Punkt odniesienia zabezpieczeń platformy Azure dla obszaru roboczego usługi Synapse Analytics

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do obszaru roboczego usługi Synapse Analytics. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące obszaru roboczego usługi Synapse Analytics.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do obszaru roboczego usługi Synapse Analytics i tych, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak obszar roboczy usługi Synapse Analytics jest całkowicie mapowy na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń obszaru roboczego usługi Synapse Analytics.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: podczas wdrażania zasobów Azure Synapse obszaru roboczego utwórz istniejącą sieć wirtualną lub użyj jej. Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa zgodną z ryzykiem biznesowym. Każdy system, który może stanowić większe ryzyko dla organizacji, powinien być odizolowany w ramach własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub Azure Firewall.

Użyj Azure Security Center adaptacyjnego wzmacniania zabezpieczeń sieci, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP oparte na odwołaniu do zewnętrznych reguł ruchu sieciowego.

Usługa Azure Synapse Analytics udostępnia obszar roboczy zarządzanych Virtual Network. Jest to jednostka SKU obszaru roboczego usługi Synapse skojarzona z Virtual Network zarządzaną przez Azure Synapse. Zarządzane prywatne punkty końcowe można tworzyć tylko w obszarze roboczym, który ma skojarzony Virtual Network zarządzanym obszarem roboczym.

Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja 3-warstwowa) może to być domyślnie wysoce bezpieczna odmowa

Obszar roboczy zarządzanego Virtual Network umożliwia przychodzącym regułom sieciowej grupy zabezpieczeń we własnych sieciach wirtualnych zezwalanie na ruch zarządzania Azure Synapse do wprowadzania Virtual Network. Ponadto nie trzeba tworzyć podsieci dla klastrów Spark na podstawie szczytowego obciążenia.

Użyj usługi Azure Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Niepodpisane powiązania LDAP i słabe szyfry w protokole Kerberos.

Usługa Synapse SQL w usłudze Azure Synapse Analytics umożliwia nawiązywanie połączeń przy użyciu wszystkich wersji protokołu TLS. W usłudze Azure Synapse Analytics nie można ustawić minimalnej wersji protokołu TLS dla usługi Synapse SQL. Inne możliwości usługi Synapse domyślnie używają protokołu TLS 1.2.

Upewnij się, że zapora w sieci i na komputerze lokalnym zezwala na komunikację wychodzącą programu Synapse Studio na portach TCP 80, 443 i 1443. Ponadto należy zezwolić na komunikację wychodzącą na porcie UDP 53 dla Synapse Studio. Aby nawiązać połączenie przy użyciu narzędzi takich jak program SSMS czy usługa Power BI, musisz zezwolić na komunikację wychodzącą na porcie TCP 1433.

Ustawienie zapory w portalu Azure Synapse może zablokować całą łączność sieciową publiczną.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.1.0

NS-2: Łączenie sieci prywatnych

Wskazówki: Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia ExpressRoute nie są realizowane za pośrednictwem publicznego Internetu oraz oferują większą niezawodność i szybkość, a także mniejsze opóźnienia niż typowe połączenia przez Internet. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć lokalne urządzenia lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając łączność prywatną z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówka: Możesz utworzyć zarządzane prywatne punkty końcowe z poziomu obszaru roboczego Azure Synapse w celu uzyskania dostępu do usług platformy Azure (takich jak Azure Storage lub Azure Cosmos DB) i hostowanych przez platformę Azure usług klienta/partnerów.

Użyj Azure Private Link, aby włączyć prywatny dostęp do Azure Synapse Obszaru roboczego z sieci wirtualnych bez przekraczania Internetu.

Dostęp prywatny to dodatkowa ochrona w głębi systemu w zakresie uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.

Istnieją dwa kroki nawiązywania połączenia z Synapse Studio przy użyciu linków prywatnych. Najpierw należy utworzyć zasób centrów łącza prywatnego. Po drugie należy utworzyć prywatny punkt końcowy z sieci wirtualnej platformy Azure do tego centrum łącza prywatnego. Następnie możesz bezpiecznie komunikować się z Synapse Studio przy użyciu prywatnych punktów końcowych. Należy zintegrować prywatne punkty końcowe z rozwiązaniem DNS — rozwiązaniem lokalnym lub usługą Azure Prywatna strefa DNS.

Użyj punktów końcowych usługi Azure Virtual Network, aby zapewnić bezpieczny dostęp do obszaru roboczego Azure Synapse za pośrednictwem zoptymalizowanej trasy przez sieć szkieletową platformy Azure bez przekraczania Internetu.

Dostęp prywatny to dodatkowa ochrona w głębi systemu w zakresie uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy włączyć połączenia prywatnego punktu końcowego w bazie danych Azure SQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z usługą Azure SQL Database. Inspekcja, Wyłączone 1.1.0

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: ochrona zasobów obszaru roboczego Azure Synapse przed atakami z sieci zewnętrznych, w tym atakami typu "rozproszona odmowa usługi", atakami specyficznymi dla aplikacji oraz niepożądanym i potencjalnie złośliwym ruchem internetowym. Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych. Ochrona zasobów przed atakami DDoS przez włączenie standardowej ochrony przed atakami DDoS w sieciach wirtualnych platformy Azure. Użyj Azure Security Center, aby wykryć błędy związane z konfiguracją zagrożeń dla zasobów związanych z siecią.

Azure Synapse Obszar roboczy nie jest przeznaczony do uruchamiania aplikacji internetowych i nie wymaga skonfigurowania żadnych dodatkowych ustawień ani wdrożenia dodatkowych usług sieciowych w celu ochrony jej przed atakami sieciowymi przeznaczonymi dla aplikacji internetowych.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby zapobiec typowym atakom, takich jak zwisające ataki DNS, ataki wzmacniania DNS, zatrucia DNS i fałszowanie itp.

Gdy usługa Azure DNS jest używana jako autorytatywna usługa DNS, upewnij się, że strefy i rekordy DNS są chronione przed przypadkowymi lub złośliwymi modyfikacjami przy użyciu kontroli dostępu opartej na rolach platformy Azure i blokad zasobów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Azure Synapse Workspace używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Należy ustandaryzować Azure AD w celu zarządzania tożsamościami i dostępem w organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), azure Key Vault, PaaS i Aplikacje SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD powinno być wysokim priorytetem w praktyce zabezpieczeń w chmurze w organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Użytkownicy z rolami właściciela lub współautora platformy Azure (RBAC) w grupie zasobów będą mogli zarządzać dedykowanymi pulami SQL, pulami spark i środowiskiem Integration Runtime w usłudze Synapse. Oprócz tego funkcja RBAC usługi Synapse rozszerza możliwości kontroli dostępu opartej na rolach platformy Azure w celu kontrolowania, kto może odczytywać lub publikować artefakty kodu, wykonywać kod, uzyskiwać dostęp do połączonych usług oraz monitorować lub anulować wykonywanie zadania.

Azure AD uwierzytelnianie używa zawartych użytkowników bazy danych lub użytkowników na poziomie puli do uwierzytelniania tożsamości na poziomie bazy danych dla pul SQL w usłudze Azure Synapse Analytics. Usługa Synapse obsługuje również uwierzytelnianie SQL dla pul SQL. W przypadku tej metody uwierzytelniania użytkownik przesyła nazwę konta użytkownika i skojarzone hasło w celu nawiązania połączenia. To hasło jest przechowywane w bazie danych master dla kont użytkowników połączonych z nazwą logowania lub przechowywane w bazie danych zawierającej konta użytkowników, które nie są połączone z nazwą logowania.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie Azure AD. Azure AD uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usług firmy Microsoft AuditIfNotExists, Disabled 1.0.0

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: Azure Synapse Workspace obsługuje tożsamości zarządzane dla swoich zasobów platformy Azure. Użyj tożsamości zarządzanych z obszarem roboczym Azure Synapse zamiast tworzyć jednostki usługi w celu uzyskania dostępu do innych zasobów. Azure Synapse Obszar roboczy może natywnie uwierzytelniać się w usługach/zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD za pomocą wstępnie zdefiniowanej reguły udzielania dostępu bez użycia poświadczeń zakodowanych w kodzie źródłowym lub plikach konfiguracji.

Azure Synapse Analytics używa tożsamości zarządzanej do integracji potoków.

Azure Synapse Workspace zaleca użycie Azure AD do utworzenia jednostki usługi z ograniczonymi uprawnieniami na poziomie zasobu w celu skonfigurowania jednostek usługi przy użyciu poświadczeń certyfikatu i powrotu do wpisów tajnych klienta. W obu przypadkach usługa Azure Key Vault może służyć do połączenia z tożsamościami zarządzanymi przez platformę Azure, aby środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.

usługa Azure Synapse Analytics obsługuje klucze zarządzane przez klienta (CMK) na potrzeby szyfrowania. To szyfrowanie używa kluczy generowanych w usłudze Azure Key Vault.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: obszar roboczy Azure Synapse używa usługi Azure Active Directory do zapewnienia zarządzania tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Dzięki temu logowanie jednokrotne umożliwia zarządzanie i zabezpieczanie dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: usługa Azure Synapse Analytics może zezwalać klientom na wdrażanie lub uruchamianie następujących jednostek, które mogą mieć tożsamości lub wpisy tajne:

  • Kod
  • Konfiguracje
  • Utrwalone dane

Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w ramach tych jednostek. Skaner poświadczeń zachęci również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak azure Key Vault. W przypadku usługi GitHub użyj natywnej funkcji skanowania wpisów tajnych. Ta funkcja identyfikuje poświadczenia lub inne formy wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Najważniejsze role wbudowane dla Azure AD są administratorem globalnym i administratorem ról uprzywilejowanych, ponieważ użytkownicy przypisani do tych dwóch ról mogą delegować role administratora:

  • Administrator globalny/administrator firmy: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure AD, a także usług korzystających z tożsamości Azure AD.
  • Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure AD, a także w Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.

Uwaga: Jeśli używasz ról niestandardowych z przypisanymi określonymi uprawnieniami uprzywilejowanymi, może istnieć inne role krytyczne, które muszą być zarządzane. Możesz również zastosować podobne mechanizmy kontroli do konta administratora krytycznych zasobów biznesowych.

Należy ograniczyć liczbę kont lub ról z wysokim poziomem uprawnień i chronić te konta na podwyższonym poziomie. Użytkownicy z tym uprawnieniem mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu Azure AD PIM. Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.

Azure Synapse obszar roboczy ma te konta z wysokimi uprawnieniami:

  • Właściciel platformy Azure w grupie zasobów
  • Współautor platformy Azure w grupie zasobów
  • Współautor danych obiektu blob usługi Storage w kontenerze magazynu usługi ADLS g2 skojarzonym z usługą Synapse
  • Synapse Administrator
  • Synapse SQL Administrator
  • Synapse Spark Administrator

Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.

Podczas pierwszego tworzenia obszaru roboczego Azure Synapse możesz określić identyfikator logowania administratora i hasło dla pul SQL w obszarze roboczym usługi Synapse. To konto administracyjne nosi nazwę Administrator serwera. Konto administratora serwera dla usługi Synapse można zidentyfikować, otwierając Azure Portal i przechodząc do karty przeglądu obszaru roboczego usługi Synapse. Możesz również skonfigurować konto administratora Azure AD z pełnymi uprawnieniami administracyjnymi. Jest to wymagane, jeśli chcesz włączyć uwierzytelnianie usługi Azure Active Directory.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: obszar roboczy Azure Synapse używa kont usługi Azure Active Directory (Azure AD) do zarządzania zasobami, regularnego przeglądania kont użytkowników i przypisań dostępu w celu zapewnienia, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD i przeglądów dostępu do przeglądania członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management (PIM), aby utworzyć przepływy pracy przeglądu dostępu w celu ułatwienia procesu przeglądu.

Ponadto Azure AD pim można również skonfigurować tak, aby otrzymywać alerty o nadmiernej liczbie kont administratorów oraz identyfikować konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Musisz oddzielnie zarządzać tymi użytkownikami.

Azure Synapse obszary robocze wymagają od użytkowników ról właściciela platformy Azure lub współautora platformy Azure w grupie zasobów w celu kontrolowania zarządzania dedykowanymi pulami SQL, pulami platformy Spark i środowiskami Integration Runtime. Oprócz tego użytkownicy i tożsamość systemu obszaru roboczego muszą mieć dostęp współautora danych obiektu blob usługi Storage do kontenera magazynu usługi ADLS Gen2 skojarzonego z obszarem roboczym usługi Synapse. W przypadku korzystania z uwierzytelniania SQL utwórz użytkowników zawartej bazy danych w pulach SQL. Upewnij się, że co najmniej jeden użytkownik bazy danych jest umieszczany w niestandardowej roli bazy danych z określonymi uprawnieniami odpowiednimi dla tej grupy użytkowników.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze są niezwykle ważne dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej. Do wykonywania zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa i/lub usługi Azure Bastion. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze można centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu logicznego i sieciowego.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Azure Synapse Obszar roboczy jest zintegrowany z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane role wbudowane dla niektórych zasobów, a te role można spisać lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) Azure AD Privileged Identity Management (PIM) i należy je okresowo przeglądać.

Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe, jeśli jest to wymagane.

Azure Synapse Analytics wymaga od użytkowników ról właściciela platformy Azure lub współautora platformy Azure w grupie zasobów w celu kontrolowania zarządzania dedykowanymi pulami SQL, pulami platformy Spark i środowiskami Integration Runtime. Oprócz tego użytkownicy i tożsamość systemu obszaru roboczego muszą mieć dostęp współautora danych obiektu blob usługi Storage do kontenera magazynu usługi ADLS Gen2 skojarzonego z obszarem roboczym usługi Synapse.

Podczas pierwszego tworzenia obszaru roboczego Azure Synapse możesz określić identyfikator logowania administratora i hasło dla pul SQL w obszarze roboczym usługi Synapse. To konto administracyjne nosi nazwę Administrator serwera. Konto administratora serwera dla usługi Synapse można zidentyfikować, otwierając Azure Portal i przechodząc do karty przeglądu obszaru roboczego usługi Synapse. Możesz również skonfigurować konto administratora Azure AD z pełnymi uprawnieniami administracyjnymi. Jest to wymagane, jeśli chcesz włączyć uwierzytelnianie usługi Azure Active Directory

Odpowiedzialność: Klient

PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft

Wskazówki: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, Azure Synapse Workspace obsługuje skrytki klienta w celu udostępnienia interfejsu umożliwiającego przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych klienta.

W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych związanych z SQL Database w dedykowanej puli SQL, usługa Azure Customer Lockbox udostępnia interfejs umożliwiający przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie danych poufnych

Wskazówki: odnajdywanie i klasyfikacja danych jest wbudowane w Azure SQL i obsługuje następujące możliwości: Odnajdywanie i zalecenia — aparat klasyfikacji skanuje bazę danych i identyfikuje kolumny, które zawierają potencjalnie poufne dane. Następnie zapewnia łatwy sposób przeglądania i stosowania zalecanej klasyfikacji za pośrednictwem Azure Portal.

Etykietowanie — etykiety klasyfikacji poufności można trwale stosować do kolumn przy użyciu nowych atrybutów metadanych, które zostały dodane do aparatu bazy danych SQL Server. Te metadane mogą być następnie używane w scenariuszach inspekcji i ochrony opartych na poufności.

Czułość zestawu wyników zapytania — ważność zestawu wyników zapytania jest obliczana w czasie rzeczywistym na potrzeby inspekcji.

Widoczność — stan klasyfikacji bazy danych można wyświetlić na szczegółowym pulpicie nawigacyjnym w Azure Portal. Ponadto możesz pobrać raport w formacie programu Excel, aby był używany do celów zgodności i inspekcji oraz innych potrzeb.

Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych w celu zaprojektowania odpowiednich mechanizmów kontroli w celu zapewnienia, że poufne informacje są przechowywane, przetwarzane i przesyłane bezpiecznie przez systemy technologiczne organizacji.

Użyj usługi Azure Information Protection (i skojarzonego z nią narzędzia do skanowania) w celu uzyskania poufnych informacji w dokumentach pakietu Office na platformie Azure, lokalnie, platformie Microsoft 365 i innych lokalizacjach.

Usługa Azure SQL Information Protection może pomóc w klasyfikacji i etykietowaniu informacji przechowywanych w bazach danych Azure SQL Database.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Poufne dane w bazach danych SQL powinny być klasyfikowane Usługa Microsoft Defender for Cloud monitoruje wyniki odnajdywania i klasyfikacji danych dla baz danych SQL oraz udostępnia zalecenia dotyczące klasyfikowania poufnych danych w bazach danych w celu lepszego monitorowania i zabezpieczeń AuditIfNotExists, Disabled 3.0.0-preview

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W przypadku podstawowej platformy (zarządzanej przez firmę Microsoft) firma Microsoft traktuje całą zawartość klienta jako poufne i chroni przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

usługa Azure Synapse Analytics oferuje podwójne szyfrowanie przy użyciu klucza zarządzanego przez klienta dla danych w pulach SQL, pulach spark i Azure Data Factory środowiskach Integration Runtime, potokach i zestawach danych.

Użyj Azure Synapse funkcji odnajdywania i klasyfikacji danych SQL. Ponadto można skonfigurować zasady dynamicznego maskowania danych (DDM) w Azure Portal. Aparat rekomendacji DDM flaguje niektóre pola z bazy danych jako potencjalnie poufne pola, które mogą być dobrymi kandydatami do maskowania.

Funkcja Transparent Data Encryption (TDE) pomaga chronić dane w dedykowanych pulach SQL usługi Synapse przed zagrożeniem złośliwym działaniem offline przez szyfrowanie danych magazynowanych. Ta technologia w czasie rzeczywistym szyfruje i odszyfrowuje magazynowaną bazę danych, skojarzone kopie zapasowe i pliki dzienników transakcji bez konieczności dokonywania jakichkolwiek zmian w aplikacji.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdej SQL Managed Instance bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Funkcja Transparent Data Encryption w bazach danych SQL powinna być włączona Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: Azure Synapse Obszar roboczy obsługuje przesyłanie danych klienta, ale nie obsługuje monitorowania nieautoryzowanego transferu poufnych danych natywnie.

Usługa Azure Storage Advanced Threat Protection (ATP) i usługa Azure SQL ATP mogą generować alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery informacji poufnych.

Jeśli jest to wymagane do zapewnienia zgodności pod kątem ochrony przed utratą danych (DLP), można użyć rozwiązania DLP opartego na hoście, aby wymusić wykrywające i/lub prewencyjne mechanizmy kontrolne w celu zapobiegania eksfiltracji danych.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdej SQL Managed Instance bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, dane przesyłane powinny być chronione przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Azure Synapse Workspace obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej.

Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, Azure Synapse Obszar roboczy szyfruje dane magazynowane w celu ochrony przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do bazowego magazynu) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych dostępne są opcje implementowania dodatkowego szyfrowania magazynowanych na wszystkich zasobach platformy Azure. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale platforma Azure udostępnia również opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure w celu spełnienia wymagań prawnych.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. AuditIfNotExists, Disabled 1.0.2
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. AuditIfNotExists, Disabled 2.0.1
Funkcja Transparent Data Encryption w bazach danych SQL powinna być włączona Funkcja Transparent Data Encryption powinna być włączona w celu ochrony danych magazynowanych i spełnienia wymagań dotyczących zgodności AuditIfNotExists, Disabled 2.0.0

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

ZZ-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z zasobami

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia czytelnika zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby umożliwić im monitorowanie zagrożeń bezpieczeństwa przy użyciu usługi Azure Security Center.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure, takiego jak obszar roboczy Azure Synapse. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń. Utwórz grupę usługi Azure Active Directory (Azure AD), aby zawierała autoryzowany zespół ds. zabezpieczeń w organizacji i przypisz im dostęp do odczytu do wszystkich zasobów obszaru roboczego Azure Synapse, co można uprościć przez pojedyncze przypisanie roli wysokiego poziomu w ramach subskrypcji.

Stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o oprogramowaniu na Virtual Machines. Nazwa oprogramowania, Wersja, Wydawca i Czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Azure Synapse Obszar roboczy nie zezwala na uruchamianie aplikacji ani instalowanie oprogramowania w jej zasobach.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzać inspekcję i ograniczać usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Współużytkowane

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: skorzystaj z wbudowanej funkcji wykrywania zagrożeń Azure Security Center i włącz usługę Azure Defender (dawniej Azure Advanced Threat Protection) dla zasobów obszaru roboczego Azure Synapse. Usługa Azure Defender for Azure Synapse Workspace zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów obszaru roboczego Azure Synapse lub wykorzystania ich.

Przekaż wszystkie dzienniki z Azure Synapse do usługi Azure Sentinel, która może służyć do konfigurowania niestandardowych wykryć zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdej SQL Managed Instance bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Azure Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Przykłady dzienników inspekcji obejmują zmiany wprowadzone w dowolnych zasobach w Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Azure Security Center mogą również wyzwalać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia lub przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł Azure Security Center Threat Protection może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja umożliwia widoczność anomalii konta wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdej SQL Managed Instance bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badania zdarzeń, wyszukiwania zagrożeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu w celu uzyskania szczegółowych informacji.

Azure Synapse Obszar roboczy rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klienta. Włączanie możliwości przepływu sieciowego w ramach wdrożonych zasobów oferty

Podczas nawiązywania połączenia z dedykowaną pulą SQL i włączono dzienniki przepływu sieciowej grupy zabezpieczeń (NSG), dzienniki są wysyłane do konta usługi Azure Storage na potrzeby inspekcji ruchu.

Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i korzystać z analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Upewnij się, że zbierasz dzienniki zapytań DNS, aby pomóc w korelowaniu innych danych sieciowych. Zaimplementuj rozwiązanie innej firmy z Azure Marketplace na potrzeby rejestrowania DNS zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności, które są automatycznie dostępne, zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów obszaru roboczego Azure Synapse z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu modyfikowania zasobu przez użytkownika w organizacji.

Włącz dzienniki zasobów platformy Azure dla obszaru roboczego Azure Synapse. Za pomocą Azure Security Center i Azure Policy można włączyć zbieranie dzienników zasobów i danych dziennika. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Usługa Azure Monitor udostępnia metryki infrastruktury na poziomie podstawowym, alerty i dzienniki dla większości usług platformy Azure. Dzienniki diagnostyczne platformy Azure są emitowane przez zasób i zapewniają bogate, częste dane dotyczące działania tego zasobu. Azure Synapse Analytics może zapisywać dzienniki diagnostyczne w usłudze Azure Monitor. W szczególności rejestruje operacje usługi Synapse RABC.

Azure Synapse Workspace tworzy również dzienniki inspekcji zabezpieczeń dla lokalnych kont administrowania. Włącz te dzienniki inspekcji administratora lokalnego

Inspekcja usługi Azure SQL Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs. Te dzienniki inspekcji pomagają zachować zgodność z przepisami, zrozumieć aktywność bazy danych i uzyskać wgląd w rozbieżności i anomalie, które mogą wskazywać na obawy biznesowe lub podejrzane naruszenia zabezpieczeń.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Inspekcja na serwerze SQL powinna być włączona Inspekcja na SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Scentralizowane rejestrowanie magazynu i analizy w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Ponadto włącz i dołącz dane do usługi Azure Sentinel lub rozwiązania SIEM innej firmy.

