Tworzenie punktu odniesienia usługi Azure SQL Database
Azure SQL Database to oparta na chmurze rodzina relacyjnych baz danych produktów, które obsługują wiele tych samych funkcji oferowanych w programie Microsoft SQL Server. Usługa Azure SQL Database zapewnia łatwe przejście z lokalnej bazy danych do bazy danych opartej na chmurze z wbudowaną diagnostyką, nadmiarowością, zabezpieczeniami i skalowalnością.
Zalecenia dotyczące zabezpieczeń usługi Azure SQL Database
W poniższych sekcjach opisano zalecenia usługi Azure SQL Database, które znajdują się w ciS Microsoft Azure Foundations Security Benchmark v. 1.3.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń.
Włączanie inspekcji — poziom 1
Inspekcja usług Azure SQL Database i Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, w obszarze roboczym usługi Azure Log Analytics lub w usłudze Azure Event Hubs. Ponadto inspekcja:
- Pomaga zachować zgodność z przepisami, zrozumieć aktywność bazy danych i uzyskać wgląd w rozbieżności i anomalie, które mogą powiadomić Cię o problemach biznesowych lub podejrzanych naruszeniach zabezpieczeń.
- Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności.
Aby włączyć inspekcję, dla każdej bazy danych w ramach subskrypcji platformy Azure wykonaj następujące kroki.
Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Bazy danych SQL.
W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Inspekcja.
W okienku Inspekcja włącz opcję Włącz inspekcję usługi Azure SQL, a następnie wybierz co najmniej jedno miejsce docelowe dziennika inspekcji.
Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.
Aby uzyskać więcej informacji na temat inspekcji, zobacz Auditing for Azure SQL Database and Azure Synapse Analytics (Inspekcja dla usług Azure SQL Database i Azure Synapse Analytics).
Włączanie ochrony SQL w Microsoft Defender dla Chmury — poziom 1
Microsoft Defender dla Chmury wykrywa nietypowe działania, które wskazują na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Defender dla Chmury może identyfikować:
- Potencjalne wstrzyknięcie kodu SQL.
- Dostęp z nietypowej lokalizacji lub centrum danych.
- Dostęp z nieznanego podmiotu zabezpieczeń lub potencjalnie szkodliwej aplikacji.
- Wymuszanie poświadczeń SQL.
Dostęp do zagrożeń SQL i zarządzanie nimi można uzyskać w menu Defender dla Chmury.
Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Ustawienia środowiska.
W okienku Plany usługi Defender w obszarze Microsoft Defender dla ustaw wartość Azure SQL Databases na Wł.
Wróć do strony głównej platformy Azure. Wyszukaj i wybierz pozycję Bazy danych SQL.
Dla każdego wystąpienia bazy danych w menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Microsoft Defender dla Chmury. Wyświetlanie zaleceń dotyczących zabezpieczeń, alertów i wyników oceny luk w zabezpieczeniach dla wystąpienia usługi SQL Database.
Konfigurowanie przechowywania danych inspekcji przez ponad 90 dni — poziom 1
Dzienniki inspekcji powinny być zachowywane na potrzeby zabezpieczeń i odnajdywania oraz spełniać wymagania prawne i prawne dotyczące zgodności. Wykonaj następujące kroki dla każdego wystąpienia usługi Azure SQL Database w ramach subskrypcji platformy Azure.
Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Bazy danych SQL.
W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Inspekcja.
Wybierz miejsce docelowe dziennika inspekcji, a następnie rozwiń pozycję Właściwości zaawansowane.
Upewnij się, że okres przechowywania (dni) jest dłuższy niż 90 dni.
Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.
