Базовый план безопасности Azure для Базы данных Azure для MariaDB

В этом базовом плане безопасности применены рекомендации из Azure Security Benchmark версии 1.0 к Базе данных Azure для MariaDB. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к Базе данных Azure для MariaDB.

Эти базовые показатели безопасности и рекомендации можно отслеживать с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если в разделе есть соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые неприменимы к Базе данных Azure для MariaDB или за которые несет ответственность корпорация Майкрософт, исключены. Сведения о том, как База данных Azure для MariaDB полностью сопоставляется с Azure Security Benchmark, см. в файле полного сопоставления базовой конфигурации безопасности Базы данных Azure для MariaDB.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Инструкции. Настройте Приватный канал для Базы данных Azure для MariaDB с частными конечными точками. Приватный канал позволяет подключаться к различным службам PaaS в Azure через частную конечную точку. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Трафик между виртуальной сетью и экземпляром MariaDB проходит через магистральную сеть Майкрософт.

Кроме того, вы можете использовать конечные точки службы для виртуальной сети для защиты и ограничения сетевого доступа к реализациям Базы данных Azure для MariaDB. Правила виртуальной сети — это одна из функций безопасности брандмауэра, которая регулирует, может ли База данных Azure для MariaDB принимать подключения из определенных подсетей в виртуальных сетях.

Вы можете обезопасить Базу данных Azure для MariaDB правилами брандмауэра. Брандмауэр сервера запрещает любой доступ к серверу базы данных, пока вы не укажете компьютеры, у которых есть разрешение на доступ. Для настройки брандмауэра можно создать правила брандмауэра, которые указывают диапазон допустимых IP-адресов. Правила брандмауэра можно создавать на уровне сервера.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMariaDB:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2

1.2. Мониторинг и ведение журнала конфигурации и трафика виртуальных сетей, подсетей и сетевых интерфейсов

Инструкции. Если сервер Базы данных Azure для MariaDB защищен частной конечной точкой, вы можете развернуть виртуальные машины в той же виртуальной сети. Чтобы снизить риск утечки данных, можно использовать группу безопасности сети (NSG). Включите журналы потоков NSG и отправьте журналы в учетную запись хранения для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Инструкции. Используйте Расширенную защиту от угроз для Базы данных Azure для MariaDB. Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Включите стандарт "Защита от атак DDoS" в виртуальных сетях, связанных с экземплярами Базы данных Azure для MariaDB, чтобы защититься от атак типа "отказ в обслуживании". Используйте интегрированную аналитику угроз Microsoft Defender для облака, чтобы заблокировать обмен данными с известными вредоносными или неиспользуемыми IP-адресами в Интернете.

Ответственность: Customer

1.5. Запись сетевых пакетов

Инструкции. Если сервер Базы данных Azure для MariaDB защищен частной конечной точкой, вы можете развернуть виртуальные машины в той же виртуальной сети. Чтобы снизить риск утечки данных, можно настроить группу безопасности сети (NSG). Включите журналы потоков NSG и отправьте журналы в учетную запись хранения для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Инструкции. Используйте Расширенную защиту от угроз для Базы данных Azure для MariaDB. Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Инструкции. Для ресурсов, которым требуется доступ к экземплярам Базы данных Azure для MariaDB, используйте теги службы виртуальной сети для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, SQL.WestUs) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

База данных Azure для MariaDB использует тег службы "Microsoft.Sql".

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Инструкции. Определите и реализуйте стандартные конфигурации безопасности для сетевых настроек и сетевых ресурсов, связанных с вашими экземплярами Базы данных Azure для MariaDB, с помощью Политики Azure. Используйте псевдонимы Политики Azure в пространствах имен Microsoft.DBforMariaDB и Microsoft.Network для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Базы данных Azure для MariaDB. Вы также можете использовать встроенные определения политик, связанные с сетью, или экземпляры Базы данных Azure для MariaDB, например:

  • Стандарт Защиты от атак DDoS должен быть включен.

  • Для серверов MariaDB необходимо включить частную конечную точку.

