Punkt odniesienia zabezpieczeń platformy Azure dla Azure Database for MySQL

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Azure Database for MySQL. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Azure Database for MySQL.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Mechanizmy kontroli, które nie mają zastosowania do Azure Database for MySQL lub za które ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby dowiedzieć się, jak Azure Database for MySQL całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Database for MySQL.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: konfigurowanie Private Link dla Azure Database for MySQL przy użyciu prywatnych punktów końcowych. Usługa Private Link umożliwia łączenie z różnymi usługami PaaS na platformie Azure za pośrednictwem prywatnego punktu końcowego. Usługa Azure Private Link zasadniczo łączy usługi platformy Azure z Twoją prywatną siecią wirtualną. Ruch między siecią wirtualną a wystąpieniem MySQL podróżuje siecią szkieletową firmy Microsoft.

Alternatywnie możesz użyć Virtual Network punktów końcowych usługi, aby chronić i ograniczać dostęp sieciowy do implementacji Azure Database for MySQL. Reguły sieci wirtualnej to jedna funkcja zabezpieczeń zapory, która kontroluje, czy serwer Azure Database for MySQL akceptuje komunikację wysyłaną z określonych podsieci w sieciach wirtualnych.

Możesz również zabezpieczyć serwer Azure Database for MySQL za pomocą reguł zapory. Zapora serwera uniemożliwia dostęp do serwera bazy danych do momentu określenia, które komputery mają uprawnienia. Aby skonfigurować zaporę, należy utworzyć reguły zapory określające zakresy dopuszczalnych adresów IP. Można utworzyć reguły zapory na poziomach serwera.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforMySQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówki: gdy wystąpienie Azure Database for MySQL jest zabezpieczone w prywatnym punkcie końcowym, możesz wdrożyć maszyny wirtualne w tej samej sieci wirtualnej. Aby zmniejszyć ryzyko eksfiltracji danych, można użyć sieciowej grupy zabezpieczeń. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i korzystać z analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Użyj zaawansowanej ochrony przed zagrożeniami dla Azure Database for MySQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Włącz usługę DDoS Protection Standard w sieciach wirtualnych skojarzonych z wystąpieniami Azure Database for MySQL w celu ochrony przed atakami DDoS. Użyj usługi Microsoft Defender for Cloud Integrated Threat Intelligence, aby odmówić komunikacji ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: gdy wystąpienie Azure Database for MySQL jest zabezpieczone w prywatnym punkcie końcowym, możesz wdrożyć maszyny wirtualne w tej samej sieci wirtualnej. Następnie można skonfigurować sieciową grupę zabezpieczeń w celu zmniejszenia ryzyka eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i korzystać z analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: Użyj zaawansowanej ochrony przed zagrożeniami dla Azure Database for MySQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: w przypadku zasobów, które wymagają dostępu do wystąpień Azure Database for MySQL, użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. SQL). WestUs) w odpowiednim polu źródłowym lub docelowym reguły można zezwolić na ruch dla odpowiedniej usługi lub go odrzucić. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Uwaga: Azure Database for MySQL używa tagów usługi "Microsoft.Sql".

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla ustawień sieci i zasobów sieciowych skojarzonych z wystąpieniami Azure Database for MySQL z Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.DBforMySQL" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci wystąpień Azure Database for MySQL. Możesz również korzystać z wbudowanych definicji zasad związanych z siecią lub wystąpieniami Azure Database for MySQL, takimi jak:

  • Powinna być włączona ochrona przed atakami DDoS Protection w warstwie Standardowa

  • Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: użyj tagów dla zasobów związanych z zabezpieczeniami sieci i przepływem ruchu dla wystąpień Azure Database for MySQL w celu zapewnienia metadanych i organizacji logicznej.

Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak Wymagaj tagu i jego wartości, aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i powiadamiać o istniejących nieotagowanych zasobach.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z wystąpieniami Azure Database for MySQL. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: włączanie ustawień diagnostycznych i dzienników serwera oraz pozyskiwanie dzienników w celu agregowania danych zabezpieczeń generowanych przez wystąpienia Azure Database for MySQL. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego/archiwalnego magazynu. Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: włączanie ustawień diagnostycznych w wystąpieniach Azure Database for MySQL w celu uzyskania dostępu do dzienników metryk inspekcji, wolnych zapytań i metryk MySQL. Upewnij się, że włączono dziennik inspekcji mySQL. Dzienniki aktywności, które są automatycznie dostępne, obejmują źródło zdarzeń, datę, użytkownika, znacznik czasu, adresy źródłowe, adresy docelowe i inne przydatne elementy. Możesz również włączyć ustawienia diagnostyczne dziennika aktywności platformy Azure i wysłać dzienniki do tego samego obszaru roboczego usługi Log Analytics lub konta magazynu.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor dla obszaru roboczego usługi Log Analytics używanego do przechowywania dzienników Azure Database for MySQL ustaw okres przechowywania zgodnie z przepisami dotyczącymi zgodności organizacji. Użyj kont usługi Azure Storage na potrzeby długoterminowego/archiwizacji magazynu.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: analizowanie i monitorowanie dzienników z wystąpień Azure Database for MySQL pod kątem nietypowego zachowania. Usługa Log Analytics usługi Azure Monitor umożliwia przeglądanie dzienników i wykonywanie zapytań dotyczących danych dzienników. Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: Włączanie zaawansowanej ochrony przed zagrożeniami dla Azure Database for MySQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Ponadto można włączyć dzienniki serwera i ustawienia diagnostyczne dla programu MySQL i wysyłać dzienniki do obszaru roboczego usługi Log Analytics. Dołącz obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do korygowania problemów z zabezpieczeniami.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: Utrzymywanie spisu kont użytkowników, które mają dostęp administracyjny do płaszczyzny zarządzania (np. Azure Portal) usługi Azure Database for MySQLinstances. Ponadto należy zachować spis kont administracyjnych, które mają dostęp do płaszczyzny danych (w samej bazie danych) wystąpień Azure Database for MySQL. (Podczas tworzenia serwera MySQL należy podać poświadczenia dla użytkownika administratora. Ten administrator może służyć do tworzenia dodatkowych użytkowników mySQL).

Azure Database for MySQL nie obsługuje wbudowanej kontroli dostępu opartej na rolach, ale można tworzyć role niestandardowe na podstawie określonych opcji dostawcy zasobów.

Odpowiedzialność: Klient

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: usługa Azure Active Directory (Azure AD) nie ma pojęcia haseł domyślnych.

Po utworzeniu zasobu Azure Database for MySQL platforma Azure wymusza utworzenie użytkownika administracyjnego przy użyciu silnego hasła. Jednak po utworzeniu wystąpienia programu MySQL możesz użyć pierwszego utworzonego konta administratora serwera, aby utworzyć dodatkowych użytkowników i udzielić im dostępu administracyjnego. Podczas tworzenia tych kont upewnij się, że skonfigurujesz inne, silne hasło dla każdego konta.

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych, które mają dostęp do wystąpień Azure Database for MySQL. Użyj usługi Microsoft Defender for Cloud Identity i zarządzania dostępem, aby monitorować liczbę kont administracyjnych.

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego usługi Azure Active Directory (SSO)

Wskazówki: Logowanie do Azure Database for MySQL jest obsługiwane zarówno przy użyciu nazwy użytkownika/hasła skonfigurowanego bezpośrednio w bazie danych, jak i przy użyciu tożsamości usługi Azure Active Directory (Azure AD) i używania tokenu Azure AD do nawiązania połączenia. W przypadku korzystania z tokenu Azure AD obsługiwane są różne metody, takie jak użytkownik Azure AD, grupa Azure AD lub aplikacja Azure AD łącząca się z bazą danych.

Oddzielnie dostęp do płaszczyzny sterowania dla bazy danych MySQL jest dostępny za pośrednictwem interfejsu API REST i obsługuje logowanie jednokrotne. Aby przeprowadzić uwierzytelnianie, ustaw nagłówek autoryzacji dla żądań na token internetowy JSON uzyskany z Azure AD.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud. W przypadku korzystania z tokenów Azure AD do logowania się do bazy danych umożliwia to wymaganie uwierzytelniania wieloskładnikowego na potrzeby logowania do bazy danych.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Używanie stacji roboczych dostępu uprzywilejowanego (PAW) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówka: Włącz usługę Advanced Threat Protection dla Azure Database for MySQL w celu generowania alertów dotyczących podejrzanych działań.

Ponadto można użyć usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) do generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku.

Użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj nazwanych lokalizacji dostępu warunkowego, aby zezwolić na dostęp do portalu i platformy Azure Resource Manager tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Aby zalogować się do Azure Database for MySQL zaleca się użycie Azure AD i użycie tokenu Azure AD do nawiązania połączenia. W przypadku korzystania z tokenu Azure AD obsługiwane są różne metody, takie jak użytkownik Azure AD, grupa Azure AD lub aplikacja Azure AD łącząca się z bazą danych.

Azure AD poświadczenia mogą być również używane do administrowania na poziomie płaszczyzny zarządzania (np. Azure Portal) do kontrolowania kont administratorów programu MySQL.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Przejrzyj dzienniki usługi Azure Active Directory (Azure AD), aby ułatwić odnajdywanie nieaktualnych kont, które mogą obejmować te z rolami Azure Database for MySQL administracyjnymi. Ponadto za pomocą przeglądów dostępu do tożsamości platformy Azure można efektywnie zarządzać członkostwem w grupach, uzyskiwać dostęp do aplikacji dla przedsiębiorstw, które mogą służyć do uzyskiwania dostępu do Azure Database for MySQL i przypisań ról. Dostęp użytkowników powinien być regularnie przeglądany, na przykład co 90 dni, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówka: Włącz ustawienia diagnostyczne dla Azure Database for MySQL i usługi Azure Active Directory (Azure AD), wysyłając wszystkie dzienniki do obszaru roboczego usługi Log Analytics. Skonfiguruj żądane alerty (takie jak nieudane próby uwierzytelnienia) w usłudze Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówka: Włącz usługę Advanced Threat Protection dla Azure Database for MySQL w celu generowania alertów dotyczących podejrzanych działań.

Użyj funkcji ochrony tożsamości i wykrywania ryzyka usługi Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje. Możesz włączyć automatyczne odpowiedzi za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.

Możesz również pozyskać dzienniki do usługi Microsoft Sentinel w celu dalszego zbadania.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu informacji poufnych

Wskazówki: użyj tagów, aby ułatwić śledzenie wystąpień Azure Database for MySQL lub powiązanych zasobów, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: Implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Użyj kombinacji reguł Private Link, punktów końcowych usługi i/lub zapory, aby odizolować i ograniczyć dostęp sieciowy do wystąpień Azure Database for MySQL.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówka: W przypadku używania maszyn wirtualnych platformy Azure do uzyskiwania dostępu do wystąpień Azure Database for MySQL należy używać Private Link, konfiguracji sieci MySQL, sieciowych grup zabezpieczeń i tagów usług w celu ograniczenia możliwości eksfiltracji danych.

Firma Microsoft zarządza podstawową infrastrukturą dla Azure Database for MySQL i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych klientów.

Odpowiedzialność: Klient

4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Azure Database for MySQL obsługuje łączenie serwera MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacją kliencką ułatwia ochronę przed atakami typu man-in-the-middle dzięki szyfrowaniu strumienia danych między serwerem a aplikacją. W Azure Portal upewnij się, że opcja "Wymuszaj połączenie SSL" jest domyślnie włączona dla wszystkich wystąpień Azure Database for MySQL.

Obecnie wersje protokołu TLS obsługiwane dla Azure Database for MySQL to TLS 1.0, TLS 1.1, TLS 1.2.

Odpowiedzialność: Współużytkowane

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.DBforMySQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL Azure Database for MySQL obsługuje łączenie serwera Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SECURE Sockets Layer (SSL). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "man in the middle" przez szyfrowanie strumienia danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony na potrzeby uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1

4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla Azure Database for MySQL. W razie potrzeby zaimplementuj rozwiązanie innej firmy do celów zgodności.

W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i znacznie chroni przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie dostępu do płaszczyzny kontroli Azure Database for MySQL (np. Azure Portal). W przypadku dostępu do płaszczyzny danych (w samej bazie danych) użyj zapytań SQL, aby utworzyć użytkowników i skonfigurować uprawnienia użytkownika. Kontrola dostępu oparta na rolach platformy Azure nie ma wpływu na uprawnienia użytkownika w bazie danych.

Odpowiedzialność: Klient

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpieniach produkcyjnych Azure Database for MySQL i innych krytycznych lub powiązanych zasobów.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud, aby zabezpieczyć Azure Database for MySQL i powiązane zasoby.

Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują Azure Database for MySQL.

Odpowiedzialność: Współużytkowane

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań i odnajdywania wszystkich zasobów (w tym wystąpień Azure Database for MySQL) w ramach subskrypcji. Upewnij się, że masz odpowiednie (odczyt) uprawnienia w dzierżawie i możesz wyliczyć wszystkie subskrypcje platformy Azure oraz zasoby w ramach subskrypcji.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do wystąpień Azure Database for MySQL i innych powiązanych zasobów dających metadane w celu logicznego zorganizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia Azure Database for MySQL wystąpień i powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych i platformy Azure jako całości.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań dotyczących zasobów i odnajdywania ich w ramach subskrypcji.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management". Może to zapobiec tworzeniu i zmianom zasobów w środowisku o wysokim poziomie zabezpieczeń, takich jak wystąpienia Azure Database for MySQL zawierające informacje poufne.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla wystąpień Azure Database for MySQL za pomocą Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw Microsoft.DBforMySQL, aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci wystąpień Azure Database for MySQL. Możesz również korzystać z wbudowanych definicji zasad związanych z wystąpieniami Azure Database for MySQL, takimi jak:

Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL

Odpowiedzialność: Klient

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji Azure Policy dla wystąpień Azure Database for MySQL i powiązanych zasobów, użyj Azure Repos do bezpiecznego przechowywania kodu i zarządzania nim.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DBforMySQL", aby utworzyć niestandardowe zasady w celu alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto utwórz proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj aliasów Azure Policy w przestrzeni nazw Microsoft.DBforMySQL, aby utworzyć niestandardowe zasady do alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje wystąpień Azure Database for MySQL i powiązanych zasobów.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: w przypadku aplikacji platformy Azure Virtual Machines lub internetowych działających w Azure App Service używanych do uzyskiwania dostępu do wystąpień Azure Database for MySQL użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć Azure Database for MySQL zarządzanie wpisami tajnymi. Upewnij się, że włączono Key Vault usuwanie nietrwałe.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: wystąpienie Azure Database for MySQL obsługuje uwierzytelnianie usługi Azure Active Directory (Azure AD) w celu uzyskania dostępu do baz danych. Podczas tworzenia wystąpienia Azure Database for MySQL należy podać poświadczenia dla użytkownika administratora. Ten administrator może służyć do tworzenia dodatkowych użytkowników bazy danych.

W przypadku aplikacji platformy Azure Virtual Machines lub internetowych działających na Azure App Service używanych do uzyskiwania dostępu do wystąpień Azure Database for MySQL użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault do przechowywania i pobierania poświadczeń dla Azure Database for MySQL wystąpienia. Upewnij się, że włączono Key Vault usuwanie nietrwałe.

Użyj tożsamości zarządzanych, aby zapewnić usługi platformy Azure z automatycznie zarządzaną tożsamością w Azure AD. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault bez poświadczeń w kodzie.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików, które mają zostać przekazane do zasobów platformy Azure, które nie są obliczane

Wskazówki: oprogramowanie chroniące przed złośliwym oprogramowaniem firmy Microsoft jest włączone na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Database for MySQL), ale nie działa w zawartości klienta.

Wstępnie przeskanuj zawartość przekazywaną do zasobów platformy Azure, takich jak App Service, Data Lake Storage, Blob Storage, Azure Database for MySQL itp. Firma Microsoft nie może uzyskać dostępu do danych w tych wystąpieniach.

Odpowiedzialność: Współużytkowane

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: Azure Database for MySQL wykonuje kopie zapasowe plików danych i dziennika transakcji. W zależności od obsługiwanego maksymalnego rozmiaru magazynu wykonujemy pełne i różnicowe kopie zapasowe (maksymalnie 4 TB serwerów magazynu) lub kopie zapasowe migawek (maksymalnie 16 TB maksymalnych serwerów magazynu). Te kopie zapasowe umożliwiają przywrócenie serwera do dowolnego punktu w czasie w skonfigurowanym okresie przechowywania kopii zapasowych. Domyślny okres przechowywania kopii zapasowych wynosi siedem dni. Opcjonalnie można skonfigurować go do 35 dni. Wszystkie kopie zapasowe są szyfrowane za pomocą 256-bitowego szyfrowania AES.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforMySQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL Azure Database for MySQL umożliwia wybranie opcji nadmiarowości serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także są replikowane do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, Wyłączone 1.0.1

9.2. Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Azure Database for MySQL automatycznie tworzy kopie zapasowe serwera i przechowuje je w magazynie lokalnie nadmiarowym lub geograficznie nadmiarowym, zgodnie z wyborem użytkownika. Kopie zapasowe mogą być używane do przywracania serwera do punktu w czasie. Tworzenie kopii zapasowych i przywracanie jest istotną częścią strategii ciągłości biznesowej, ponieważ chronią dane przed przypadkowym uszkodzeniem lub usunięciem.

Jeśli używasz usługi Azure Key Vault do przechowywania poświadczeń dla wystąpień Azure Database for MySQL, upewnij się, że regularne automatyczne kopie zapasowe kluczy.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforMySQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL Azure Database for MySQL umożliwia wybranie opcji nadmiarowości serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także są replikowane do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, Wyłączone 1.0.1

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: W Azure Database for MySQL wykonanie przywracania powoduje utworzenie nowego serwera z kopii zapasowych oryginalnego serwera. Dostępne są dwa typy przywracania: przywracanie do punktu w czasie i przywracanie geograficzne. Przywracanie do punktu w czasie jest dostępne z opcją nadmiarowości kopii zapasowej i tworzy nowy serwer w tym samym regionie co oryginalny serwer. Przywracanie geograficzne jest dostępne tylko w przypadku skonfigurowania serwera na potrzeby magazynu geograficznie nadmiarowego i umożliwia przywrócenie serwera do innego regionu.

Szacowany czas odzyskiwania zależy od wielu czynników, w tym rozmiaru bazy danych, rozmiaru dziennika transakcji, przepustowości sieci oraz łącznej liczby jednocześnie odzyskiwanych baz danych w tym samym regionie. Odzyskiwanie trwa zwykle mniej niż 12 godzin.

Okresowo testuje przywracanie wystąpień Azure Database for MySQL.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Azure Database for MySQL wykonuje pełne, różnicowe i transakcyjne kopie zapasowe dziennika transakcji. Te kopie zapasowe umożliwiają przywrócenie serwera do dowolnego punktu w czasie w skonfigurowanym okresie przechowywania kopii zapasowych. Domyślny okres przechowywania kopii zapasowych wynosi siedem dni. Opcjonalnie można skonfigurować go do 35 dni. Wszystkie kopie zapasowe są szyfrowane za pomocą 256-bitowego szyfrowania AES. Upewnij się, że włączono Key Vault usuwanie nietrwałe.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dostęp do danych klienta był uzyskiwany przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki