Базовые показатели безопасности Azure для База данных Azure для MySQL — гибкий сервер

Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к База данных Azure для MySQL — гибкий сервер. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к База данных Azure для MySQL — гибкий сервер.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.

Примечание

Функции, неприменимые к База данных Azure для MySQL — гибкий сервер, были исключены. Чтобы узнать, как База данных Azure для MySQL — гибкий сервер полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности База данных Azure для MySQL — гибкий сервер.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении База данных Azure для MySQL — гибкий сервер, что может привести к повышению безопасности.

Атрибут поведения службы Значение
Категория продуктов Базы данных
Клиент может получить доступ к HOST/ОС Нет доступа
Служба может быть развернута в виртуальной сети клиента True
Хранит неактивный контент клиента True

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Разверните службу в виртуальной сети. Назначьте ресурсу частные IP-адреса (если это применимо), если нет веской причины назначать общедоступные IP-адреса напрямую ресурсу.

Справочник. Доступ к частной сети для База данных Azure для MySQL — гибкий сервер

Поддержка групп безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.

Справочник. Сеть для MySQL — гибкий сервер

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ip-адресов ACL уровня службы или переключения для доступа к общедоступной сети.

Справка. Доступ к общедоступной сети для База данных Azure для MySQL — гибкий сервер

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2

Управление удостоверениями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Совмещаемая блокировка

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справка. Проверка подлинности Active Directory — База данных Azure для MySQL — гибкий сервер

Методы локальной проверки подлинности для доступа к плоскости данных

Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справка. Краткое руководство. Создание гибкого сервера База данных Azure для MySQL с помощью портал Azure

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справка.Шифрование данных с управляемыми клиентом ключами — База данных Azure для MySQL — гибкий сервер

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях: клиент может включить проверку подлинности AAD для использования условного доступа

Руководство по настройке. Определите применимые условия и условия для условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного поведения при входе или требование устройств, управляемых организацией, для конкретных приложений.

Справка. Проверка подлинности Active Directory — База данных Azure для MySQL — гибкий сервер

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справка. Краткое руководство. Создание гибкого сервера База данных Azure для MySQL с помощью портал Azure

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.

Защита данных

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение и классификация конфиденциальных данных

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Защита от утечки и потери данных

Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник. TLS и SSL в Гибкой среде MySQL

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.

Справка.Шифрование данных с управляемыми клиентом ключами — База данных Azure для MySQL — гибкий сервер

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, Disabled 1.0.4

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и службе по определенному расписанию или при прекращении использования или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импортировать ключи, защищенные устройством HSM, из локальных устройств HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.

Справка.Шифрование данных с управляемыми клиентом ключами — База данных Azure для MySQL — гибкий сервер

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для предложения услуг и продуктов

Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Совмещаемая блокировка

Руководство по настройке. База данных Azure для MySQL гибкий сервер предоставляет пользователям возможность настраивать журналы аудита. Журналы аудита могут использоваться для наблюдения за действиями уровня базы данных, включая события подключения, администрирования, DDL и DML. Эти типы журналов обычно используются для обеспечения соответствия требованиям.

Справочник. Журналы аудита на гибком сервере База данных Azure для MySQL

резервное копирование и восстановление

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность резервного копирования в собственном коде службы

Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справка.Резервное копирование и восстановление на гибком сервере База данных Azure для MySQL

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицируются в парный регион для восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1

Дальнейшие действия