  • Сервер MariaDB должен использовать конечную точку службы виртуальной сети.

Справочная документация:

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Инструкции. Используйте теги для ресурсов, связанных с сетевой безопасностью и потоком трафика, для экземпляров MariaDB, чтобы предоставить метаданные и логическую организацию.

Используйте любые встроенные определения Политики Azure, связанные с расстановкой тегов, например "требование тега и его значения, чтобы все ресурсы создавались с тегами, а вам отправлялись уведомления о существующих ресурсах без тегов.

Вы можете использовать Azure PowerShell или Azure CLI для поиска или выполнения действий с ресурсами на основе их тегов.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Инструкции. Используйте журнал действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений в сетевых ресурсах, связанных с экземплярами Базы данных Azure для MariaDB. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.2. Настройка централизованного управления журналами безопасности

Инструкции. Включите параметры диагностики и журналы сервера и примите журналы для агрегирования данных безопасности, создаваемых экземплярами Базы данных Azure для MariaDB. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа, а учетные записи хранения Azure — для долгосрочного и архивного хранения. Вы также можете активировать Microsoft Sentinel или стороннюю систему управления информационной безопасностью и событиями безопасности (SIEM) и подключить к ним данные.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Инструкции. Включите параметры диагностики в экземплярах Базы данных Azure для MariaDB для доступа к журналам аудита, безопасности и диагностики. Убедитесь, что вы включили именно журнал аудита MariaDB. Автоматически доступны журналы действий, включающие источник событий, дату, пользователя, метку времени, исходные адреса, адреса назначения и другие полезные элементы. Вы также можете включить параметры диагностики журнала действий Azure и отправить журналы в ту же рабочую область Log Analytics или учетную запись хранения.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Инструкции. В Azure Monitor для рабочей области Log Analytics, используемой для хранения журналов Базы данных Azure для MariaDB, задайте срок хранения согласно нормативным требованиям вашей организации. Используйте учетные записи хранения Azure для долгосрочного и архивного хранения.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Инструкции. Анализируйте и отслеживайте журналы экземпляров MariaDB на предмет аномального поведения. Используйте рабочую область Log Analytics в Azure Monitor для просмотра журналов и выполнения запросов к данным журнала. Вы также можете активировать Microsoft Sentinel или стороннюю систему управления информационной безопасностью и событиями безопасности (SIEM) и подключить к ним данные.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Инструкции. Включите Расширенную защиту от угроз для MariaDB. Расширенная защита от угроз для Базы данных Azure для MariaDB позволяет выявлять подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Кроме того, вы можете включить журналы сервера и параметры диагностики для MariaDB и отправить журналы в рабочую область Log Analytics. Подключите свою рабочую область Log Analytics к решению Microsoft Sentinel, обеспечивающему оркестрацию безопасности и автоматическое реагирование (SOAR). Это позволяет создавать и использовать сборники схем (автоматизированные решения) для устранения проблем безопасности.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Инструкции. Настройте данные инвентаризации учетных записей пользователей, имеющих административный доступ к плоскости управления (портал Azure / Azure Resource Manager) для экземпляров MariaDB. Кроме того, ведите данные инвентаризации учетных записей администраторов, имеющих доступ к плоскости данных для экземпляров MariaDB. (При создании сервера MariaDB вы предоставляете учетные данные для пользователя администратора. Этот администратор может использоваться для создания дополнительных пользователей MariaDB.)

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Инструкции. В Azure Active Directory (AAD) отсутствует понятие пароля по умолчанию.

После создания самого ресурса Базы данных Azure для MariaDB Azure требует создать пользователя с правами администратора с надежным паролем. Однако после создания экземпляра MariaDB можно использовать учетную запись первого администратора сервера, предназначенную для создания дополнительных пользователей и предоставления им административного доступа. При создании этих учетных записей убедитесь, что для каждой учетной записи настроен отличающийся надежный пароль.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Инструкции. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей, имеющих доступ к экземпляру MariaDB. Используйте управление идентификацией и доступом в Microsoft Defender для облака, чтобы вести мониторинг числа учетных записей администратора.

Ответственность: Customer

3.4. Использование единого входа Azure Active Directory

Инструкции. Доступ к плоскости данных MariaDB осуществляется с помощью удостоверений, хранящихся в базе данных, и не поддерживает единый вход. Доступ к уровню управления для MariaDB доступен через REST API и поддерживает единый вход. Чтобы выполнить проверку подлинности, задайте JSON Web Token, полученный из Azure Active Directory (AAD), в качестве заголовка авторизации.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование защищенных рабочих станций, управляемых Azure, для административных задач

Руководство. Используйте рабочие станции привилегированного доступа (PAW) с настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Инструкции. Включите Расширенную защиту от угроз для MariaDB, создающую оповещения при возникновении подозрительных действий.

Кроме того, вы можете использовать управление привилегированными пользователями (PIM) в Azure Active Directory (Azure AD) для создания журналов и оповещений при возникновении подозрительных или небезопасных действий в среде. Используйте обнаружение рисков Azure AD для просмотра предупреждений и отчетов об опасном поведении пользователя.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Инструкции. Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов, ограничив доступ к ресурсам Azure (например, MariaDB).

Ответственность: Customer

3.9. Использование Azure Active Directory

Руководство. Используйте Azure Active Directory (Azure AD) как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

Проверку подлинности Azure AD нельзя использовать для прямого доступа к плоскости данных MariaDB. Однако учетные данные Azure AD можно использовать для администрирования на уровне плоскости управления (например, портала Azure) для управления учетными записями администратора MariaDB.

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Инструкции. Проверьте журналы Azure Active Directory (Azure AD), чтобы выявить устаревшие учетные записи, которые могут включать роли администраторов MariaDB. Кроме того, используйте проверки доступа для идентификации Azure, чтобы эффективно управлять членством в группах, доступом к корпоративным приложениям, которые могут использоваться для доступа к MariaDB и назначения ролей. Доступ пользователей следует проверять регулярно, например раз в 90 дней, чтобы только у авторизованных пользователей был постоянный доступ.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Инструкции. Включите параметры диагностики для MariaDB и Azure Active Directory, чтобы все журналы отправлялись в рабочую область Log Analytics. Настройте необходимые оповещения (например, неудачные попытки проверки подлинности) в рабочей области Log Analytics.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Инструкции. Включите Расширенную защиту от угроз для MariaDB. Расширенная защита от угроз для Базы данных Azure для MariaDB позволяет выявлять подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Используйте защиту идентификации Azure Active Directory (Azure AD) и функции обнаружения риска, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий. Вы можете включить автоматическое реагирование в Microsoft Sentinel, чтобы отвечать на угрозы безопасности в соответствии с требованиями организации.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Инструкции. Используйте теги для пометки экземпляров Базы данных Azure для MariaDB или связанных ресурсов, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Руководство: Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства. Используйте сочетание Приватного канала, конечных точек службы и (или) правил брандмауэра, чтобы изолировать и ограничить сетевой доступ к экземплярам для MariaDB.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Инструкции. При использовании виртуальных машин Azure для доступа к экземплярам MariaDB используйте Приватный канал, конфигурации сети MariaDB, группы безопасности сети и теги службы, чтобы снизить вероятность возможной кражи данных.

Корпорация Майкрософт управляет базовой инфраструктурой MariaDB, в которой реализованы надежные элементы управления для предотвращения потери или раскрытия данных клиента.

Ответственность: Customer

4.4. Шифрование любой конфиденциальной информации при передаче

Инструкции. База данных Azure для MariaDB поддерживает подключение сервера Базы данных Azure для MariaDB к клиентским приложениям с помощью протокола TLS, ранее известного как SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. На портале Azure убедитесь, что по умолчанию включено Принудительно использовать SSL-соединение для всех экземпляров MariaDB.

Ответственность: Совмещаемая блокировка

4.5: Использование средства активного обнаружения для распознавания конфиденциальных данных

Инструкции. Функции идентификации, классификации и предотвращения потери данных пока недоступны для Базы данных Azure для MariaDB. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.6. Управление доступом к ресурсам на основе ролей

Инструкции. Используйте управление доступом на основе ролей Azure для регулирования доступа к плоскости управления Базы данных Azure для MariaDB (портал Azure или Azure Resource Manager). Для доступа к уровню данных (в самой базе данных) используйте SQL-запросы для создания пользователей и настройки разрешений пользователей.

Ответственность: Customer

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Инструкции. Используйте Azure Monitor с журналом действий Azure для создания оповещений об изменениях на коммерческих экземплярах Базы данных Azure для MariaDB и других важных и связанных с ними ресурсах.

Ответственность: Customer

Управление уязвимостями

Дополнительные сведения см. в статье Azure Security Benchmark: управление уязвимостями.

5.1. Выполнение автоматизированных средств анализа уязвимостей

Инструкции. Сейчас недоступно. Microsoft Defender для облака пока не поддерживает оценку уязвимостей для сервера Базы данных Azure для MariaDB.

Ответственность: Customer

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Инструкции. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (включая сервер Базы данных Azure для MariaDB) в ваших подписках. Убедитесь, что у вас есть соответствующие разрешения (на чтение) в клиенте и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Ответственность: Customer

6.2. Ведение метаданных активов

Инструкции. Примените теги к серверу Базы данных Azure для MariaDB и другим связанным ресурсам, предоставив метаданные для логической организации их в таксономию.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Инструкции. При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочить и отслеживать сервер Базы данных Azure для MariaDB и связанные ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Ответственность: Customer

6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure

Рекомендации. Неприменимо. Эта рекомендация предназначена для вычислений с ресурсами, а также для Azure в целом.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Кроме того, используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Руководство: Используйте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки "Блокировать доступ" для приложения "Управление Microsoft Azure". Это может препятствовать созданию и изменению ресурсов в среде с высоким уровнем безопасности, например серверов Базы данных Azure для MariaDB, содержащих конфиденциальные сведения.

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Инструкции. Определите и реализуйте стандартные конфигурации безопасности для экземпляров Базы данных Azure для MariaDB с помощью Политики Azure. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.DBforMariaDB для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Базы данных Azure для MariaDB. Вы также можете использовать встроенные определения политик для ваших серверов Базы данных Azure для MariaDB, например:

  • База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Рекомендации. Используйте Политику Azure [отказывать] и [развернуть, если не существует], чтобы обеспечить безопасность параметров в ресурсах Azure.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Инструкции. Если вы используете пользовательские определения Политики Azure для серверов Базы данных Azure для MariaDB и связанных ресурсов, используйте Azure Repos для безопасного хранения кода и управления им.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Инструкции. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.DBforMariaDB для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Инструкции. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.DBforMariaDB для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Используйте Политику Azure [аудит], [запретить] и [развернуть, если не существует], чтобы автоматически применять конфигурации для экземпляров Базы данных Azure для MariaDB и связанных ресурсов.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Инструкции. Для Виртуальных машин Azure или веб-приложений, работающих в Службе приложений Azure, которые используются для доступа к серверам Базы данных Azure для MariaDB, используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами сервера Базы данных Azure для MariaDB. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Инструкции. Сейчас сервер Базы данных Azure для MariaDB не поддерживает проверку подлинности Azure Active Directory (Azure AD) для доступа к базам данных. При создании сервера службы "База данных Azure для MariaDB" вы предоставляете учетные данные пользователя с правами администратора. Этот администратор может использоваться для создания дополнительных пользователей MariaDB.

Для виртуальных машин Azure или веб-приложений, работающих в Службе приложений Azure, которые используются для доступа к серверу Базы данных Azure для MariaDB, используйте управляемые удостоверения в сочетании с Azure Key Vault, чтобы хранить и получать учетные данные для сервера Базы данных Azure для MariaDB. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Используйте управляемые удостоверения, чтобы предоставить службам Azure автоматически управляемые удостоверения в AAD. Управляемое удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными

Инструкции. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, сервер Базы данных Azure для MariaDB), но не выполняется в содержимом клиента.

