Azure-säkerhetsbaslinje för Azure Database Migration Service

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Database Migration Service. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Database Migration Service.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Database Migration Service, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Database Migration Service mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Database Migration Service säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: När du distribuerar Azure Database Migration Service resurser måste du skapa eller använda ett befintligt virtuellt nätverk. Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras i sitt eget virtuella nätverk och vara tillräckligt säkra med antingen en nätverkssäkerhetsgrupp (NSG) och/eller Azure Firewall.

Azure Database Migration Service använder TLS 1.2 som standard. Om det behövs för bakåtkompatibilitet för datakällan som migreras kan stöd för TLS 1.0 eller TLS 1.1 aktiveras på tjänstkonfigurationsbladet för din Azure Database Migration Service.

Använd Microsoft Sentinel för att identifiera användningen av äldre osäkra protokoll som SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos.

Så här skapar du en nätverkssäkerhetsgrupp med säkerhetsregler: /azure/virtual-network/tutorial-filter-network-traffic

Så här distribuerar och konfigurerar du Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Ansvar: Kund

NS-2: Koppla ihop privata nätverk

Vägledning: Om ditt användningsfall för migrering omfattar trafik mellan nätverk kan du använda Azure ExpressRoute eller Virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet, och de erbjuder mer tillförlitlighet, snabbare hastigheter och lägre svarstider än vanliga Internetanslutningar. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute. Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och behålls i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd i tillämpliga fall Azure Private Link för att aktivera privat åtkomst till käll- och måltjänster som Azure SQL Server eller andra nödvändiga tjänster under migreringen. I situationer där Azure Private Link ännu inte är tillgängligt använder du Azure Virtual Network-tjänstslutpunkter. Både Azure Private Link och tjänstslutpunkter ger säker åtkomst till tjänster via en optimerad väg via Azures stamnätverk utan att passera Internet.

Kontrollera dessutom att förutsättningarna är uppfyllda innan du etablerar Azure Database Migration Service i det virtuella nätverket, inklusive de kommunikationsportar som måste tillåtas.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Database Migration Service använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.

Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Skyddet av Azure AD bör ha hög prioritet i organisationens säkerhetspraxis för molnet. Azure AD ger dig en identitetsskyddspoäng som hjälper dig att utvärdera identiteternas säkerhet i relation till Microsofts rekommendationer kring regelverk. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

OBS! Azure AD har stöd för externa identiteter som gör att användare utan ett Microsoft-konto kan logga in i sina program och resurser med en extern identitet.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Database Migration Service kräver att användarna skapar ett program-ID (tjänstprincip) och en autentiseringsnyckel i Azure Active Directory (Azure AD) för migreringar till Azure SQL Database Managed Instance i onlineläge. Det här program-ID:t kräver antingen rollen Deltagare på prenumerationsnivå (vilket inte rekommenderas på grund av den överdrivna åtkomstbehörigheter som deltagarrollen skulle beviljas) eller skapande av anpassade roller med specifika behörigheter som Azure Database Migrations Service kräver.

Vi rekommenderar att du tar bort det här program-ID:t när migreringen är klar.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Database Migration Service är integrerat med Azure Active Directory för identitets- och åtkomsthantering till Azure-resurser, molnprogram och lokala program. I det här ingår företagsidentiteter som anställda samt externa identiteter som partner, och leverantörer. På så sätt kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser både lokalt och i molnet. Anslut alla användare, appar och enheter till Azure AD för en smidig och säker åtkomst samt bättre insyn och kontroll.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Azure Database Migration Service gör det möjligt för kunder att distribuera/köra kod eller konfigurationer eller lagrade data potentiellt med identiteter/utsöndrar rekommenderar vi att du implementerar Credential Scanner för att identifiera autentiseringsuppgifter i kod eller konfigurationer eller sparade data. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Om GitHub används kan du använda funktionen för intern hemlighetsgenomsökning för att identifiera autentiseringsuppgifter eller andra typer av hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Azure Database Migration Service kräver att användarna skapar ett program-ID (tjänstprincip) och en autentiseringsnyckel i Azure Active Directory (Azure AD) för migreringar till Azure SQL Database Managed Instance i onlineläge. Vi rekommenderar att du tar bort det här program-ID:t när migreringen är klar.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Det är viktigt med säkra och isolerade arbetsstationer för att skydda känsliga roller som administratörer, utvecklare och operatörer av kritiska tjänster. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory, Microsoft Defender Avancerat skydd (ATP) och Microsoft Intune när du ska distribuera en säker och hanterad arbetsstation för administrativa uppgifter. Skyddade arbetsstationer kan hanteras centralt för att upprätthålla en säker konfiguration med kraftfulla baslinjer för autentisering, programvara och maskinvara samt begränsad logisk och nätverksbaserad åtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Database Migration Service är integrerad med rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, gruppera tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller frågas via verktyg som Azure CLI, Azure PowerShell eller Azure-portalen. De behörigheter som du tilldelar resurser via Azure RBAC bör alltid vara begränsade till vad som krävs av rollerna. Det här är ett komplement till JIT-metoden (just in time) för Azure AD Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörighet och skapa bara en anpassad roll vid behov.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-4: Kryptera känslig information under överföring

Vägledning: Azure Database Migration Service krypterar data som överförs från de källor som kunden har konfigurerat till databasmigreringstjänstens instans som standard med TLS 1.2 eller senare. Du kan välja att inaktivera detta om källservern inte stöder TLS 1.2-anslutning, även om det rekommenderas att du inte gör det. Överföring av data från databasmigreringstjänstens instans till målinstansen krypteras alltid.

Utanför Azure Database Migration Service kan du använda åtkomstkontroller, data under överföring bör skyddas mot "out of band"-attacker (t.ex. trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data. Kontrollera för HTTP-trafik att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för okrypterat protokoll. Föråldrade SSL/TLS/SSH-versioner, protokoll och svaga chiffer bör inaktiveras.

I den underliggande infrastrukturen tillhandahåller Azure data i transitkryptering som standard för datatrafik mellan Azure-datacenter.

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Azure Database Migration Service tillåter inte körning av ett program eller installation av programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.

  • Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är de resursändringar som görs i Azure AD, som att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.

  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också avisera om vissa misstänkta aktiviteter, till exempel överdrivet många misslyckade autentiseringsförsök, inaktuella konton i prenumerationen. Förutom den grundläggande säkerhetshygienövervakningen kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Den här funktionen ger dig insyn i kontoavvikelser i de enskilda resurserna.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Aktivera och samla in nätverkssäkerhetsgruppsloggar (NSG), NSG-flödesloggar, Azure Firewall loggar och Web Application Firewall-loggar (WAF) för säkerhetsanalys för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Traffic Analytics för att ge insikter.

Obs! Azure Database Migration Service inte producerar eller bearbetar DNS-frågeloggar som måste aktiveras.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivlagring.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Kund

Nästa steg