Базовая конфигурация безопасности для Базы данных Azure для MySQL (отдельный сервер)

Этот базовый план безопасности применяет рекомендации от Azure Security Benchmark версии 1.0 к Базе данных Azure для MySQL. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к Базе данных Azure для MySQL.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые неприменимы к Базе данных Azure для MySQL или за которые несет ответственность Майкрософт, исключены. Сведения о том, как обеспечить для Базы данных Azure для MySQL полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Рекомендации. Настройте приватный канал для базы данных Azure для MySQL с частными конечными точками. Приватный канал позволяет подключаться к различным службам PaaS в Azure через частную конечную точку. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Трафик между виртуальной сетью и экземпляром MySQL проходит через магистральную сеть Майкрософт.

Кроме того, вы можете использовать конечные точки службы виртуальной сети для защиты и ограничения сетевого доступа к реализациям базы данных Azure для MySQL. Правила виртуальной сети — это одна из функций безопасности брандмауэра, обеспечивающая управление приемом сервером базы данных Azure для MySQL подключений из определенных подсетей в виртуальных сетях.

Вы можете обезопасить сервер базы данных Azure для MySQL правилами брандмауэра. Брандмауэр сервера запрещает любой доступ к серверу базы данных, пока вы не укажете компьютеры, у которых есть разрешение на доступ. Для настройки брандмауэра можно создать правила брандмауэра, которые указывают диапазон допустимых IP-адресов. Правила брандмауэра можно создавать на уровне сервера.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2

1.2. Мониторинг и ведение журнала конфигурации и трафика виртуальных сетей, подсетей и сетевых интерфейсов

Рекомендации. Если экземпляр базы данных Azure для MySQL защищен частной конечной точкой, вы можете развернуть виртуальные машины в той же виртуальной сети. Чтобы снизить риск утечки данных, можно использовать группу безопасности сети (NSG). Включите журналы потоков NSG и отправьте журналы в учетную запись хранения для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Рекомендации. Используйте Расширенную защиту от угроз для базы данных Azure для MySQL. Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Включите стандарт защиты от атак DDoS в виртуальных сетях, связанных с экземплярами базы данных Azure для MySQL, чтобы защититься от атак типа DDoS. Используйте интегрированную аналитику угроз в Microsoft Defender для облака, чтобы заблокировать обмен данными с известными вредоносными или неиспользуемыми IP-адресами в Интернете.

Ответственность: Customer

1.5. Запись сетевых пакетов

Рекомендации. Если экземпляр базы данных Azure для MySQL защищен частной конечной точкой, вы можете развернуть виртуальные машины в той же виртуальной сети. Чтобы снизить риск утечки данных, можно настроить группу безопасности сети (NSG). Включите журналы потоков NSG и отправьте журналы в учетную запись хранения для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Рекомендации. Используйте Расширенную защиту от угроз для базы данных Azure для MySQL. Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Рекомендации. Для ресурсов, которым требуется доступ к экземплярам базы данных Azure для MySQL, используйте теги службы виртуальной сети для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, SQL.WestUs) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Примечание. База данных Azure для MySQL использует тег службы "Microsoft.Sql".

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Рекомендации. Определите и реализуйте стандартные конфигурации безопасности для сетевых настроек и сетевых ресурсов, связанных с вашими экземплярами базы данных Azure для MySQL, с помощью политики Azure. Используйте псевдонимы политик Azure в пространствах имен "Microsoft.DBforMySQL" и "Microsoft. Network" для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров базы данных Azure для MySQL. Вы также можете использовать встроенные определения политик, связанные с сетью, или экземпляры базы данных Azure для MySQL, например:

  • Стандарт Защиты от атак DDoS должен быть включен.

  • Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Рекомендации. Используйте теги для ресурсов, связанных с сетевой безопасностью и потоком трафика, для экземпляров базы данных Azure для MySQL, чтобы предоставить метаданные и логическую организацию.

Используйте любые встроенные определения политик Azure, связанные с разметкой, например Требовать тег и его значение, чтобы обеспечить создание всех ресурсов с помощью тегов и уведомления о существующих непомеченных ресурсах.

Вы можете использовать Azure PowerShell или Azure CLI для поиска или выполнения действий с ресурсами на основе их тегов.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Рекомендации. Используйте журнал действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений для сетевых ресурсов, связанных с экземплярами базы данных Azure для MySQL. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.2. Настройка централизованного управления журналами безопасности

Рекомендации. Включите параметры диагностики и журналы сервера и включайте журналы для агрегирования данных безопасности, создаваемых экземплярами базы данных Azure для MySQL. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа, а учетные записи хранения Azure — для долгосрочного и архивного хранения. Также можно включить Microsoft Sentinel или стороннюю систему SIEM (управления информационной безопасностью и событиями безопасности) и передавать данные в такую систему.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Рекомендации. Включите параметры диагностики в экземплярах базы данных Azure для MySQL, чтобы получить доступ к журналам аудита, безопасности и ресурсов. Убедитесь, что вы включили именно журнал аудита MySQL. Автоматически доступны журналы действий, включающие источник событий, дату, пользователя, метку времени, исходные адреса, адреса назначения и другие полезные элементы. Вы также можете включить параметры диагностики журнала действий Azure и отправить журналы в ту же рабочую область Log Analytics или учетную запись хранения.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Рекомендации. В Azure Monitor для рабочей области Log Analytics, используемой для хранения журналов базы данных Azure для MySQL, задайте срок хранения согласно нормативным требованиям вашей организации. Используйте учетные записи хранения Azure для долгосрочного и архивного хранения.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Рекомендации. Анализируйте и отслеживайте журналы экземпляров базы данных Azure для MySQL на предмет аномального поведения. Используйте аналитику журналов Azure Monitor для просмотра журналов и выполнения запросов к данным журнала. Вы также можете активировать Microsoft Sentinel или стороннюю систему управления информационной безопасностью и событиями безопасности (SIEM) и подключить к ним данные.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Рекомендации. Включите Расширенную защиту от угроз для базы данных Azure для MySQL. Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Кроме того, вы можете включить журналы сервера и параметры диагностики для MySQL и отправить журналы в рабочую область Log Analytics. Подключите рабочую область Log Analytics к решению Microsoft Sentinel, обеспечивающему оркестрацию безопасности и автоматическое реагирование (SOAR). Это позволяет создавать и использовать сборники схем (автоматизированные решения) для устранения проблем безопасности.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Рекомендации. Настройте инвентаризацию учетных записей пользователей, имеющих административный доступ к уровню управления (например, порталу Azure) для экземпляров базы данных Azure для MySQL. Кроме того, поддерживайте инвентаризацию учетных записей администраторов, имеющих доступ к уровню данных (в самой базе данных) для экземпляров базы данных Azure для MySQL. (При создании сервера MySQL вы предоставляете учетные данные для пользователя администратора. Этот администратор может использоваться для создания дополнительных пользователей MySQL.)

База данных Azure для MySQL не поддерживает встроенные функции управления доступом на основе ролей, но можно создавать пользовательские роли на основе конкретных операций с поставщиками ресурсов.

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Руководство. В Azure Active Directory (Azure AD) отсутствует понятие пароля по умолчанию.

После создания самого ресурса базы данных Azure для MySQL Azure заставляет создать пользователя с правами администратора с надежным паролем. Однако после создания экземпляра MySQL можно использовать учетную запись первого администратора сервера, предназначенную для создания дополнительных пользователей и предоставления им административного доступа. При создании этих учетных записей убедитесь, что для каждой учетной записи настроен отличающийся надежный пароль.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Рекомендации. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей, имеющих доступ к вашим экземплярам базы данных Azure MySQL. Используйте управление идентификацией и доступом в Microsoft Defender для облака, чтобы контролировать число учетных записей администраторов.

Ответственность: Customer

3.4. Использование единого входа (SSO) Azure Active Directory

Руководство. Вход в базу данных Azure для MySQL поддерживается как с помощью имени пользователя/пароля, настроенных непосредственно в базе данных, так и с помощью идентификации Azure Active Directory (Azure AD) и использования токена Azure AD для подключения. При использовании токена Azure AD поддерживаются различные методы, например пользователь Azure AD, Группа Azure AD или приложение Azure AD, подключающееся к базе данных.

Отдельный доступ к плоскости управления для MySQL доступен через REST API и поддерживает единый вход. Чтобы выполнить проверку подлинности, установите JSON Web Token, полученный из Azure AD, в качестве заголовка авторизации.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака. При использовании маркеров Azure AD для входа в базу данных возможна многофакторная проверка подлинности для входа в базу данных.

Ответственность: Customer

3.6. Использование защищенных рабочих станций, управляемых Azure, для административных задач

Руководство. Используйте рабочие станции с привилегированным доступом (PAW) и настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Рекомендации. Включите Расширенную защиту от угроз для базы данных Azure для MySQL, чтобы создавать оповещения при подозрительных действиях.

Кроме того, вы можете использовать управление привилегированными пользователями (PIM) в Azure Active Directory (Azure AD) для создания журналов и оповещений при возникновении подозрительных или небезопасных действий в окружении.

Используйте обнаружение рисков Azure AD для просмотра предупреждений и отчетов об опасном поведении пользователя.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Рекомендации. Используйте именованные расположения с условным доступом, чтобы разрешить порталу и Azure Resource Manager доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Руководство. Используйте Azure Active Directory (Azure AD) как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

Для входа в базу данных Azure для MySQL рекомендуется использовать Azure AD и токен Azure AD для подключения. При использовании токена Azure AD поддерживаются различные методы, например пользователь Azure AD, Группа Azure AD или приложение Azure AD, подключающееся к базе данных.

Учетные данные Azure AD также могут использоваться для администрирования на уровне управления (например, портал Azure), для управления учетными записями администратора MySQL.

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Руководство. Проверьте журналы Azure Active Directory (Azure AD), чтобы обнаружить устаревшие учетные записи, которые могут включать в себя роли администраторов базы данных Azure для MySQL. Кроме того, используйте проверку доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям, которые могут использоваться для доступа к базе данных Azure для MySQL и назначения ролей. Доступ пользователей следует проверять регулярно, например раз в 90 дней, чтобы только у авторизованных пользователей был постоянный доступ.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Руководство. Включите параметры диагностики для базы данных Azure для MySQL и Azure Active Directory (Azure AD), отправив все журналы в рабочую область Log Analytics. Настройте необходимые оповещения (например, неудачные попытки проверки подлинности) в Log Analytics.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Рекомендации. Включите Расширенную защиту от угроз для базы данных Azure для MySQL, чтобы создавать оповещения при подозрительных действиях.

Используйте защиту идентификации Azure Active Directory (Azure AD) и функции обнаружения подозрительных операций, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий. Вы можете включить автоматическое реагирование в Microsoft Sentinel, чтобы отвечать на угрозы безопасности в соответствии с требованиями организации.

Вы также можете принимать журналы в Microsoft Sentinel для дополнительного анализа.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Рекомендации. Используйте теги для пометки экземпляров базы данных Azure для MySQL или связанных ресурсов, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Рекомендации. Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства. Используйте сочетание приватного канала, конечных точек службы и (или) правил брандмауэра, чтобы изолировать и ограничить сетевой доступ к экземплярам базы данных Azure для MySQL.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Рекомендации. При использовании виртуальных машин Azure для доступа к экземплярам базы данных Azure MySQL используйте приватные каналы, конфигурации сети MySQL, группы безопасности сети и теги службы, чтобы снизить вероятность возможной утечки данных.

Корпорация Майкрософт управляет базовой инфраструктурой базы данных Azure для MySQL и реализовала надежные элементы управления для предотвращения потери или раскрытия данных клиента.

Ответственность: Customer

4.4. Шифрование любой конфиденциальной информации при передаче

Рекомендации. База данных Azure для MySQL поддерживает подключение сервера MySQL к клиентским приложениям с помощью SSL (Secure Sockets Layer). Применение SSL-соединений между сервером базы данных и клиентскими приложениями обеспечивает защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. На портале Azure убедитесь, что по умолчанию включено "принудительное подключение SSL" для всех экземпляров базы данных Azure для MySQL.

Сейчас для базы данных Azure для MySQL поддерживаются следующие версии TLS: TLS 1.0, TLS 1.1, TLS 1.2.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1

4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных

Рекомендации. Функции идентификации, классификации и предотвращения потери данных пока недоступны для базы данных Azure для MySQL. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.6. Контроль доступа к ресурсам с помощью RBAC

Руководство. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к уровню управления базы данных Azure для MySQL (например, порталу Azure). Для доступа к уровню данных (в самой базе данных) используйте SQL-запросы для создания пользователей и настройки разрешений пользователей. Azure RBAC не влияет на разрешения пользователей в базе данных.

Ответственность: Customer

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Рекомендации. Используйте Azure Monitor с журналом действий Azure для создания оповещений об изменениях на коммерческих экземплярах базы данных Azure для MySQL и других важных и связанных с ними ресурсах.

Ответственность: Customer

Управление уязвимостями

Дополнительные сведения см. в статье Azure Security Benchmark: управление уязвимостями.

5.1. Выполнение автоматизированных средств анализа уязвимостей

Рекомендации. Следуйте рекомендациям Microsoft Defender для облака по защите Базы данных Azure для PostgreSQL и связанных ресурсов.

Корпорация Майкрософт управляет уязвимостью в базовых системах, поддерживающих базу данных Azure для MySQL.

Ответственность: Совмещаемая блокировка

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (включая экземпляры Базы данных Azure для MySQL) в ваших подписках. Убедитесь, что у вас есть соответствующие разрешения (на чтение) в клиенте и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Ответственность: Customer

6.2. Ведение метаданных активов

Рекомендации. Примените теги к экземплярам базы данных Azure для MySQL и другим связанным ресурсам, предоставив метаданные для логической организации их в таксономию.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Рекомендации. При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочить и отслеживать экземпляры базы данных Azure для MySQL и связанные ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Ответственность: Customer

6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure

Рекомендации. Неприменимо. Эта рекомендация предназначена для вычислений с ресурсами, а также для Azure в целом.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Кроме того, используйте граф ресурсов Azure для запроса и обнаружения ресурсов в подписках.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов
  • Допустимые типы ресурсов

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Рекомендации. Используйте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки "Блокировать доступ" для приложения "Управление Microsoft Azure". Это может препятствовать созданию и изменению ресурсов в среде с высоким уровнем безопасности, например экземпляров базы данных Azure для MySQL, содержащих конфиденциальные сведения.

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Рекомендации. Определите и реализуйте стандартные конфигурации безопасности для экземпляров базы данных Azure для MySQL с помощью Политики Azure. Используйте псевдонимы политик Azure в пространстве имен Microsoft.DBforMySQL для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров базы данных Azure для MySQL. Вы также можете использовать встроенные определения политик для ваших экземпляров базы данных Azure для MySQL, например:

Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Рекомендации. Используйте Политику Azure [отказывать] и [развернуть, если не существует], чтобы обеспечить безопасность параметров в ресурсах Azure.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Рекомендации. Если вы используете пользовательские определения Политики Azure для экземпляров базы данных Azure для MySQL и связанных ресурсов, используйте Azure Repos для безопасного хранения кода и управления им.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Рекомендации. Используйте псевдонимы политик Azure в пространстве имен "Microsoft.DBforMySQL" для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Руководство. Используйте псевдонимы политик Azure в пространстве имен Microsoft.DBforMySQL для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Используйте Политику Azure [аудит], [запретить] и [развернуть, если не существует], чтобы автоматически применять конфигурации для экземпляров базы данных Azure для MySQL и связанных ресурсов.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Рекомендации. Для виртуальных машин Azure или веб-приложений, работающих в службе приложений Azure, которые используются для доступа к экземплярам базы данных Azure для MySQL, используйте Управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами базы данных Azure для MySQL. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Руководство. Экземпляр базы данных Azure для MySQL поддерживает проверку подлинности Azure Active Directory (Azure AD) для доступа к базам данных. При создании экземпляра базы данных Azure для MySQL вы предоставляете учетные данные для пользователя с правами администратора. Этот администратор может использоваться для создания дополнительных пользователей БД.

Для виртуальных машин Azure или веб-приложений, работающих в службе приложений Azure, которые используются для доступа к экземплярам базы данных Azure для MySQL, используйте Управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы хранить и получать учетные данные для экземпляра базы данных Azure для MySQL. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Используйте управляемые удостоверения, чтобы предоставить службам Azure автоматически управляемые удостоверения в AAD. Управляемое удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными

Рекомендации. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, база данных Azure для MySQL), но не выполняется в содержимом клиента.

Предварительно сканируйте любое содержимое, отправляемое в невычислительные ресурсы Azure, например служба приложений, хранилище Data Lake, хранилище BLOB-объектов, база данных Azure для MySQL и т. д. Корпорация Майкрософт не может получить доступ к данным в этих экземплярах.

Ответственность: Совмещаемая блокировка

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Рекомендации. База данных Azure для MySQL создает резервные копии файлов данных и журнала транзакций. В зависимости от поддерживаемого максимального размера хранилища мы будем использовать полные и разностные резервные копии (максимум 4 ТБ на сервере) или моментальные снимки (до 16 ТБ на сервере). При помощи этих резервных копий вы можете восстановить сервер до любой точки во времени в пределах заданного срока хранения резервных копий. По умолчанию срок хранения резервных копий составляет 7 дней. При необходимости вы увеличить его вплоть до 35 дней. Все резервные копии шифруются с помощью 256-битового шифрования AES.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицируются в парный регион для восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Рекомендации. База данных Azure для MySQL автоматически создает резервные копии для сервера и сохраняет их в локальном избыточном или геоизбыточном хранилище — по выбору пользователя. Резервные копии можно использовать для восстановления сервера до точки во времени. Резервное копирование и восстановление данных являются важной частью любой стратегии непрерывности бизнес-процессов. Таким образом данные защищаются от случайного повреждения или удаления.

Если вы используете Azure Key Vault для хранения учетных данных для экземпляров базы данных Azure для MySQL, обеспечьте регулярное автоматическое резервное копирование ключей.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.DBforMySQL:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицируются в парный регион для восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Рекомендации. При восстановлении в службе "База данных Azure для MySQL" из резервных копий исходного сервера создается новый. Есть два типа восстановления: Восстановление на определенный момент времени и географическое восстановление. Восстановление на определенный момент времени доступно для любого типа избыточности резервного копирования. При таком восстановлении новый сервер создается в том же регионе, где расположен исходный сервер. Географическое восстановление доступно, если для сервера настроено геоизбыточное хранилище, и позволяет восстановить сервер в другом регионе.

Предполагаемое время восстановления будет зависеть от нескольких факторов, включая размер базы данных, размер журнала транзакций, пропускную способность сети и общее количество баз данных, восстанавливаемых в том же регионе и в то же время. Обычно время восстановления составляет менее 12 часов.

Периодическое тестирование восстановления экземпляров базы данных Azure для MySQL.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Рекомендации. База данных Azure для MySQL создает полные и разностные резервные копии, а также резервные копии журналов. При помощи этих резервных копий вы можете восстановить сервер до любой точки во времени в пределах заданного срока хранения резервных копий. По умолчанию срок хранения резервных копий составляет 7 дней. При необходимости вы увеличить его вплоть до 35 дней. Все резервные копии шифруются с помощью 256-битового шифрования AES. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, отметьте подписки понятным образом (например, "производственные" и "непроизводственные") и создайте систему именования для четкого обозначения и классификации ресурсов Azure.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Руководство. Выполните упражнения, чтобы периодически тестировать возможности своих систем реагировать на угрозы. Выявите слабые точки и пробелы и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Рекомендации. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим пользовательским данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Используйте функцию непрерывного экспорта для своих оповещений и рекомендаций Microsoft Defender для облака. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте возможности автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически реагировать на оповещения и рекомендации по безопасности через Logic Apps.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Инструкции. Следуйте правилам взаимодействия при тестировании на проникновение в Microsoft Cloud, чтобы тесты на проникновение соответствовали политикам Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия