Punkt odniesienia zabezpieczeń platformy Azure dla Azure Database Migration Service

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do Azure Database Migration Service. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązanych wskazówek dotyczących Azure Database Migration Service.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Azure Database Migration Service, a te, dla których zalecenia dotyczące globalnych wskazówek są zalecane, zostały wykluczone. Aby zobaczyć, jak Azure Database Migration Service całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Database Migration Service.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Podczas wdrażania Azure Database Migration Service zasobów należy utworzyć istniejącą sieć wirtualną lub użyć jej. Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Każdy system, który może stanowić większe ryzyko dla organizacji, powinien być odizolowany w ramach własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub Azure Firewall.

Azure Database Migration Service domyślnie używa protokołu TLS 1.2. W razie potrzeby zapewnienia zgodności z poprzednimi wersjami dla migrowanego źródła danych można włączyć obsługę protokołu TLS 1.0 lub TLS 1.1 w bloku konfiguracji usługi Azure Database Migration Service.

Użyj usługi Microsoft Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Niepodpisane powiązania LDAP i słabe szyfry w protokole Kerberos.

Jak utworzyć sieciową grupę zabezpieczeń z regułami zabezpieczeń: /azure/virtual-network/tutorial-filter-network-traffic

Jak wdrożyć i skonfigurować Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Jeśli przypadek użycia migracji obejmuje ruch między sieciami, możesz użyć usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN) w celu utworzenia prywatnych połączeń między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć lokalne urządzenia lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute. Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: Jeśli ma to zastosowanie, użyj Azure Private Link, aby umożliwić prywatny dostęp do usług źródłowych i docelowych, takich jak Azure SQL Server, lub innych wymaganych usług podczas migracji. W sytuacjach, w których Azure Private Link nie jest jeszcze dostępna, użyj punktów końcowych usługi Azure Virtual Network. Zarówno Azure Private Link, jak i punkty końcowe usługi zapewniają bezpieczny dostęp do usług za pośrednictwem zoptymalizowanej trasy przez sieć szkieletową platformy Azure bez przekraczania Internetu.

Ponadto upewnij się, że wymagania wstępne zostały spełnione przed aprowizowaniem Azure Database Migration Service w sieci wirtualnej, w tym portami komunikacyjnymi, które muszą być dozwolone.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Azure Database Migration Service używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Należy standaryzację Azure AD w celu zarządzania tożsamościami i dostępem w organizacji w:

Zasoby w chmurze firmy Microsoft, takie jak aplikacje Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), Azure Key Vault, PaaS i SaaS.

Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w zakresie zabezpieczeń w chmurze w organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości w porównaniu z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Usługa Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówka: Usługa Azure Database Migration Service wymaga od użytkowników utworzenia identyfikatora aplikacji (jednostki usługi) i klucza uwierzytelniania w usłudze Azure Active Directory (Azure AD) na potrzeby migracji do wystąpienia zarządzanego usługi Azure SQL Database w trybie "Online". Ten identyfikator aplikacji wymaga roli Współautor na poziomie subskrypcji (co nie jest zalecane z powodu udzielenia roli Współautor nadmiernego dostępu) lub utworzenia ról niestandardowych z określonymi uprawnieniami wymaganymi przez usługę Azure Database Migrations Service.

Zaleca się usunięcie tego identyfikatora aplikacji po zakończeniu migracji.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Azure Database Migration Service jest zintegrowana z usługą Azure Active Directory na potrzeby zarządzania tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Umożliwia to logowanie jednokrotne w celu zarządzania i bezpiecznego dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Azure Database Migration Service umożliwia klientom wdrażanie/uruchamianie kodu, konfiguracji lub utrwalanych danych potencjalnie przy użyciu tożsamości/wpisów tajnych, zaleca się zaimplementowanie skanera poświadczeń w celu zidentyfikowania poświadczeń w kodzie lub konfiguracjach lub utrwalanych danych. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Jeśli usługa GitHub jest używana, możesz użyć natywnej funkcji skanowania wpisów tajnych do identyfikowania poświadczeń lub innej formy wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówka: Usługa Azure Database Migration Service wymaga od użytkowników utworzenia identyfikatora aplikacji (jednostki usługi) i klucza uwierzytelniania w usłudze Azure Active Directory (Azure AD) na potrzeby migracji do wystąpienia zarządzanego usługi Azure SQL Database w trybie "Online". Zaleca się usunięcie tego identyfikatora aplikacji po zakończeniu migracji.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu. Używaj stacji roboczych użytkowników o wysokim poziomie zabezpieczeń i/lub usługi Azure Bastion do wykonywania zadań administracyjnych. Użyj usługi Azure Active Directory, zaawansowanej ochrony przed zagrożeniami w usłudze Microsoft Defender i/lub usługi Microsoft Intune do wdrożenia bezpiecznej i zarządzanej stacji roboczej użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Azure Database Migration Service jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. To uzupełnia podejście dostępu just in time (JIT) usługi Azure AD Privileged Identity Management (PIM) i powinno być okresowo weryfikowane.

Używaj wbudowanych ról do przydzielenia uprawnień i utwórz własną rolę tylko wtedy, gdy jest to wymagane.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Azure Database Migration Service szyfruje dane przesyłane ze źródeł skonfigurowanych przez klienta do wystąpienia usługi migracji bazy danych domyślnie przy użyciu protokołu TLS 1.2 lub nowszego. Można to wyłączyć, jeśli serwer źródłowy nie obsługuje połączenia TLS 1.2, chociaż zdecydowanie nie jest to zalecane. Transfer danych z wystąpienia usługi migracji bazy danych do wystąpienia docelowego jest zawsze szyfrowany.

Poza Azure Database Migration Service można użyć kontroli dostępu, dane przesyłane powinny być chronione przed atakami "poza pasmem" (np. przechwytywaniem ruchu) przy użyciu szyfrowania, aby zapewnić, że osoby atakujące nie będą mogły łatwo odczytać ani zmodyfikować danych. Upewnij się, że dla ruchu HTTP każdy klient łączący się z zasobami platformy Azure może negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje, protokoły i słabe szyfry SSL/TLS/SSH powinny być wyłączone.

W podstawowej infrastrukturze platforma Azure domyślnie zapewnia szyfrowanie danych przesyłanych dla ruchu danych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Azure Database Migration Service nie zezwala na uruchamianie aplikacji ani instalacji oprogramowania na jego zasobach.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzać inspekcję i ograniczać usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Azure AD udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.

  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.

  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.

  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia, przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja zapewnia widoczność anomalii kont wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówka: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badań zdarzeń, wyszukiwania zagrożeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Azure Monitor Log Analytics, a następnie użyć analizy ruchu, aby uzyskać szczegółowe informacje.

Uwaga: Azure Database Migration Service nie generuje ani nie przetwarza dzienników zapytań DNS, które należy włączyć.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowanie magazynu i analizy rejestrowania w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Klient

Następne kroki