Wiele organizacji decyduje się używać usługi Azure Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla danych "zimnych" używanych rzadziej.

W przypadku aplikacji, które mogą działać w obszarze roboczym Azure Synapse, przekaż wszystkie dzienniki związane z zabezpieczeniami do rozwiązania SIEM w celu scentralizowanego zarządzania.

Inspekcja usługi Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs. Te dzienniki inspekcji pomagają zachować zgodność z przepisami, zrozumieć aktywność bazy danych i uzyskać wgląd w rozbieżności i anomalie, które mogą wskazywać na obawy biznesowe lub podejrzane naruszenia zabezpieczeń.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: Upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników obszaru roboczego Azure Synapse mają ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

Inspekcja usługi Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs. Te dzienniki inspekcji pomagają zachować zgodność z przepisami, zrozumieć aktywność bazy danych i uzyskać wgląd w rozbieżności i anomalie, które mogą wskazywać na obawy biznesowe lub podejrzane naruszenia zabezpieczeń.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji SQL Server do miejsca docelowego konta magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane do zapewnienia zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 3.0.0

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówka: Firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku maszyn wirtualnych należy użyć domyślnego serwera protokołu czasu sieciowego (NTP) firmy Microsoft na potrzeby synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz wstać na własnym serwerze NTP, upewnij się, że zabezpieczysz port usługi UDP 123.

Wszystkie dzienniki generowane przez zasoby na platformie Azure udostępniają sygnatury czasowe ze strefą czasową określoną domyślnie.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Usługi Azure Blueprints można używać do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resources Manager, kontrolek RBAC platformy Azure i zasad, w jednej definicji strategii.

SQL Server należy użyć punktu końcowego usługi sieci wirtualnej.

Usługi Azure Blueprints można używać do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resources Manager, kontrolek RBAC platformy Azure i zasad, w jednej definicji strategii.

Oprócz Azure Security Center mechanizmów kontroli opartych na usłudze Synapse Analytics istnieje wiele zasad zabezpieczeń specyficznych dla oferty. Na przykład można zabezpieczyć serwer Azure SQL w sieci wirtualnej za pośrednictwem Private Link; monitorować i rejestrować konfigurację i ruch sieci wirtualnych, podsieci i interfejsów sieciowych przy użyciu dzienników przepływu sieciowej grupy zabezpieczeń i analizy ruchu; odrzucać komunikację ze znanymi złośliwymi adresami IP przy użyciu usługi Advanced Threat Protection (ATP).

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Użyj Azure Security Center, aby monitorować konfigurację odniesienia i wymuszać używanie Azure Policy [odmów] i [wdrażanie, jeśli nie istnieje], aby wymusić bezpieczną konfigurację zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych.

Zdefiniuj zasady inspekcji SQL dla określonej bazy danych. Lub zdefiniuj je jako domyślne zasady serwera na platformie Azure (które hostują dedykowane pule SQL). Domyślne zasady inspekcji obejmują wszystkie akcje i zestaw grup akcji. Akcje i grupy akcji będą poddawane inspekcji:

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówka: Użyj Azure Security Center i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują obszar roboczy Azure Synapse.

Odpowiedzialność: Microsoft

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Sql:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Bazy danych SQL powinny mieć usunięte wyniki luk w zabezpieczeniach Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 4.0.0
Ocena luk w zabezpieczeniach powinna być włączona w SQL Managed Instance Przeprowadź inspekcję każdej SQL Managed Instance, która nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach umożliwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL Przeprowadź inspekcję serwerów Azure SQL, które nie mają włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach umożliwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 2.0.0

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm. Możesz też użyć programu System Center Aktualizacje Publisher dla Configuration Manager. Azure Synapse Analytics nie używa ani nie wymaga żadnego oprogramowania innej firmy.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Klient

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: Chroń obszar roboczy Azure Synapse lub jego zasoby za pomocą zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem.

  • Użyj centralnie zarządzanego rozwiązania chroniącego przed złośliwym oprogramowaniem, które umożliwia skanowanie w czasie rzeczywistym i okresowe.

  • Azure Security Center może automatycznie identyfikować użycie kilku popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla maszyn wirtualnych, zgłaszać stan działania ochrony punktu końcowego, a następnie przedstawiać zalecenia.

  • Microsoft Antimalware dla usługi Azure Cloud Services to domyślna ochrona przed złośliwym oprogramowaniem dla maszyn wirtualnych z systemem Windows. W przypadku maszyn wirtualnych z systemem Linux użyj rozwiązania chroniącego przed złośliwym oprogramowaniem innej firmy. Do wykrywania złośliwego oprogramowania przekazanego na konta usługi Azure Storage można użyć funkcji wykrywania zagrożeń Azure Security Center dla usług danych.

  • Jak skonfigurować Microsoft Antimalware dla Cloud Services i Virtual Machines

  • Obsługiwane rozwiązania ochrony punktu końcowego

Odpowiedzialność: Klient

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: Nie dotyczy; Azure Synapse Obszar roboczy nie składa się z żadnych maszyn wirtualnych ani kontenerów, które wymagają ochrony przed wykrywaniem i reagowaniem (EDR).

Odpowiedzialność: Microsoft

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: Migawki dedykowanych pul SQL usługi Synapse są automatycznie wykonywane przez cały dzień, tworząc punkty przywracania, które są dostępne przez siedem dni. Nie można zmienić tego okresu przechowywania. Dedykowane pule SQL obsługują ośmiogodzinny cel punktu odzyskiwania (RPO). Możesz przywrócić pulę SQL w regionie podstawowym z dowolnego z migawek wykonanych w ciągu ostatnich siedmiu dni. Należy pamiętać, że w razie potrzeby można również ręcznie wyzwalać migawki. Jeśli używasz klucza zarządzanego przez klienta do szyfrowania klucza szyfrowania bazy danych, upewnij się, że klucz jest kopii zapasowej.

Odpowiedzialność: Współużytkowane

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Migawki dedykowanych pul SQL usługi Synapse są automatycznie wykonywane przez cały dzień, tworząc punkty przywracania, które są dostępne przez siedem dni. Nie można zmienić tego okresu przechowywania. Dedykowane pule SQL obsługują ośmiogodzinny cel punktu odzyskiwania (RPO). Możesz przywrócić pulę SQL w regionie podstawowym z dowolnego z migawek wykonanych w ciągu ostatnich siedmiu dni. Należy pamiętać, że w razie potrzeby można również ręcznie wyzwalać migawki. Jeśli używasz klucza zarządzanego przez klienta do szyfrowania klucza szyfrowania bazy danych, upewnij się, że klucz jest kopii zapasowej.

Odpowiedzialność: Klient

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Migawki dedykowanej puli SQL są automatycznie wykonywane przez cały dzień, tworząc punkty przywracania, które są dostępne przez siedem dni. Nie można zmienić tego okresu przechowywania. Dedykowana pula SQL obsługuje ośmiogodzinny cel punktu odzyskiwania (RPO). Magazyn danych można przywrócić w regionie podstawowym z dowolnego z migawek wykonanych w ciągu ostatnich siedmiu dni. Należy pamiętać, że w razie potrzeby można również ręcznie wyzwalać migawki.

Okresowo upewnij się, że można przywrócić kopie zapasowe kluczy zarządzanych przez klienta.

Usługa Synapse obsługuje klucze zarządzane przez klienta (CMK) na potrzeby szyfrowania. To szyfrowanie używa kluczy generowanych w usłudze Azure Key Vault.

Odpowiedzialność: Współużytkowane

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Współużytkowane

Następne kroki