Базовая конфигурация безопасности для выделенного пула SQL в Azure Synapse (прежнее название — Хранилище данных SQL)

Эта базовая конфигурация безопасности применяет рекомендации из Azure Security Benchmark версии 2.0 к выделенному пулу SQL в Azure Synapse (прежнее название — Хранилище данных SQL). Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и связанном руководстве, применимом к выделенному пулу SQL в Azure Synapse.

Эти базовые показатели безопасности и рекомендации можно отслеживать с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если в разделе есть соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к выделенному пулу SQL в Azure Synapse (прежнее название — Хранилище данных SQL), и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о том, как выделенный пул SQL в Azure Synapse (прежнее название — Хранилище данных SQL) полностью сопоставляется с Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Инструкции. При развертывании ресурсов Azure Synapse Analytics необходимо создать виртуальную сеть или использовать существующую. Убедитесь, что все виртуальные сети Azure следуют принципу сегментации предприятия, который соответствует бизнес-рискам.

Представляет ли ваша система повышенный уровень риска для организации? Если да, изолируйте эту систему в ее собственной виртуальной сети. Обеспечьте достаточную защиту виртуальной сети с помощью группы безопасности сети (NSG) или Брандмауэра Azure.

Для конфигураций NSG используйте Адаптивную защиту сети в Microsoft Defender для облака. Эти конфигурации ограничивают порты и исходные IP-адреса ссылками на правила внешнего сетевого трафика.

В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".

Используйте Microsoft Sentinel для определения использования устаревших незащищенных протоколов, например следующих:

  • SSL/TLS версии 1
  • SMBv1;
  • LM/NTLM версии 1
  • WDigest
  • Неподписанные привязки LDAP
  • Слабые шифры в Kerberos

Параметр минимальной версии протокола TLS позволяет клиентам выбрать версию TLS, используемую хранилищами данных SQL. Сейчас поддерживаются только TLS 1.0, 1.1 и 1.2. Указание минимальной версии TLS гарантирует, что будут поддерживаться более поздние версии TLS. Например, выбор протокола TLS версии 1.1 означает, что принимаются только подключения по TLS 1.1 и 1.2. Подключения по TLS 1.0 отклоняются.

Вы хотите получать доступ к хранилищам данных Azure Synapse Analytics с локального компьютера? Тогда убедитесь, что брандмауэр в сети и на локальном компьютере допускают исходящие подключения через TCP-порт 1433.

Если для параметра "Запретить доступ из общедоступных сетей" задано значение "Да", то разрешены только подключения через частные конечные точки. Если этот параметр имеет значение "Нет" (по умолчанию), клиенты могут подключаться с помощью:

  • общедоступных конечных точек с правилами брандмауэра на основе IP-адресов или с правилами брандмауэра на основе виртуальной сети;
  • частных конечных точек с использованием Приватного канала Azure.

Это поведение описано в статьях с общими сведениями о сетевом доступе.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0

NS-2: совместное подключение частных сетей

Руководство. Воспользуйтесь Azure ExpressRoute или виртуальной частной сетью Azure (VPN) для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой в среде совместного размещения. Подключения ExpressRoute не проходят через общедоступный Интернет. По сравнению со стандартными интернет-подключениями подключения ExpressRoute имеют следующие преимущества:

  • повышенная надежность;
  • более высокая скорость;
  • более низкие задержки.

Вам нужно использовать VPN-подключение типа "точка — сеть" и "сеть — сеть"? Если да, подключите локальные устройства или сети к виртуальной сети, используя любое сочетание параметров VPN и Azure ExpressRoute.

Для подключения двух или более виртуальных сетей в Azure используйте пиринг между виртуальными сетями. Сетевой трафик между одноранговыми виртуальными сетями является закрытым. Этот трафик хранится в магистральной сети Azure.

С помощью Приватного канала можно подключиться к серверу SQL Azure через частную конечную точку. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети. Администратор SQL может утвердить или отклонить подключение к частной конечной точке. При необходимости администратор может добавить краткий текст ответа.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0

NS-3: установка доступа к частной сети для служб Azure

Инструкции. Используйте Приватный канал Azure для разрешения частного доступа к Azure Synapse Analytics из ваших виртуальных сетей без перехода в Интернет. Частный доступ — это еще одна мера глубокой защиты дополнительно к проверке подлинности и безопасности трафика, которую предлагают службы Azure.

Можно также запретить доступ из общедоступной сети к серверу SQL Azure, на котором размещены хранилища данных. Если эта конфигурация включена, разрешены подключения только через частные конечные точки.

PolyBase и инструкцию COPY часто используют для загрузки данных в Azure Synapse Analytics из учетных записей службы хранилища Azure. Однако при этом может прерваться подключение из PolyBase и инструкции COPY к учетной записи. При этой неполадке учетная запись службы хранилища Azure ограничивает доступ только набором подсетей виртуальной сети через:

  • Частные конечные точки
  • Конечные точки служб
  • Брандмауэры на основе IP-адресов

Используйте конечные точки службы виртуальной сети Azure для обеспечения безопасного доступа к Azure Synapse Analytics. Виртуальная сеть Azure использует оптимизированный маршрут через магистральную сеть Azure без перехода в Интернет.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0

NS-4: защита приложений и служб от внешних сетевых атак

Инструкции. Защитите ресурсы Azure Synapse Analytics от атак из внешних сетей, включая следующие:

  • распределенные атаки типа "отказ в обслуживании" (DDoS);
  • атаки на конкретные приложения;
  • нежелательный, потенциально вредоносный интернет-трафик.

Используйте Брандмауэр Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Служба Azure Synapse Analytics не предназначена для запуска веб-приложений. Поэтому ее не нужно защищать от внешних сетевых атак, направленных на веб-приложения. Настраивать другие параметры или развертывать дополнительные сетевые службы не требуется.

Ответственность: Совмещаемая блокировка

NS-6: упрощение правил безопасности сети

Инструкции. Используйте теги службы виртуальной сети Azure, определите элементы управления доступом к сети для групп безопасности сети или Брандмауэров Azure, настроенных для ресурсов Azure Synapse Analytics. При создании правил безопасности используйте теги служб вместо конкретных IP-адресов. Укажите имя тега службы в источнике или назначении правила, чтобы разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

При использовании конечной точки службы для пула SQL в Azure Synapse требуется исходящий трафик для общедоступных IP-адресов базы данных SQL Azure. Откройте группы безопасности сети для IP-адресов Базы данных SQL Azure, чтобы разрешить подключение. Это можно сделать с помощью тегов службы NSG для Базы данных SQL Azure.

Ответственность: Совмещаемая блокировка

NS-7: безопасная служба доменных имен (DNS)

Инструкции. Следуйте рекомендациям по обеспечению безопасности DNS для предотвращения распространенных атак, таких как:

  • висячие записи DNS;
  • атаки с усилением DNS;
  • подмена и спуфинг DNS.

Вы используете Azure DNS в качестве полномочной службы DNS? Если да, защитите зоны и записи DNS от случайного или злонамеренного изменения с помощью Azure RBAC и блокировки ресурсов Azure.

Для подключения к серверу SQL Azure, где находятся ваши хранилища данных, можно использовать DNS-псевдонимы. PowerShell и REST API принимают вызовы для создания псевдонимов DNS и управления ими вместо логического имени сервера SQL. DNS-псевдоним можно использовать вместо имени сервера. Клиентские программы могут использовать псевдоним в строке подключения. Псевдоним DNS предоставляет слой преобразования, который может перенаправить клиентские программы на разные сервера. Этот слой избавляет вас от необходимости находить и редактировать все клиенты и их строки подключения.

Включите использование псевдонима DNS в строках подключения в разработку клиентских программ. Вы заставляете свойства псевдонима указывать на тестовую версию вашего сервера. Позже, когда новая система будет доступна для использования, обновите свойства псевдонима, указав рабочий сервер. Никаких изменений в клиентских программах не требуется.

Ответственность: Совмещаемая блокировка

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Инструкции. В Azure Synapse Analytics в качестве службы управления идентификацией и доступом по умолчанию используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud, например:

    • Портал Azure
    • Служба хранилища Azure
    • Виртуальная машина Azure (для Linux и Windows)
    • Azure Key Vault
    • PaaS
    • Приложения SaaS
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна иметь высокий приоритет среди мер и мероприятий организации по обеспечению безопасности в облачной среде. В Azure AD доступна оценка безопасности удостоверений. Она позволяет оценить уровень безопасности удостоверений на соответствие рекомендациям Майкрософт. Используйте ее, чтобы определить, насколько ваша конфигурация соответствует рекомендациям. Затем на основе полученного показателя повысьте уровень безопасности.

Примечание. Azure AD поддерживает внешние удостоверения. С их помощью, пользователи, не имеющие учетной записи Майкрософт, могут входить в свои приложения и ресурсы.

Для выделенных пулов SQL (прежнее название — Хранилище данных SQL) в механизме аутентификации Azure AD для проверки подлинности удостоверений на уровне базы данных используются данные пользователей автономной базы данных. С помощью Azure AD можно подключаться из SQL Server Management Studio, используя универсальную аутентификацию Active Directory, в том числе многофакторную идентификацию. Azure AD поддерживает аналогичные подключения из SQL Server Data Tools (SSDT), использующие интерактивную аутентификацию Active Directory.

Для управления выделенными пулами SQL (прежнее название — Хранилище данных SQL) доступны три встроенные роли Azure RBAC.

  1. Участник БД SQL позволяет управлять хранилищами данных SQL, но не доступом к ним. Вы не можете управлять их политиками безопасности или родительскими серверами SQL Server.

  2. Диспетчер безопасности SQL позволяет управлять политиками безопасности серверов и баз данных SQL, но не доступом к ним.

  3. Участник SQL Server позволяет управлять серверами и хранилищами данных SQL, но не доступом к ним. Вы не можете управлять их политиками безопасности.

Azure SQL также поддерживает проверку подлинности SQL. При использовании этого метода пользователь отправляет имя учетной записи пользователя и связанный пароль, чтобы установить соединение. Этот пароль хранится в одном из двух мест:

  • база данных master для учетных записей пользователей, связанных с входом;
  • база данных, содержащая учетные записи пользователей, не связанные с входом.

Вход — это отдельная учетная запись в базе данных master, к которой может быть привязана учетная запись пользователя в одной или нескольких базах данных. Если используется вход, вместе с ним хранятся учетные данные для учетной записи пользователя.

Учетная запись пользователя — это отдельная учетная запись в любой базе данных, которая может быть связана с входом, но необязательно. Если учетная запись пользователя не связана с входом, то сведения об учетных данных хранятся вместе с учетной записью пользователя.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0

IM-2: безопасное и автоматическое управление удостоверениями приложений

Инструкции. Azure Synapse Analytics поддерживает управляемые удостоверения для своих ресурсов Azure. Используйте управляемые удостоверения в Azure Synapse Analytics вместо создания субъектов-служб для доступа к другим ресурсам. Azure Synapse Analytics может проходить собственную проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Она выполняется с помощью предварительно определенного правила предоставления доступа без использования учетных данных, жестко закодированных в файлах исходного кода или в файлах конфигурации.

Ответственность: Совмещаемая блокировка

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Инструкции. Azure Synapse Analytics использует Azure Active Directory для предоставления управления идентификацией и доступом к следующим активам:

  • ресурсы Azure;
  • облачные приложения;
  • локальные приложения.

Это управление применяется к корпоративным удостоверениям, таким как сотрудники, и внешним удостоверениям, таким как:

  • Участники
  • Поставщики
  • Поставщики

Благодаря этому единый вход (SSO) позволяет управлять данными и ресурсами организации, а также предоставлять к ним безопасный доступ. Управление может осуществляться локально и в облаке. Подключите всех пользователей, приложения и устройства к Azure AD. При этом вы получите простой безопасный доступ, большую видимость и дополнительный уровень контроля.

Ответственность: Совмещаемая блокировка

IM-7: исключение непреднамеренного раскрытия учетных данных

Инструкции. Azure Synapse Analytics позволяет клиентам развертывать или запускать следующие сущности, которые могут содержать удостоверения или секреты:

  • Код
  • Конфигурации
  • Сохраняемые данные.

Реализуйте сканер учетных данных для обнаружения учетных данных в этих сущностях. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать собственную функцию проверки секретов. Эта функция определяет учетные данные и другие виды секретов в коде.

Ответственность: Совмещаемая блокировка

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Инструкции. Наиболее важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей".

  • Глобальный администратор или администратор организации. Пользователи с этой ролью обладают доступом ко всем функциям администрирования в Azure AD, а также к службам, использующим удостоверения Azure AD.

  • Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначениями ролей в Azure AD и в Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами PIM и административными единицами.

Примечание. При использовании пользовательских ролей с определенными назначенными привилегированными разрешениями может потребоваться управлять и другими критически важными ролями. Кроме того, вам может потребоваться применить аналогичные элементы управления к учетной записи администратора критических активов предприятия.

Ограничьте количество учетных записей или ролей с высоким уровнем привилегий. Защитите эти учетные записи на повышенном уровне привилегий. Пользователи с этими привилегиями могут напрямую или косвенно читать и изменять каждый ресурс в вашей среде Azure.

Включите привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD PIM. JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM может также создавать оповещения системы безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Создайте стандартные операционные процедуры для использования выделенных административных учетных записей.

При первом развертывании Azure SQL укажите данные для входа администратора и соответствующий пароль. Эта административная учетная запись называется администратором сервера. Чтобы найти учетные записи администратора для базы данных, откройте портал Azure. Перейдите на вкладку "Свойства" сервера или управляемого экземпляра. Вы также можете настроить учетную запись администратора Azure AD с полными правами администратора. Выполните это действие, если необходимо включить проверку подлинности Azure Active Directory.

Вы можете создать дополнительные данные для входа и пользователей с правами администратора, имеющими ограниченную область применения. Эти данные для входа и пользователи добавляются во встроенные роли администратора Azure SQL для проверки подлинности, а также в учетные записи проверки подлинности Azure AD.

Ответственность: Совмещаемая блокировка

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Чтобы подтвердить допустимость учетных записей Azure AD и их прав доступа, Azure Synapse Analytics регулярно использует эти учетные записи в следующих случаях:

  • управление ресурсами;
  • проверка учетных записей пользователей;
  • просмотр назначенных прав доступа.

Azure AD и проверки доступа можно использовать для просмотра следующих данных:

  • Членство в группах
  • Доступ к корпоративным приложениям.
  • Назначения ролей

Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Используйте Azure AD PIM для создания рабочих процессов для получения отчета о проверке доступа. Эти рабочие процессы упрощают процесс проверки.

Можно также настроить Azure AD PIM для получения оповещений при создании чрезмерного числа учетных записей администратора. Или настройте Azure AD PIM для определения устаревших или неправильно настроенных учетные записи администратора.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Этими пользователями следует управлять отдельно.

Если используется проверка подлинности SQL, создайте пользователей автономной базы данных в базе данных. Назначьте одному или нескольким пользователям базы данных пользовательскую роль базы данных. Примените конкретные разрешения, подходящие для этой группы пользователей.

Выделенными пулами SQL (прежнее название — Хранилище данных SQL) можно управлять с помощью встроенных ролей RBAC Azure. Доступны следующие роли:

  1. Участник БД SQL. Эта роль позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server.

  2. Участник SQL Server. Эта роль позволяет управлять серверами и базами данных SQL, но не доступом к ним и их политиками безопасности.

  3. Диспетчер безопасности SQL. Эта роль позволяет управлять политиками безопасности серверов и баз данных SQL, но не доступом к ним.

Дополнительные сведения см. в следующих статьях:

Ответственность: Совмещаемая блокировка

PA-6: использование рабочих станций с привилегированным доступом

Руководство. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как:

  • Администратор
  • разработчик.
  • Оператор критически важных служб

Для выполнения административных задач используйте надежно защищенные пользовательские рабочие станции или Бастион Azure. Чтобы развернуть защищенную и управляемую пользовательскую рабочую станцию для выполнения административных задач, используйте следующие средства:

  • Azure AD
  • Расширенная защита от угроз (ATP) в Microsoft Defender;
  • Microsoft Intune

Вы можете централизованно управлять защищенными рабочими станциями для реализации безопасной конфигурации, которая включает в себя следующие компоненты:

  • Строгая проверка подлинности
  • Базовые показатели программного обеспечения и оборудования
  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих статьях:

Ответственность: Совмещаемая блокировка

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Инструкции. Служба Azure Synapse Analytics интегрирована с Azure RBAC для управления ресурсами. С помощью Azure RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Эти роли можно назначить приведенным ниже объектам.

  • Пользователи
  • Группы
  • Субъекты-службы
  • Управляемые удостоверения

Это предварительно определенные встроенные роли для конкретных ресурсов. Эти роли можно включить в инвентаризацию или запросить с помощью таких средств, как:

  • Azure CLI
  • Azure PowerShell
  • Портал Azure

Привилегии, назначаемые ресурсам через Azure RBAC, всегда должны ограничиваться возможностями, которые необходимы ролям. Этот метод дополняет JIT-подход, реализованный в Azure AD PIM. Его необходимо периодически проверять.

Используйте встроенные роли для предоставления разрешений. Создавайте настраиваемые роли только при необходимости.

При первом развертывании Azure SQL укажите данные для входа администратора и соответствующий пароль. Эта административная учетная запись называется администратором сервера. Чтобы найти учетные записи администратора для базы данных, откройте портал Azure. Перейдите на вкладку "Свойства" сервера или управляемого экземпляра. Вы также можете настроить учетную запись администратора Azure AD с полными правами администратора. Сделайте это, если необходимо включить проверку подлинности Azure Active Directory.

Если используется проверка подлинности SQL, создайте пользователей автономной базы данных в базе данных. Назначьте одному или нескольким пользователям базы данных встроенную или пользовательскую роль базы данных. Добавьте для этой роли конкретные разрешения, которые подходят для этого пользователя или группы пользователей.

Ответственность: Совмещаемая блокировка

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Инструкции. У вас есть сценарий поддержки на случай, когда корпорации Майкрософт требуется доступ к данным, связанным с Базой данных SQL Azure в выделенном пуле SQL? В защищенном хранилище Azure есть интерфейс для просмотра, утверждения или отклонения запросов на доступ к данным.

У вас есть сценарий поддержки на случай, когда корпорации Майкрософт требуется доступ к данным клиентов? Azure Synapse Analytics поддерживает защищенное хранилище, предоставляющее интерфейс для просмотра, утверждения или отклонения запросов на доступ к данным клиентов.

Ответственность: Совмещаемая блокировка

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Инструкции. Обнаруживайте, классифицируйте конфиденциальные данные и добавляйте к ним метки. Затем разработайте соответствующие средства управления, чтобы обеспечить безопасное хранение, обработку и передачу конфиденциальной информации в технологических системах организации.

Используйте службу Azure Information Protection (и связанное с ней средство сканирования) для обработки конфиденциальной информации в документах Office в:

  • Azure
  • В локальной среде
  • Microsoft 365
  • Другие расположения

Используйте Защиту информации Azure SQL для классификации информации, хранящейся в Базах данных SQL Azure, и добавления к ней меток.

Функция обнаружения и классификации данных встроена в Azure SQL и поддерживает следующие возможности:

  • Обнаружение и рекомендации. Подсистема классификации проверяет базы данных и выявляет столбцы, содержащие потенциально конфиденциальные данные. Затем вы можете легко просмотреть их и применить рекомендуемую классификацию на портале Azure.

  • Добавление меток. Как на постоянной основе применять метки классификации конфиденциальности к столбцам? Используйте новые атрибуты метаданных, которые были добавлены в ядро СУБД SQL Server. Затем эти метаданные можно использовать в сценариях аудита и защиты на основе конфиденциальности.

  • Конфиденциальность результирующего набора запроса. Конфиденциальность результирующего набора запроса вычисляется в режиме реального времени для целей аудита.

  • Видимость. Посматривайте состояние классификации базы данных на панели мониторинга на портале Azure. Скачайте отчет в формате Excel для использования в целях соблюдения требований и аудита, а также для выполнения других задач.

Дополнительные сведения см. в следующей статье:

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Конфиденциальные данные в базах данных SQL должны быть засекречены Microsoft Defender для облака отслеживает результаты обнаружения и классификации данных в базах данных SQL и предоставляет рекомендации по классификации конфиденциальных данных в базах данных для повышения удобства мониторинга и улучшения безопасности. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)

DP-2. Защита конфиденциальных данных

Инструкции. Используйте Azure RBAC для управления доступом к базам данных SQL Azure в пуле Synapse SQL. Встроенная в Azure RBAC роль Диспетчера безопасности SQL позволяет управлять политиками безопасности серверов баз данных SQL, но не доступом к ним.

Авторизация определяется членством в ролях и разрешениями уровня объекта базы данных, назначенными учетной записи пользователя. Рекомендуется предоставить пользователям минимальные необходимые привилегии.

Используйте функцию обнаружения и классификации данных Azure Synapse SQL. Кроме того, можно настроить политику динамического маскирования данных (DDM) на портале Azure. Служба рекомендаций DDM помечает определенные поля из базы данных. Это потенциально конфиденциальные поля, которые можно замаскировать.

Прозрачное шифрование данных (TDE) помогает защитить Azure Synapse SQL от угрозы вредоносной автономной активности путем шифрования неактивных данных. TDE не требует вносить изменения в приложение и в режиме реального времени выполняет шифрование и расшифровку:

  • базы данных;
  • связанных резервных копий;
  • файлов журнала транзакций.

В Azure параметр по умолчанию для TDE означает, что для защиты ключа шифрования данных (DEK) используется встроенный сертификат сервера. Вместо него можно использовать управляемое клиентом TDE. Управляемое клиентом TDE, которое также называется поддержкой создания собственных ключей (BYOK) для TDE. В этом сценарии предохранитель TDE, который шифрует DEK, является асимметричным ключом, управляемым клиентом. Этот асимметричный ключ хранится в Azure Key Vault, принадлежащем клиенту и находящемся под его управлением. (Azure Key Vault — это облачная система управления внешними ключами Azure.) Асимметричный ключ никогда не покидает хранилище ключей.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Инструкции. Ведите мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и управления. Обычно этот процесс предусматривает мониторинг аномальных действий (больших или необычных передач данных), которые могут указывать на несанкционированную кражу данных.

Microsoft Defender для хранилища и Microsoft Defender для SQL позволяют предупреждать об аномальной передаче информации. Эти аномалии могут означать несанкционированную передачу конфиденциальной информации.

Azure Information Protection (AIP) предоставляет возможности мониторинга сведений, которые были классифицированы и помечены.

Если это необходимо для защиты от потери данных (DLP), предотвратите кражу данных с помощью решения DLP на основе узла для принудительного применения средств обнаружения и предупреждения.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. В дополнение к средствам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования. Убедитесь, что злоумышленникам не удастся легко прочитать или изменить данные.

Azure Synapse Analytics поддерживает шифрование передаваемых данных с помощью протокола TLS версии 1.2 или более поздней.

Хотя шифрование данных при передаче не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут использовать TLS версии 1.2 или более поздней. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Отключите устаревшие версии этих сущностей:

  • SSL
  • TLS
  • SSH;
  • слабые шифры.

Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.

Ответственность: Совмещаемая блокировка

DP-5. Шифрование конфиденциальных неактивных данных

Инструкции. В дополнение к средствам управления доступом Azure Synapse Analytics шифрует неактивные данные, чтобы защитить их от "внешних" атак (например, доступ к базовому хранилищу) с помощью шифрования. Это гарантирует, что злоумышленники не смогут легко считывать или изменять данные.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для строго конфиденциальных данных можно реализовать дополнительное шифрование при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию. Но при этом Azure позволяет управлять собственными ключами пользователей (ключи, управляемые клиентом) для определенных служб Azure в соответствии с нормативными требованиями.

TDE помогает защитить Azure Synapse SQL от угрозы вредоносной автономной активности путем шифрования неактивных данных. TDE не требует вносить изменения в приложение и в режиме реального времени выполняет шифрование и расшифровку:

  • базы данных;
  • связанных резервных копий;
  • файлов журнала транзакций.

В Azure параметр по умолчанию для TDE означает, что для защиты DEK используется встроенный сертификат сервера. Вместо него можно использовать управляемое клиентом TDE или поддержку BYOK для TDE. В этом случае предохранитель TDE, который шифрует DEK, является асимметричным ключом, управляемым клиентом. Этот асимметричный ключ хранится в Azure Key Vault, принадлежащем клиенту и находящемся под его управлением, и всегда остается в хранилище ключей.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. AuditIfNotExists, Disabled 1.0.2
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. AuditIfNotExists, Disabled 2.0.1
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Инструкции. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в вашем клиенте и подписках Azure. Эти разрешения позволяют группам отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

За отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. Это зависит от структуры обязанностей группы безопасности. Но аналитические сведения о безопасности и рисках всегда следует собирать в организации централизованно.

Разрешения читателя сведений о безопасности можно применить ко всему клиенту (корневой группе управления) или распространить на определенные группы управления или конкретные подписки.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Убедитесь, что группы безопасности обладают доступом к постоянно обновляемым данным инвентаризации активов в Azure, например Azure Synapse Analytics. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков для организаций, а также для использования их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, в которую будут входить уполномоченные специалисты отдела безопасности организации. Затем назначьте группе доступ на чтения для всех ресурсов Azure Synapse Analytics. Это можно сделать с помощью одного высокоуровневого назначения ролей в подписке.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте инвентаризацию виртуальных машин Azure, чтобы автоматизировать сбор сведений о программном обеспечении на виртуальных машинах. На портале Azure доступны следующие информационные элементы:

  • Имя программного обеспечения
  • Версия
  • Publisher
  • Время обновления

Чтобы получить доступ к датам установки и другим сведениям, включите диагностику на уровне гостя. Затем перенесите журналы событий Windows в рабочую область Log Analytics.

В ресурсах Azure Synapse Analytics запрещен запуск приложений или установка программного обеспечения.

Ответственность: Совмещаемая блокировка

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Совмещаемая блокировка

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Инструкции: неприменимо. Azure Synapse Analytics не развертывает никаких вычислительных ресурсов, ориентированных на клиентов. Клиентам запрещено устанавливать приложения в службу.

Ответственность: Совмещаемая блокировка

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Инструкции. Для ресурсов Azure Synapse Analytics используйте встроенные функции обнаружения угроз в Microsoft Defender для облака, а также включите Microsoft Defender. Microsoft Defender для Azure Synapse Analytics предоставляет дополнительный уровень аналитики безопасности. Он выявляет необычные и потенциально опасные попытки получить доступ к ресурсам Azure Synapse Analytics или воспользоваться ими.

Можно определить политику аудита SQL для конкретной базы данных. Или определите ее как политику сервера по умолчанию в Azure (которая размещает Azure Synapse). Политика сервера применяется ко всем существующим и новым базам данных на сервере.

Если включен аудит для сервера, он обязательно применяется к базе данных. Аудит базы данных будет выполнен независимо от его параметров.

После включения аудита его данные можно записывать в журнал в следующих компонентах:

  • Учетная запись службы хранилища Azure
  • Рабочая область Log Analytics
  • Центры событий

Переадресуйте журналы из Azure Synapse Analytics в SIEM, чтобы использовать их для настройки пользовательских инструментов обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Инструкции. Azure AD предоставляет перечисленные ниже журналы пользователей. В рамках более сложных сценариев мониторинга и аналитики вы можете просматривать эти журналы в отчетах Azure AD. Или журналы можно интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами SIEM или мониторинга.

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.

  • Журналы аудита. Журналы аудита позволяют отслеживать все изменения, внесенные различными функциями в Azure AD. К примерам журналов аудита относятся изменения, внесенные в любой ресурс в Azure AD, например добавление или удаление:

    • пользователей;
    • Приложения
    • Группы
    • Роли
    • политик.
  • Рискованные входы. Рискованный вход означает попытку входа, которую мог предпринять человек, не являющийся правомерным владельцем учетной записи.

  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака также может создавать оповещения о некоторых подозрительных действиях. Например, о чрезмерном числе неудачных попыток проверки подлинности, а также об устаревших учетных записях в подписке. Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз Microsoft Defender для облака можно также использовать для сбора более подробных оповещений системы безопасности из:

  • отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры и служба приложений);
  • ресурсов данных (база данных SQL и хранилище);
  • уровней служб Azure.

Эта возможность позволяет видеть аномалии учетной записи внутри отдельных ресурсов.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2

LT-3: включение ведения журнала для сетевых операций Azure

Руководство. Включите и собирайте указанные ниже журналы для анализа безопасности.

  • Журналы ресурсов NSG
  • Журналы потоков NSG
  • Журналы Брандмауэра Azure
  • Журналы Брандмауэра веб-приложений (WAF)

Используйте журналы для поддержки:

  • расследований инцидентов;
  • Поиск угроз
  • генерации оповещений системы безопасности.

Журналы потоков можно отправить в рабочую область Log Analytics в Azure Monitor. Затем можно использовать Аналитику трафика для получения полезных сведений.

Azure Synapse Analytics регистрирует в журнале весь сетевой трафик, который обрабатывается для доступа клиента. Включите возможности сетевого потока в развернутых ресурсах предложения.

Используйте Расширенную защиту от угроз (ATP) для Azure Synapse SQL. ATP позволяет выявлять подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. ATP может активировать различные оповещения, например:

  • "Потенциальная атака путем внедрения кода SQL".
  • "Доступ из незнакомого расположения".

ATP является частью предложения Расширенной защиты данных (ADS). Для доступа к ATP и управления этим видом защиты можно использовать центральный портал SQL.

Собирайте журналы запросов DNS для корреляции других сетевых данных. Реализуйте стороннее решение из Azure Marketplace для ведения журнала DNS в соответствии с потребностями вашей организации.

Ответственность: Совмещаемая блокировка

LT-4: включение ведения журнала для ресурсов Azure

Инструкции. Автоматически доступные журналы действий содержат все операции записи (PUT, POST и DELETE) для ресурсов Azure Synapse Analytics. Журналы действий не содержат операции чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок. Их также можно использовать для наблюдения за тем, как пользователь в вашей организации изменяет ресурс.

Включите журналы ресурсов Azure для Azure Synapse Analytics. Используйте Microsoft Defender для облака и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут дать важные сведения для расследования инцидентов безопасности или для предъявления в суде.

Azure Synapse Analytics также создает журналы аудита безопасности. Включите эти журналы аудита, чтобы отслеживать события базы данных. Эти события можно записывать в журнал аудита в:

  • Ваша учетная запись хранения Azure
  • Рабочая область Log Analytics
  • Центры событий

Определите политику аудита для конкретной базы данных. Или определите ее как политику сервера по умолчанию в Azure (которая размещает выделенные пулы SQL).

Расширенная защита от угроз для SQL Server с поддержкой Azure Synapse Analytics обнаруживает аномальные действия. Это могут быть необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. Расширенная защита от угроз является частью предложения Microsoft Defender для SQL. Это предложение представляет собой это объединенный пакет расширенных функций безопасности SQL. Для доступа к Расширенной защите от угроз и управления ею можно использовать центральный портал Microsoft Defender для SQL.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Для каждого источника журнала назначьте:

  • владельца данных;
  • рекомендации по доступу;
  • Расположение хранения
  • средства, которые используются для обработки данных и доступа к ним;
  • требования к хранению данных.

Интегрируйте журналы действий Azure со своей централизованной системой ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, которые создаются:

  • устройствами конечных точек;
  • Сетевые ресурсы
  • Другие системы безопасности

В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа. После этого используйте учетные записи службы хранилища Azure для долгосрочного и архивного хранения.

Кроме того, включите и подключите данные к Microsoft Sentinel или сторонней системе SIEM.

Многие организации предпочитают задействовать Microsoft Sentinel для часто используемых "горячих" данных. Эти организации выбирают службу хранилища Azure для "холодных" данных, которые используются реже.

Azure Synapse Analytics отслеживает события базы данных. Эти события записываются в журнал аудита в одной из следующих сущностей:

  • Ваша учетная запись хранения Azure
  • Рабочая область Log Analytics
  • Центры событий

Эти журналы аудита помогают поддерживать соответствие нормативным требованиям и понимать действия в базе данных. Используя данные в этих журналах, вы сможете получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности. Для приложений, которые можно запускать в Azure Synapse Analytics, необходимо переадресовать все журналы безопасности в SIEM для централизованного управления.

Ответственность: Совмещаемая блокировка

LT-6: Настройка хранения журналов

Инструкции. У вас есть учетные записи хранения или рабочие области Log Analytics, которые используются для хранения журналов Azure Synapse Analytics? Тогда установите период хранения журнала в соответствии с нормативными требованиями организации.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 3.0.0

LT-7. Использование утвержденных источников синхронизации времени

Инструкции: неприменимо. Azure Synapse Analytics не поддерживает настройку ваших собственных источников синхронизации времени.

Служба Azure Synapse Analytics использует источники синхронизации времени от корпорации Майкрософт. Они не предоставляются клиентам для настройки.

Ответственность: Совмещаемая блокировка

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Инструкции. В рамках определения схемы в Azure Blueprints автоматизируйте развертывание и настройку служб и сред приложений, в том числе:

  • шаблонов Azure Resources Manager;
  • элементов управления Azure RBAC.
  • политик.

Аудит в Azure Synapse Analytics отслеживает события базы данных. Эти события записываются в журнал аудита в одной из следующих сущностей:

  • Ваша учетная запись хранения Azure
  • Рабочая область Log Analytics
  • Центры событий

Определите политику аудита для конкретной базы данных. Кроме того, эту политику можно определить как политику сервера по умолчанию в Azure (которая размещает выделенные пулы SQL для Azure Synapse). Microsoft Defender предоставляет набор расширенных возможностей обеспечения безопасности SQL, включая оценку уязвимостей SQL и Расширенную защиту от угроз.

Настройте оповещения для баз данных в Azure Synapse Analytics с помощью портала Azure.

Ответственность: Совмещаемая блокировка

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Инструкции. Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы. Используйте Политику Azure [отказывать] и [развернуть, если не существует] для принудительного применения безопасной конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и проч.

Определите политику аудита SQL для конкретной базы данных. Кроме того, эту политику можно определить как политику сервера по умолчанию в Azure (которая размещает выделенные пулы SQL). Политика аудита по умолчанию включает все действия и набор групп действий. Действия и группы действий будут выполнять аудит следующих элементов:

  • все запросы и хранимые процедуры, выполняемые в базе данных;
  • успешные и неудачные попытки входа.

Дополнительные сведения см. в следующих статьях:

Ответственность: Совмещаемая блокировка

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Инструкции. Используйте Microsoft Defender для облака и Политику Azure для создания безопасных конфигураций во всех вычислительных ресурсах, включая виртуальные машины, контейнеры и т. д.

Ответственность: Customer

PV-6. Выполнение оценки уязвимостей программного обеспечения

Инструкции. Корпорация Майкрософт управляет уязвимостью в базовых системах, поддерживающих Azure Synapse Analytics.

Ответственность: Microsoft

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Sql:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.0.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов Azure SQL, у которых отключена регулярная оценка уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 2.0.0

PV-8: регулярное моделирование атак

Инструкции. При необходимости выполните тестирование на проникновение или попытки нарушения безопасности "красной командой" в ресурсах Azure. Обязательно устраните все критические ошибки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы эти тесты не нарушали политику Майкрософт. Используйте стратегию корпорации Майкрософт и реализации "красной команды", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной

  • инфраструктуры;
  • служб;
  • Приложения

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-2. Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Инструкции. Обеспечьте защиту облачной службы и ее ресурсов с помощью современного программного обеспечения для защиты от вредоносных программ с централизованным управлением. Используйте централизованно управляемое решение для защиты конечных точек от вредоносного ПО. Убедитесь, что он может выполнять периодическое сканирование и сканирование в режиме реального времени.

Microsoft Defender для облака позволяет автоматически выполнять следующие действия:

  • обнаруживать использования ряда популярных решений для защиты от вредоносных программ на ваших виртуальных машинах;
  • сообщать о текущем состоянии защиты конечных точек;
  • предоставлять рекомендации.

Microsoft Antimalware для Облачных служб Azure — это антивредоносная программа, используемая по умолчанию для виртуальных машин Windows. Для виртуальных машин Linux используйте стороннее решение для защиты от вредоносных программ. Чтобы обнаруживать вредоносные программы, отправляемые в учетные записи службы хранилища Azure, используйте функцию обнаружения угроз для служб данных, доступную в Microsoft Defender для облака.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Инструкции. Моментальный снимок хранилища данных создает точку восстановления. Эту точку восстановления можно использовать для восстановления или копирования хранилища данных в предыдущее состояние. Поскольку выделенный пул SQL является распределенной системой, моментальный снимок хранилища данных содержит множество файлов, которые размещаются в хранилище Azure. Моментальные снимки фиксируют добавочные изменения в данных, содержащихся в хранилище данных. Моментальные снимки выделенного пула SQL автоматически создаются в течение дня. Они создают точки восстановления, доступные в течение семи дней. (Этот период хранения нельзя изменить.) Пул SQL поддерживает восьмичасовую целевую точку восстановления (RPO). В основном регионе хранилище данных можно восстановить из любого моментального снимка, сделанного за последние семь дней. При необходимости можно также активировать моментальные снимки вручную.

При использовании определяемых пользователем точек восстановления активируйте моментальные снимки вручную. В результате создаются точки восстановления хранилища данных до и после больших изменений. Это гарантирует логическую согласованность точек восстановления. Согласованность обеспечивает дополнительную защиту данных при прерываниях рабочей нагрузки или возникновении ошибок пользователей, что способствует быстрому восстановлению.

Пользовательские точки восстановления доступны в течение семи дней и автоматически удаляются от вашего имени. Пользователь не может самостоятельно изменить срок хранения пользовательских точек восстановления. В любой момент времени гарантируется наличие 42 пользовательских точек восстановления. Перед созданием другой точки восстановления эти точки восстановления необходимо удалить. Вы можете активировать моментальные снимки для создания пользовательских точек восстановления с помощью PowerShell или портала Azure.

Геоархивация выполняется один раз в день в парный центр обработки данных. Целевая точка восстановления для геовосстановления составляет 24 часа. Можно восстановить геоархив на сервер в любом другом регионе, в котором поддерживается выделенный пул SQL. Геоархивация позволяет восстановить хранилище данных, если не удается получить доступ к точкам восстановления в основном регионе. Если для выделенного пула SQL не требуются геоархивы, их можно отключить. В результате будут сокращены затраты на хранение для аварийного восстановления.

Если для шифрования DEK вы используете ключ, управляемый клиентом, обязательно делайте его резервные копии.

Ответственность: Совмещаемая блокировка

BR-2: шифрование данных резервного копирования

Инструкции. Используйте точки восстановления выделенного пула SQL для восстановления или копирования хранилища данных в предыдущее состояние в основном регионе. Для восстановления в другой географический регион используйте геоизбыточные резервные копии хранилища данных. Встроенная функция моментальных снимков позволяет создавать точки восстановления. Ее не нужно включать специально. Однако для создания точки восстановления выделенный пул SQL должен находиться в активном состоянии.

Что происходит после шифрования выделенного пула SQL с помощью TDE с использованием ключа из Key Vault? TDE также шифрует все созданные резервные копии с тем же предохранителем TDE. При изменении предохранителя TDE старые резервные копии выделенного пула SQL не обновляются до последней версии предохранителя TDE.

Как подготовиться к восстановлению резервной копии, зашифрованной с помощью предохранителя TDE из Key Vault? Убедитесь, что материал ключа доступен для целевого сервера. Сохраните все старые версии предохранителя TDE в Key Vault, чтобы можно было восстановить выделенные резервные копии выделенного пула SQL.

Ответственность: Совмещаемая блокировка

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Инструкции. Для восстановления или копирования хранилища данных в предыдущее состояние в основном регионе можно использовать точки восстановления выделенного пула SQL, а для восстановления в другом географическом регионе — геоизбыточные резервные копии хранилища данных.

При удалении выделенного пула SQL создается конечный моментальный снимок, который сохраняется в течение семи дней. Выделенный пул SQL можно восстановить до последней точки восстановления, созданной при удалении. Если выделенный пул SQL удаляется в приостановленном состоянии, моментальный снимок не создается. В таком сценарии перед удалением выделенного пула SQL создайте пользовательскую точку восстановления.

Регулярно проверяйте возможность восстановления управляемых клиентом ключей, имеющих резервные копии.

Ответственность: Совмещаемая блокировка

BR-4: снижение риска потери ключей

Инструкции. Убедитесь, что вы можете предотвратить потери ключей и выполнить восстановление после потери. Включите обратимое удаление и защиту от очистки в Azure Key Vault. В результате ключи будут защищены от случайного или злонамеренного удаления.

Ответственность: Совмещаемая блокировка

Дальнейшие действия