Punkt odniesienia zabezpieczeń platformy Azure dla Azure Database for PostgreSQL — pojedynczy serwer

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Azure Database for PostgreSQL — pojedynczy serwer. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące Azure Database for PostgreSQL — pojedynczy serwer.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do Azure Database for PostgreSQL — pojedynczy serwer lub za który ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby zobaczyć, jak Azure Database for PostgreSQL — pojedynczy serwer całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń serwera Azure Database for PostgreSQL — pojedynczy serwer.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Konfigurowanie Private Link dla Azure Database for PostgreSQL przy użyciu prywatnych punktów końcowych. Usługa Private Link umożliwia łączenie z różnymi usługami PaaS na platformie Azure za pośrednictwem prywatnego punktu końcowego. Usługa Azure Private Link zasadniczo łączy usługi platformy Azure z Twoją prywatną siecią wirtualną. Ruch między siecią wirtualną a wystąpieniem bazy danych PostgreSQL jest kierowany do sieci szkieletowej firmy Microsoft.

Alternatywnie możesz użyć punktów końcowych usługi Virtual Network, aby chronić i ograniczać dostęp sieciowy do implementacji Azure Database for PostgreSQL. Reguły sieci wirtualnej to jedna z funkcji zabezpieczeń zapory, która kontroluje, czy serwer usługi Azure Database for PostgreSQL akceptuje komunikacje przesyłane z określonych podsieci w sieciach wirtualnych.

Serwer Azure Database for PostgreSQL można również zabezpieczyć za pomocą reguł zapory. Zapora serwera uniemożliwia dostęp do serwera bazy danych do momentu określenia, które komputery mają uprawnienia. Aby skonfigurować zaporę, należy utworzyć reguły zapory określające zakresy dopuszczalnych adresów IP. Można utworzyć reguły zapory na poziomach serwera.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforPostgreSQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówka: Gdy wystąpienie Azure Database for PostgreSQL jest zabezpieczone w prywatnym punkcie końcowym, możesz wdrożyć maszyny wirtualne w tej samej sieci wirtualnej. Aby zmniejszyć ryzyko eksfiltracji danych, można użyć sieciowej grupy zabezpieczeń. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Użyj zaawansowanej ochrony przed zagrożeniami na potrzeby Azure Database for PostgreSQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Włącz usługę DDoS Protection w warstwie Standardowa w sieciach wirtualnych skojarzonych z wystąpieniami Azure Database for PostgreSQL w celu ochrony przed atakami DDoS. Użyj zintegrowanej analizy zagrożeń w usłudze Microsoft Defender for Cloud, aby uniemożliwić komunikację ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówka: Gdy wystąpienie Azure Database for PostgreSQL jest zabezpieczone w prywatnym punkcie końcowym, możesz wdrożyć maszyny wirtualne w tej samej sieci wirtualnej. Następnie można skonfigurować sieciową grupę zabezpieczeń, aby zmniejszyć ryzyko eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania nieautoryzowanego dostępu/nieautoryzowanego dostępu (IDS/IPS)

Wskazówki: Użyj zaawansowanej ochrony przed zagrożeniami na potrzeby Azure Database for PostgreSQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci

Wskazówka: W przypadku zasobów, które wymagają dostępu do wystąpień Azure Database for PostgreSQL, użyj tagów usługi sieci wirtualnej do zdefiniowania kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. SQL. WestUs) w odpowiednim polu źródłowym lub docelowym reguły można zezwolić na ruch dla odpowiedniej usługi lub go odmówić. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Uwaga: Azure Database for PostgreSQL używa tagu usługi "Microsoft.Sql".

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówka: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla ustawień sieci i zasobów sieciowych skojarzonych z wystąpieniami Azure Database for PostgreSQL z Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.DBforPostgreSQL" i "Microsoft.Network", aby utworzyć niestandardowe zasady inspekcji lub wymuszania konfiguracji sieci wystąpień Azure Database for PostgreSQL. Możesz również używać wbudowanych definicji zasad związanych z siecią lub wystąpieniami Azure Database for PostgreSQL, takimi jak:

  • Należy włączyć usługę DDoS Protection w warstwie Standardowa

  • Wymuszanie połączenia TLS powinno być włączone dla serwerów baz danych PostgreSQL

Aby uzyskać więcej informacji, zobacz poniższe linki referencyjne.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówka: użyj tagów dla zasobów związanych z zabezpieczeniami sieci i przepływem ruchu dla wystąpień Azure Database for PostgreSQL w celu zapewnienia metadanych i organizacji logicznej.

Użyj dowolnej wbudowanej definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z wystąpieniami Azure Database for PostgreSQL. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: włączanie ustawień diagnostycznych i dzienników serwera oraz pozyskiwanie dzienników w celu agregowania danych zabezpieczeń generowanych przez wystąpienia Azure Database for PostgreSQL. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego/archiwalnego magazynu. Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: włączanie ustawień diagnostycznych w wystąpieniach Azure Database for PostgreSQL w celu uzyskania dostępu do dzienników inspekcji, zabezpieczeń i zasobów. Upewnij się, że włączono dziennik inspekcji bazy danych PostgreSQL. Dzienniki aktywności, które są automatycznie dostępne, obejmują źródło zdarzeń, datę, użytkownika, znacznik czasu, adresy źródłowe, adresy docelowe i inne przydatne elementy. Możesz również włączyć ustawienia diagnostyczne dziennika aktywności platformy Azure i wysłać dzienniki do tego samego obszaru roboczego usługi Log Analytics lub konta magazynu.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor dla obszaru roboczego usługi Log Analytics używanego do przechowywania dzienników Azure Database for PostgreSQL ustaw okres przechowywania zgodnie z przepisami dotyczącymi zgodności organizacji. Użyj kont usługi Azure Storage na potrzeby długoterminowego/archiwizacji magazynu.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: analizowanie i monitorowanie dzienników z wystąpień Azure Database for PostgreSQL pod kątem nietypowego zachowania. Usługa Log Analytics usługi Azure Monitor umożliwia przeglądanie dzienników i wykonywanie zapytań dotyczących danych dzienników. Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: Włączanie zaawansowanej ochrony przed zagrożeniami dla Azure Database for PostgreSQL. Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Ponadto można włączyć dzienniki serwera i ustawienia diagnostyczne dla bazy danych PostgreSQL i wysyłać dzienniki do obszaru roboczego usługi Log Analytics. Dołącz obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do korygowania problemów z zabezpieczeniami.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: Utrzymywanie spisu kont użytkowników, które mają dostęp administracyjny do płaszczyzny sterowania (np. Azure Portal) wystąpień Azure Database for PostgreSQL. Ponadto należy zachować spis kont administracyjnych, które mają dostęp do płaszczyzny danych (w samej bazie danych) wystąpień Azure Database for PostgreSQL. (Podczas tworzenia serwera PostgreSQL należy podać poświadczenia dla użytkownika administratora. Ten administrator może służyć do tworzenia dodatkowych użytkowników bazy danych PostgreSQL).

Azure Database for PostgreSQL nie obsługuje wbudowanej kontroli dostępu opartej na rolach, ale można tworzyć role niestandardowe na podstawie określonych operacji dostawcy zasobów.

Odpowiedzialność: Klient

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: usługa Azure Active Directory (Azure AD) i Azure Database for PostgreSQL nie mają pojęcia domyślnych haseł.

Po utworzeniu zasobu Azure Database for PostgreSQL platforma Azure wymusza utworzenie użytkownika administracyjnego przy użyciu silnego hasła. Jednak po utworzeniu wystąpienia bazy danych PostgreSQL możesz użyć pierwszego utworzonego konta administratora serwera, aby utworzyć dodatkowych użytkowników i udzielić im dostępu administracyjnego. Podczas tworzenia tych kont upewnij się, że skonfigurujesz inne, silne hasło dla każdego konta.

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych, które mają dostęp do wystąpień Azure Database for PostgreSQL. Użyj usługi Microsoft Defender for Cloud Identity i zarządzania dostępem, aby monitorować liczbę kont administracyjnych.

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego usługi Azure Active Directory (SSO)

Wskazówki: Logowanie się do Azure Database for PostgreSQL jest obsługiwane zarówno przy użyciu nazwy użytkownika/hasła skonfigurowanego bezpośrednio w bazie danych, jak i przy użyciu tożsamości usługi Azure Active Directory (Azure AD) i używania tokenu Azure AD do nawiązania połączenia. W przypadku korzystania z tokenu Azure AD obsługiwane są różne metody, takie jak użytkownik Azure AD, grupa Azure AD lub aplikacja Azure AD łącząca się z bazą danych.

Oddzielnie dostęp do płaszczyzny sterowania dla bazy danych PostgreSQL jest dostępny za pośrednictwem interfejsu API REST i obsługuje logowanie jednokrotne. Aby przeprowadzić uwierzytelnianie, ustaw nagłówek autoryzacji dla żądań na token internetowy JSON uzyskany z Azure AD.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud. W przypadku korzystania z tokenów Azure AD do logowania się do bazy danych umożliwia to wymaganie uwierzytelniania wieloskładnikowego na potrzeby logowania do bazy danych.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Użyj stacji roboczych dostępu uprzywilejowanego (PAW) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: włącz usługę Advanced Threat Protection dla Azure Database for PostgreSQL, aby wygenerować alerty dotyczące podejrzanych działań.

Ponadto można użyć usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) do generowania dzienników i alertów, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie.

Użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj dostępu warunkowego nazwanych lokalizacji, aby umożliwić portalowi i usłudze Azure Resource Manager dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

W przypadku logowania się do Azure Database for PostgreSQL zaleca się użycie Azure AD i użycie tokenu Azure AD do nawiązania połączenia. W przypadku korzystania z tokenu Azure AD obsługiwane są różne metody, takie jak użytkownik Azure AD, grupa Azure AD lub aplikacja Azure AD łącząca się z bazą danych.

Azure AD poświadczenia mogą być również używane do administrowania na poziomie płaszczyzny zarządzania (np. Azure Portal) do kontrolowania kont administratorów postgreSQL.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Przejrzyj dzienniki usługi Azure Active Directory (Azure AD), aby ułatwić odnajdywanie nieaktualnych kont, które mogą obejmować te z rolami administracyjnymi Azure Database for PostgreSQL. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, uzyskiwać dostęp do aplikacji dla przedsiębiorstw, które mogą służyć do uzyskiwania dostępu do Azure Database for PostgreSQL i przypisań ról. Dostęp użytkowników powinien być regularnie przeglądany, na przykład co 90 dni, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: włączanie ustawień diagnostycznych dla Azure Database for PostgreSQL i usługi Azure Active Directory (Azure AD), wysyłanie wszystkich dzienników do obszaru roboczego usługi Log Analytics. Skonfiguruj żądane alerty (takie jak nieudane próby uwierzytelniania) w usłudze Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: włącz usługę Advanced Threat Protection dla Azure Database for PostgreSQL, aby wygenerować alerty dotyczące podejrzanych działań.

Używanie funkcji usługi Identity Protection i wykrywania ryzyka w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje. Automatyczne odpowiedzi można włączyć za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.

Możesz również pozyskać dzienniki do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej

Wskazówki: obecnie niedostępne; Skrytka klienta nie jest jeszcze obsługiwana w przypadku Azure Database for PostgreSQL.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: użyj tagów, aby ułatwić śledzenie wystąpień Azure Database for PostgreSQL lub powiązanych zasobów, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Użyj kombinacji reguł Private Link, punktów końcowych usługi i/lub zapory, aby odizolować i ograniczyć dostęp sieciowy do wystąpień Azure Database for PostgreSQL.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: W przypadku korzystania z maszyn wirtualnych platformy Azure w celu uzyskania dostępu do wystąpień Azure Database for PostgreSQL użyj konfiguracji sieci Private Link, konfiguracji sieci PostgreSQL, sieciowych grup zabezpieczeń i tagów usług w celu ograniczenia możliwości eksfiltracji danych.

Firma Microsoft zarządza podstawową infrastrukturą dla Azure Database for PostgreSQL i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych klientów.

Odpowiedzialność: Współużytkowane

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Azure Database for PostgreSQL obsługuje łączenie serwera PostgreSQL z aplikacjami klienckimi przy użyciu protokołu Transport Layer Security (TLS), wcześniej znanej jako Secure Sockets Layer (SSL). Wymuszanie połączeń TLS między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. W Azure Portal upewnij się, że opcja "Wymuszaj połączenie SSL" jest domyślnie włączona dla wszystkich wystąpień Azure Database for PostgreSQL.

Obecnie wersje protokołu TLS obsługiwane dla Azure Database for PostgreSQL to TLS 1.0, TLS 1.1, TLS 1.2.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforPostgreSQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL Azure Database for PostgreSQL obsługuje łączenie serwera Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, Wyłączone 1.0.1

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: Funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla Azure Database for PostgreSQL. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie dostępu do płaszczyzny kontroli Azure Database for PostgreSQL (np. Azure Portal). Aby uzyskać dostęp do płaszczyzny danych (w samej bazie danych), użyj zapytań SQL, aby utworzyć użytkowników i skonfigurować uprawnienia użytkownika. Kontrola dostępu oparta na rolach platformy Azure nie ma wpływu na uprawnienia użytkownika w bazie danych.

Odpowiedzialność: Klient

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpieniach produkcyjnych Azure Database for PostgreSQL i innych krytycznych lub powiązanych zasobów.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud, aby zabezpieczyć Azure Database for PostgreSQL i powiązane zasoby.

Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują Azure Database for PostgreSQL.

Odpowiedzialność: Współużytkowane

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o wszystkie zasoby (w tym Azure Database for PostgreSQL wystąpień) w ramach subskrypcji i odnajdywania ich. Upewnij się, że masz odpowiednie (odczyt) uprawnienia w dzierżawie i możesz wyliczyć wszystkie subskrypcje platformy Azure oraz zasoby w ramach subskrypcji.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do wystąpień Azure Database for PostgreSQL i innych powiązanych zasobów, które dają metadane w celu logicznego zorganizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia Azure Database for PostgreSQL wystąpień i powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych i platformy Azure jako całości.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zobacz poniższe linki referencyjne.

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management". Może to zapobiec tworzeniu i zmianom zasobów w środowisku o wysokim poziomie zabezpieczeń, takich jak wystąpienia Azure Database for PostgreSQL zawierające informacje poufne.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla wystąpień Azure Database for PostgreSQL za pomocą Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DBforPostgreSQL", aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci wystąpień Azure Database for PostgreSQL. Możesz również korzystać z wbudowanych definicji zasad związanych z wystąpieniami Azure Database for PostgreSQL, takimi jak:

  • Wymuszanie połączenia TLS powinno być włączone dla serwerów baz danych PostgreSQL
  • Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL

Aby uzyskać więcej informacji, zobacz poniższe linki referencyjne.

Odpowiedzialność: Klient

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji Azure Policy dla wystąpień Azure Database for PostgreSQL i powiązanych zasobów, użyj Azure Repos do bezpiecznego przechowywania kodu i zarządzania nim.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DBforPostgreSQL", aby utworzyć niestandardowe zasady w celu alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto utwórz proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DBforPostgreSQL", aby utworzyć niestandardowe zasady w celu alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje wystąpień Azure Database for PostgreSQL i powiązanych zasobów.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: w przypadku aplikacji platformy Azure Virtual Machines lub internetowych działających w Azure App Service używanych do uzyskiwania dostępu do wystąpień Azure Database for PostgreSQL użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć Azure Database for PostgreSQL zarządzanie wpisami tajnymi. Upewnij się, że włączono Key Vault usuwanie nietrwałe.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: serwer Azure Database for PostgreSQL obsługuje uwierzytelnianie usługi Azure Active Directory (Azure AD) w celu uzyskiwania dostępu do baz danych. Podczas tworzenia serwera Azure Database for PostgreSQL należy podać poświadczenia dla użytkownika administratora. Ten administrator może służyć do tworzenia dodatkowych użytkowników bazy danych.

W przypadku aplikacji platformy Azure Virtual Machines lub internetowych działających na Azure App Service używanych do uzyskiwania dostępu do serwera Azure Database for PostgreSQL użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault do przechowywania i pobierania poświadczeń dla serwer Azure Database for PostgreSQL. Upewnij się, że Key Vault usuwanie nietrwałe jest włączone.

Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w Azure AD. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez poświadczeń w kodzie.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików do przekazania do zasobów platformy Azure nieobsadowanych

Wskazówki: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Database for PostgreSQL), ale nie jest uruchamiany w zawartości klienta.

Przeskanuj wstępnie dowolną zawartość przekazywaną do zasobów platformy Azure, takich jak App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL itp. Firma Microsoft nie może uzyskać dostępu do danych w tych wystąpieniach.

Odpowiedzialność: Współużytkowane

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych

Wskazówki: Azure Database for PostgreSQL wykonuje kopie zapasowe plików danych i dziennika transakcji. W zależności od obsługiwanego maksymalnego rozmiaru magazynu tworzymy pełne i różnicowe kopie zapasowe (maksymalnie 4 TB serwerów magazynu) lub kopie zapasowe migawek (maksymalnie 16 TB maksymalnej liczby serwerów magazynu). Te kopie zapasowe umożliwiają przywrócenie serwera do dowolnego punktu w czasie w skonfigurowanym okresie przechowywania kopii zapasowych. Domyślny okres przechowywania kopii zapasowych wynosi siedem dni. Opcjonalnie możesz skonfigurować go maksymalnie 35 dni. Wszystkie kopie zapasowe są szyfrowane za pomocą 256-bitowego szyfrowania AES.

Odpowiedzialność: Współużytkowane

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforPostgreSQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for PostgreSQL Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane nie tylko są przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Azure Database for PostgreSQL automatycznie tworzy kopie zapasowe serwera i przechowuje je w magazynie lokalnie nadmiarowym lub geograficznie nadmiarowym, zgodnie z wyborem użytkownika. Kopie zapasowe mogą być używane do przywracania serwera do punktu w czasie. Tworzenie kopii zapasowych i przywracanie jest istotną częścią strategii ciągłości biznesowej, ponieważ chronią dane przed przypadkowym uszkodzeniem lub usunięciem.

Jeśli używasz usługi Azure Key Vault do przechowywania poświadczeń dla wystąpień Azure Database for PostgreSQL, upewnij się, że regularne automatyczne kopie zapasowe kluczy.

Odpowiedzialność: Współużytkowane

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DBforPostgreSQL:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for PostgreSQL Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane nie tylko są przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówka: W Azure Database for PostgreSQL wykonanie przywracania powoduje utworzenie nowego serwera na podstawie kopii zapasowych oryginalnego serwera. Dostępne są dwa typy przywracania: przywracanie do punktu w czasie i przywracanie geograficzne. Przywracanie do punktu w czasie jest dostępne z opcją nadmiarowości kopii zapasowej i tworzy nowy serwer w tym samym regionie co oryginalny serwer. Przywracanie geograficzne jest dostępne tylko w przypadku skonfigurowania serwera na potrzeby magazynu geograficznie nadmiarowego i umożliwia przywrócenie serwera do innego regionu.

Szacowany czas odzyskiwania zależy od wielu czynników, w tym rozmiaru bazy danych, rozmiaru dziennika transakcji, przepustowości sieci oraz łącznej liczby jednocześnie odzyskiwanych baz danych w tym samym regionie. Odzyskiwanie trwa zwykle mniej niż 12 godzin.

Okresowo testuje przywracanie wystąpień Azure Database for PostgreSQL.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Azure Database for PostgreSQL wykonuje pełne, różnicowe i transakcyjne kopie zapasowe dziennika. Te kopie zapasowe umożliwiają przywrócenie serwera do dowolnego punktu w czasie w skonfigurowanym okresie przechowywania kopii zapasowych. Domyślny okres przechowywania kopii zapasowych wynosi siedem dni. Opcjonalnie możesz skonfigurować go maksymalnie 35 dni. Wszystkie kopie zapasowe są szyfrowane za pomocą 256-bitowego szyfrowania AES.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub metryce użytej do wystawienia alertu, a także na poziomie ufności, na jakim wystąpił złośliwy zamiar działania, które doprowadziły do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dostęp do danych klienta był uzyskiwany przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówka: Postępuj zgodnie z regułami zaangażowania firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Odpowiedzialność: Współużytkowane

Następne kroki