Предварительно сканируйте любое содержимое, отправляемое в невычислительные ресурсы Azure, например в Службу приложений, Data Lake Storage, Хранилище BLOB-объектов, сервер Базы данных Azure для MariaDB и т. д. Корпорация Майкрософт не может получить доступ к данным в этих экземплярах.

Ответственность: Совмещаемая блокировка

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Инструкции. В службе "База данных Azure для MariaDB" создаются полные и разностные резервные копии, а также резервные копии журналов транзакций. В службе "База данных Azure для MariaDB" для сервера автоматически создаются резервные копии, которые сохраняются в локально избыточном или геоизбыточном хранилище, настроенном пользователем. Резервные копии можно использовать для восстановления сервера до точки во времени. Резервное копирование и восстановление данных являются важной частью любой стратегии непрерывности бизнес-процессов. Таким образом данные защищаются от случайного повреждения или удаления. По умолчанию срок хранения резервных копий составляет 7 дней. При необходимости вы увеличить его вплоть до 35 дней. Все резервные копии шифруются с помощью 256-битового шифрования AES.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMariaDB:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицируются в парный регион для восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Инструкции. В службе "База данных Azure для MariaDB" для сервера автоматически создаются резервные копии, которые сохраняются в локально избыточном или геоизбыточном хранилище, настроенном пользователем. Резервные копии можно использовать для восстановления сервера до точки во времени. Резервное копирование и восстановление данных являются важной частью любой стратегии непрерывности бизнес-процессов. Таким образом данные защищаются от случайного повреждения или удаления.

При использовании Key Vault для шифрования данных на стороне клиента обеспечьте для хранимых данных на сервере MariaDB регулярное автоматическое резервное копирование ключей.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMariaDB:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицируются в парный регион для восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Инструкции. В Базе данных Azure для MariaDB выполните восстановление из резервных копий сервера-источника для периодической проверки резервных копий. Есть два типа восстановления: Восстановление на определенный момент времени и географическое восстановление. Восстановление на определенный момент времени доступно для любого типа избыточности резервного копирования. При таком восстановлении новый сервер создается в том же регионе, где расположен исходный сервер. Географическое восстановление доступно, если для сервера настроено геоизбыточное хранилище, и позволяет восстановить сервер в другом регионе.

Предполагаемое время восстановления будет зависеть от нескольких факторов, включая размер базы данных, размер журнала транзакций, пропускную способность сети и общее количество баз данных, восстанавливаемых в том же регионе и в то же время. Обычно время восстановления составляет менее 12 часов.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Инструкции. В службе "База данных Azure для MariaDB" создаются полные и разностные резервные копии, а также резервные копии журналов транзакций. При помощи этих резервных копий вы можете восстановить сервер до любой точки во времени в пределах заданного срока хранения резервных копий. По умолчанию срок хранения резервных копий составляет 7 дней. При необходимости вы увеличить его вплоть до 35 дней. Все резервные копии шифруются с помощью 256-битового шифрования AES.

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь в том, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Уровень серьезности зависит от степени уверенности Microsoft Defender для облака в результате или метрике, а также в наличии злого умысла у действия, на основании которых выдано оповещение.

Кроме того, четко пометьте подписки с помощью тегов и создайте систему именования, чтобы однозначно определить и классифицировать ресурсы Azure, особенно те, что используются при обработке конфиденциальных данных. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Указание: Регулярно проверяйте возможности реагирования своих систем на инциденты. Это поможет защитить ваши ресурсы Azure. Выявите слабые точки и пробелы и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Руководство. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться в том, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Экспортируйте оповещения и рекомендации Microsoft Defender для облака с помощью функции непрерывного экспорта с целью выявления рисков для ресурсов Azure. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте функцию автоматизации рабочих процессов в Microsoft Defender для облака, чтобы с помощью службы Logic Apps автоматически запускать реагирование на оповещения и рекомендации системы безопасности для защиты ресурсов Azure.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Инструкции. Следуйте правилам взаимодействия при тестировании на проникновение в Microsoft Cloud, чтобы тесты на проникновение соответствовали политикам Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия