Создание базового плана для базы данных SQL Azure
База данных SQL Azure — это семейство продуктов для облачных реляционных баз данных, которые поддерживают многие функции, предлагаемые в Microsoft SQL Server. База данных SQL Azure предлагает простой переход от локальной базы данных к облачной базе данных со встроенными средствами диагностики, обеспечения избыточности и безопасности, а также масштабируемости.
Рекомендации по обеспечению безопасности Базы данных SQL Azure
В следующих разделах представлены рекомендации для Базы данных SQL Azure, содержащиеся в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности.
Включение аудита — уровень 1
Аудит для Базы данных SQL Azure и Azure Synapse Analytics отслеживает события базы данных и записывает их в журнал аудита в вашей учетной записи хранения Azure, рабочей области Azure Log Analytics или в Центрах событий Azure. Аудит также дает следующие возможности.
- Помогает обеспечить соответствие, проанализировать действия с базой данных, а также получить представление о несоответствиях и аномалиях, которые могут указывать на проблемы с бизнесом или предполагаемые нарушения безопасности.
- Средства аудита способствуют соблюдению стандартов соответствия, но не гарантируют их выполнения.
Чтобы включить аудит, для каждой базы данных в подписке Azure выполните следующие действия.
Войдите на портал Azure. Выполните поиск по запросу базы данных SQL и выберите этот пункт.
В меню слева в разделе Безопасность выберите Аудит.
В области Аудит включите параметр Включить аудит SQL Azure, а затем выберите хотя бы одно расположение журнала аудита.
Если вы изменили параметры, в строке меню выберите Сохранить.
Дополнительные сведения об аудите см. в статье Аудит для Базы данных SQL Azure и Azure Synapse Analytics.
Включить защиту SQL в Microsoft Defender для облака — уровень 1
Microsoft Defender для облака обнаруживает аномальные действия, которые указывают на необычные и потенциально опасные попытки доступа к базам данных или их использования. Defender для облака может выявлять следующее.
- Потенциальная атака путем внедрения кода SQL.
- Доступ из необычного расположения либо центра обработки данных.
- Доступ из незнакомого субъекта или потенциально опасного приложения.
- Подбор учетных данных SQL.
Вы можете получить доступ к угрозам SQL и управлять ими в меню Defender для облака.
Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.
В меню слева в разделе Управление выберите Параметры среды.
В области Планы Defender в разделе Microsoft Defender для установите для параметра Базы данных SQL Azure значение Вкл.
Вернитесь на Домашнюю страницу Azure. Выполните поиск по запросу базы данных SQL и выберите этот пункт.
Для каждого экземпляра базы данных в меню слева в разделе Безопасность выберите Defender для облака. Просматривайте рекомендации по безопасности, оповещения и результаты оценки уязвимостей для вашего экземпляра Базы данных SQL.
Настройка периода удержания аудита более 90 дней — уровень 1
Журналы аудита должны сохраняться для обеспечения безопасности и обнаружения, а также для соблюдения законодательных и нормативных требований. Выполните следующие действия для каждого экземпляра Базы данных SQL Azure в подписке Azure.
Войдите на портал Azure. Выполните поиск по запросу базы данных SQL и выберите этот пункт.
В меню слева в разделе Безопасность выберите Аудит.
Выберите место назначения журнала аудита, а затем разверните Дополнительные свойства.
Убедитесь, что значение параметра Хранение (в днях)превышает 90 дней.
Если вы изменили параметры, в строке меню выберите Сохранить.