vault. Gebruik voor GitHub de systeemeigen functie voor het scannen van geheimen. Met deze functie worden referenties of andere vormen van geheimen in de code geïdentificeerd.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren:

  • Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.
  • Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsassets.

U moet het aantal accounts of rollen met hoge bevoegdheden beperken en deze accounts beveiligen op verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Azure Synapse werkruimte heeft deze accounts met hoge bevoegdheden:

  • Azure-eigenaar bij de resourcegroep
  • Azure-inzender in de resourcegroep
  • Inzender voor opslagblobgegevens in de ADLS g2-opslagcontainer die is gekoppeld aan Synapse
  • Synapse-beheerder
  • Synapse SQL-beheerder
  • Synapse Spark-beheerder

Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts.

Wanneer u voor het eerst een Azure Synapse werkruimte maakt, kunt u een beheerdersaanmelding en -wachtwoord opgeven voor SQL-pools in de Synapse-werkruimte. Dit beheerdersaccount wordt serverbeheerder genoemd. U kunt het serverbeheerdersaccount voor Synapse identificeren door het Azure Portal te openen en naar het tabblad Overzicht van uw Synapse-werkruimte te navigeren. U kunt ook een Azure AD-beheerdersaccount configureren met volledige beheerdersmachtigingen. Dit is vereist als u Azure Active Directory-verificatie wilt inschakelen.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Synapse Werkruimte maakt gebruik van Azure Active Directory-accounts (Azure AD) om de resources te beheren, gebruikersaccounts te controleren en regelmatig toegang te krijgen tot toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management (PIM) gebruiken om werkstromen voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure AD PIM ook worden geconfigureerd om u te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Azure Synapse werkruimten vereisen dat gebruikers in de rollen Azure-eigenaar of Azure-inzender in de resourcegroep het beheer van de toegewezen SQL-pools, Spark-pools en Integration Runtimes beheren. Bovendien moeten gebruikers en de systeemidentiteit van de werkruimte toegang krijgen tot de ADLS Gen2-opslagcontainer die is gekoppeld aan de Synapse-werkruimte. Wanneer u SQL-verificatie gebruikt, maakt u ingesloten databasegebruikers in de SQL-pools. Zorg ervoor dat u een of meer databasegebruikers in een aangepaste databaserol plaatst met specifieke machtigingen die geschikt zijn voor die groep gebruikers.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Synapse Werkruimte is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de resources te beheren. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Azure Synapse Analytics vereist dat gebruikers in de rollen Azure-eigenaar of Azure-inzender in de resourcegroep het beheer van de toegewezen SQL-pools, Spark-pools en Integration Runtimes beheren. Bovendien moeten gebruikers en de systeemidentiteit van de werkruimte toegang krijgen tot de ADLS Gen2-opslagcontainer die is gekoppeld aan de Synapse-werkruimte.

Wanneer u voor het eerst een Azure Synapse werkruimte maakt, kunt u een beheerdersaanmelding en -wachtwoord opgeven voor SQL-pools in de Synapse-werkruimte. Dit beheerdersaccount wordt serverbeheerder genoemd. U kunt het serverbeheerdersaccount voor Synapse identificeren door het Azure Portal te openen en naar het tabblad Overzicht van uw Synapse-werkruimte te navigeren. U kunt ook een Azure AD-beheerdersaccount configureren met volledige beheerdersmachtigingen. Dit is vereist als u Azure Active Directory-verificatie wilt inschakelen

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot klantgegevens, ondersteunt Azure Synapse Workspace Customer Lockbox om een interface te bieden voor het controleren en goedkeuren of afwijzen van aanvragen voor toegang tot klantgegevens.

In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot gegevens met betrekking tot de SQL Database in uw toegewezen SQL-pool, biedt Azure Customer Lockbox een interface voor het controleren en goedkeuren of afwijzen van aanvragen voor gegevenstoegang.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: Detectie, classificatie en labeling van gevoelige gegevens

Richtlijnen: Gegevensdetectie en -classificatie is ingebouwd in Azure SQL en ondersteunt de volgende mogelijkheden: Detectie en aanbevelingen: de classificatie-engine scant uw database en identificeert kolommen die mogelijk gevoelige gegevens bevatten. Het biedt u vervolgens een eenvoudige manier om aanbevolen classificatie te controleren en toe te passen via de Azure Portal.

Labelen: u kunt vertrouwelijkheidsclassificatielabels permanent toepassen op kolommen met behulp van nieuwe metagegevenskenmerken die zijn toegevoegd aan de SQL Server-database-engine. Deze metagegevens kunnen vervolgens worden gebruikt voor controle- en beveiligingsscenario's op basis van gevoeligheid.

Gevoeligheid van queryresultatenset: de gevoeligheid van een queryresultatenset wordt in realtime berekend voor controledoeleinden.

Zichtbaarheid: u kunt de status van databaseclassificatie weergeven in een gedetailleerd dashboard in de Azure Portal. U kunt ook een rapport in Excel-indeling downloaden om te gebruiken voor nalevings- en controledoeleinden en andere behoeften.

Ontdek, classificeer en label uw gevoelige gegevens, zodat u de juiste besturingselementen kunt ontwerpen om ervoor te zorgen dat gevoelige informatie veilig wordt opgeslagen, verwerkt en verzonden door de technologiesystemen van de organisatie.

Gebruik Azure Information Protection (en het bijbehorende scanprogramma) voor gevoelige informatie in Office-documenten in Azure, on-premises, Microsoft 365 en andere locaties.

U kunt Azure SQL Information Protection gebruiken bij het classificeren en labelen van informatie die is opgeslagen in Azure SQL-databases.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerd Microsoft Defender voor Cloud bewaakt de resultaten van gegevensdetectie en classificatiescans voor uw SQL-databases en biedt aanbevelingen voor het classificeren van gevoelige gegevens in uw databases voor betere bewaking en beveiliging AuditIfNotExists, uitgeschakeld 3.0.0-preview

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling).

Om consistent toegangsbeheer te garanderen, moeten alle typen toegangsbeheer worden afgestemd op uw bedrijfssegmentatiestrategie. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform (beheerd door Microsoft) behandelt Microsoft alle inhoud van klanten als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.

Azure Synapse Analytics biedt dubbele versleuteling met een door de klant beheerde sleutel voor gegevens in SQL-pools, Spark-pools en Azure Data Factory integratieruntimes, pijplijnen en gegevenssets.

Gebruik de functie Azure Synapse SQL-gegevensdetectie en -classificatie. Daarnaast kunt u een DDM-beleid (Dynamic Data Masking) instellen in de Azure Portal. De DDM-aanbevelingengine markeert bepaalde velden uit uw database als mogelijk gevoelige velden die goede kandidaten kunnen zijn voor maskering.

Transparent Data Encryption (TDE) helpt bij het beveiligen van gegevens in toegewezen SQL-pools van Synapse tegen de dreiging van schadelijke offlineactiviteit door data-at-rest te versleutelen. Het voert in realtime versleuteling en ontsleuteling van de database, bijbehorende back-ups en transactielogboekbestanden 'at-rest' uit, zonder dat er wijzigingen in de toepassing moeten worden aangebracht.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Azure Synapse Werkruimte ondersteunt het overdragen van klantgegevens, maar biedt geen ondersteuning voor bewaking voor onbevoegde overdracht van gevoelige gegevens.

Azure Storage Advanced Threat Protection (ATP) en Azure SQL ATP kunnen een waarschuwing geven voor een afwijkende overdracht van gegevens die kan wijzen op een niet-geautoriseerde overdracht van gevoelige informatie.

Als dit nodig is voor de naleving van preventie van gegevensverlies (DLP), kunt u een DLP-oplossing op een host gebruiken om detectie en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten gegevens die worden verzonden, worden beveiligd tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure Synapse Werkruimte ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Azure Synapse Werkruimte gegevens-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens hebt u opties voor het implementeren van extra versleuteling at rest op alle Azure-resources, indien beschikbaar. Azure beheert standaard uw versleutelingssleutels, maar Azure biedt ook opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services om te voldoen aan wettelijke vereisten.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor SQL Managed Instance moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. AuditIfNotExists, uitgeschakeld 1.0.2
Voor SQL-servers moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. AuditIfNotExists, uitgeschakeld 2.0.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Beveiligingsteam inzicht geven in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams de machtiging Beveiligingslezer hebben in uw Azure-tenant en -abonnementen zodat ze kunnen controleren op beveiligingsrisico's met behulp van Azure Security Center.

Afhankelijk van hoe de verantwoordelijkheden van het beveiligingsteam zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Zorg ervoor dat beveiligingsteams toegang hebben tot een continu bijgewerkte inventaris van assets in Azure, zoals Azure Synapse Werkruimte. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen. Maak een Azure Active Directory-groep (Azure AD) die het geautoriseerde beveiligingsteam van uw organisatie bevat en wijs ze leestoegang toe aan alle Azure Synapse Werkruimteresources, die kunnen worden vereenvoudigd door één roltoewijzing op hoog niveau binnen uw abonnement.

Pas tags toe op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op Virtual Machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken in een Log Analytics-werkruimte.

Azure Synapse Werkruimte staat het uitvoeren van een toepassing of de installatie van software op de bijbehorende resources niet toe.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Gedeeld

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen Azure Security Center en schakel Azure Defender (voorheen Azure Advanced Threat Protection) in voor uw Azure Synapse-werkruimteresources. Azure Defender voor Azure Synapse Workspace biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen detecteert om uw Azure Synapse-werkruimtebronnen te openen of misbruiken.

Stuur logboeken van Azure Synapse door naar Azure Sentinel, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken, die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Azure Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Azure Security Center kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kunnen Azure Security Center's Threat Protection-module ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht hebben in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: NSG-resourcelogboeken (Netwerkbeveiligingsgroep) inschakelen en verzamelen, NSG-stroomlogboeken, Azure Firewall logboeken en Web Application Firewall waf-logboeken (WAF) voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.

Azure Synapse Werkruimte registreert al het netwerkverkeer dat wordt verwerkt voor klanttoegang. De netwerkstroommogelijkheid inschakelen binnen uw geïmplementeerde aanbiedingsbronnen

Wanneer u verbinding maakt met uw toegewezen SQL-pool en u netwerkbeveiligingsgroepstroomlogboeken (NSG) hebt ingeschakeld, worden logboeken verzonden naar een Azure Storage-account voor verkeerscontrole.

U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Zorg ervoor dat u DNS-querylogboeken verzamelt om te helpen bij het correleren van andere netwerkgegevens. Implementeer een externe oplossing van Azure Marketplace voor DNS-logboekregistratie volgens de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure Synapse Werkruimteresources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Azure Synapse Werkruimte. U kunt Azure Security Center en Azure Policy gebruiken om resourcelogboeken en logboekgegevens te verzamelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Azure Monitor biedt metrische gegevens, waarschuwingen en logboeken op basisniveau voor de meeste Azure-services. Diagnostische Logboeken van Azure worden verzonden door een resource en bieden uitgebreide, frequente gegevens over de werking van die resource. Azure Synapse Analytics kan diagnostische logboeken schrijven in Azure Monitor. Met name de logboeken Synapse RABC-bewerkingen.

Azure Synapse Werkruimte produceert ook beveiligingscontrolelogboeken voor de lokale accounts. Deze lokale auditlogboeken voor beheerders inschakelen

Controle voor Azure SQL Azure Synapse Analytics houdt databasegebeurtenissen bij en schrijft ze naar een auditlogboek in uw Azure-opslagaccount, Log Analytics-werkruimte of Event Hubs. Deze auditlogboeken helpen u naleving van regelgeving te onderhouden, inzicht te krijgen in databaseactiviteit en inzicht te krijgen in afwijkingen en afwijkingen die kunnen duiden op zakelijke problemen of vermoedelijke schendingen van de beveiliging.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Azure Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Azure Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Voor toepassingen die kunnen worden uitgevoerd op Azure Synapse Werkruimte, stuurt u alle beveiligingslogboeken door naar uw SIEM voor gecentraliseerd beheer.

Controle voor Azure Synapse Analytics houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in uw Azure-opslagaccount, Log Analytics-werkruimte of Event Hubs. Deze auditlogboeken helpen u naleving van regelgeving te onderhouden, inzicht te krijgen in databaseactiviteit en inzicht te krijgen in afwijkingen en afwijkingen die kunnen duiden op zakelijke problemen of vermoedelijke schendingen van de beveiliging.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat alle opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Azure Synapse Werkruimtelogboeken de bewaarperiode voor logboeken hebben ingesteld volgens de nalevingsregels van uw organisatie.

Controle voor Azure Synapse Analytics houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in uw Azure-opslagaccount, Log Analytics-werkruimte of Event Hubs. Deze auditlogboeken helpen u naleving van regelgeving te onderhouden, inzicht te krijgen in databaseactiviteit en inzicht te krijgen in afwijkingen en afwijkingen die kunnen duiden op zakelijke problemen of vermoedelijke schendingen van de beveiliging.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met 90 dagen retentie of hoger Voor incidentonderzoek wordt u aangeraden de gegevensretentie in te stellen voor de controle van uw SQL Server naar de opslagaccountbestemming ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste PaaS- en SaaS-services van Het Azure-platform. Gebruik voor uw virtuele machines een NTP-server (Default Network Time Protocol) van Microsoft voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server moet opstaan, moet u ervoor zorgen dat u de UDP-servicepoort 123 beveiligt.

Alle logboeken die worden gegenereerd door resources in Azure bieden tijdstempels met de standaard opgegeven tijdzone.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

SQL Server moet een service-eindpunt voor een virtueel netwerk gebruiken.

U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

Er zijn een aantal aanbiedingsspecifieke beveiligingsbeleidsregels die zijn toegeschreven aan Synapse Analytics, naast Azure Security Center op basis van besturingselementen. U kunt uw Azure SQL Server bijvoorbeeld beveiligen naar een virtueel netwerk via Private Link; configuratie en logboekconfiguratie en logboekregistratie van virtuele netwerken, subnetten en netwerkinterfaces met behulp van NSG-stroomlogboeken en Traffic Analytics; communicatie met bekende schadelijke IP-adressen weigeren met behulp van Advanced Threat Protection (ATP).

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: gebruik Azure Security Center om uw configuratiebasislijn te bewaken en af te dwingen met behulp van Azure Policy [weigeren] en [implementeren indien niet aanwezig] om beveiligde configuratie af te dwingen voor Azure-rekenresources, waaronder VM's, containers en andere.

Definieer een SQL-controlebeleid voor een specifieke database. Of definieer het als een standaardserverbeleid in Azure (dat als host fungeert voor toegewezen SQL-pools). Het standaardcontrolebeleid bevat alle acties en een set actiegroepen. De acties en actiegroepen controleren:

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: gebruik Azure Security Center en Azure Policy om beveiligde configuraties op alle rekenresources, waaronder VM's, containers en andere, tot stand te brengen.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Microsoft voert beveiligingsbeheer uit op de onderliggende systemen die ondersteuning bieden voor Azure Synapse Werkruimte.

Verantwoordelijkheid: Microsoft

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Sql:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SQL-databases moeten gevonden beveiligingsproblemen hebben opgelost Bewaak de resultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het oplossen van beveiligingsproblemen in de database. AuditIfNotExists, uitgeschakeld 4.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 2.0.0

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Voor software van derden gebruikt u een oplossing voor patchbeheer van derden. Of gebruik System Center Updates Publisher voor Configuration Manager. Azure Synapse Analytics geen software van derden gebruikt of vereist.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost.

Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Klant

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Bescherm uw Azure Synapse Werkruimte of de bijbehorende resources met een centraal beheerde moderne antimalwaresoftware.

  • Gebruik een centraal beheerde eindpunt antimalwareoplossing die in realtime en periodiek kan worden gescand.

  • Azure Security Center kan automatisch het gebruik van verschillende populaire antimalwareoplossingen voor uw virtuele machines (VM's) identificeren, de status van de eindpuntbeveiliging rapporteren en vervolgens aanbevelingen doen.

  • Microsoft Antimalware voor Azure Cloud Services is de standaard antimalware voor Windows-VM's. Gebruik voor Linux-VM's een antimalwareoplossing van derden. U kunt de detectie van bedreigingen van Azure Security Center gebruiken voor gegevensservices om malware te detecteren die is geüpload naar Azure Storage-accounts.

  • Microsoft Antimalware configureren voor Cloud Services en Virtual Machines

  • Ondersteunde oplossingen voor eindpuntbeveiliging

Verantwoordelijkheid: Klant

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Niet van toepassing; Azure Synapse Werkruimte bestaat niet uit virtuele machines of containers waarvoor EDR-beveiliging (Endpoint Detection and Response) is vereist.

Verantwoordelijkheid: Microsoft

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Richtlijnen: momentopnamen van uw toegewezen SQL-pools van Synapse worden automatisch gemaakt gedurende de dag, waardoor herstelpunten worden gemaakt die zeven dagen beschikbaar zijn. Deze bewaarperiode kan niet worden gewijzigd. Toegewezen SQL-pools ondersteunen een RPO (Recovery Point Objective) van acht uur. U kunt uw SQL-pool in de primaire regio herstellen vanaf een van de momentopnamen die in de afgelopen zeven dagen zijn gemaakt. Houd er rekening mee dat u indien nodig ook handmatig momentopnamen kunt activeren. Als u een door de klant beheerde sleutel gebruikt om uw databaseversleutelingssleutel te versleutelen, moet u ervoor zorgen dat er een back-up van uw sleutel wordt gemaakt.

Verantwoordelijkheid: Gedeeld

BR-2: Back-upgegevens versleutelen

Richtlijnen: momentopnamen van uw toegewezen SQL-pools van Synapse worden automatisch gemaakt gedurende de dag, waardoor herstelpunten worden gemaakt die zeven dagen beschikbaar zijn. Deze bewaarperiode kan niet worden gewijzigd. Toegewezen SQL-pools ondersteunen een RPO (Recovery Point Objective) van acht uur. U kunt uw SQL-pool in de primaire regio herstellen vanaf een van de momentopnamen die in de afgelopen zeven dagen zijn gemaakt. Houd er rekening mee dat u indien nodig ook handmatig momentopnamen kunt activeren. Als u een door de klant beheerde sleutel gebruikt om uw databaseversleutelingssleutel te versleutelen, moet u ervoor zorgen dat er een back-up van uw sleutel wordt gemaakt.

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: momentopnamen van uw toegewezen SQL-pool worden automatisch gedurende de dag gemaakt om herstelpunten te maken die zeven dagen beschikbaar zijn. Deze bewaarperiode kan niet worden gewijzigd. Toegewezen SQL-pool ondersteunt een RPO (Recovery Point Objective) van acht uur. U kunt uw datawarehouse in de primaire regio herstellen vanaf een van de momentopnamen die in de afgelopen zeven dagen zijn gemaakt. Houd er rekening mee dat u indien nodig ook handmatig momentopnamen kunt activeren.

Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Synapse ondersteunt door de klant beheerde sleutels (CMK) voor versleuteling. Deze versleuteling maakt gebruik van sleutels die zijn gegenereerd in Azure Key Vault.

Verantwoordelijkheid: Gedeeld

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om het verlies van sleutels te voorkomen en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Gedeeld

Volgende stappen