Azure-säkerhetsbaslinje för Azure Database for PostgreSQL – enskild server

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 1.0 till Azure Database for PostgreSQL – enskild server. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Database for PostgreSQL – enskild server.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Database for PostgreSQL – Enskild server, eller för vilken ansvaret är Microsofts, har exkluderats. Information om hur Azure Database for PostgreSQL – enskild server mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Database for PostgreSQL – enskild serversäkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Konfigurera Private Link för Azure Database for PostgreSQL med privata slutpunkter. Med Private Link kan du ansluta till olika PaaS-tjänster i Azure via en privat slutpunkt. Azure Private Link ger dig tillgång till Azure-tjänster i ditt privata virtuella nätverk (VNet). Trafiken mellan ditt virtuella nätverk och PostgreSQL-instansen överförs till Microsofts stamnätverk.

Du kan också använda Virtual Network-tjänstslutpunkter för att skydda och begränsa nätverksåtkomsten till dina Azure Database for PostgreSQL implementeringar. Regler för virtuella nätverk är en brandväggssäkerhetsfunktion som avgör om Azure Database for PostgreSQL-servern accepterar kommunikation som skickas från specifika undernät i virtuella nätverk.

Du kan också skydda Azure Database for PostgreSQL-servern med brandväggsregler. Serverbrandväggen förhindrar all åtkomst till databasservern tills du anger vilka datorer som har behörighet. Du konfigurerar brandväggen genom att skapa brandväggsregler som anger intervall med godkända IP-adresser. Du kan skapa brandväggsregler på servernivå.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.DBforPostgreSQL:

Namn
(Azure Portal)
Beskrivning Effekter Version
(GitHub)
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverksgränssnitt

Vägledning: När din Azure Database for PostgreSQL-instans skyddas till en privat slutpunkt kan du distribuera virtuella datorer i samma virtuella nätverk. Du kan använda en nätverkssäkerhetsgrupp (NSG) för att minska risken för dataexfiltrering. Aktivera NSG-flödesloggar och skicka loggar till ett lagringskonto för trafikgranskning. Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Använd Advanced Threat Protection för Azure Database for PostgreSQL. Advanced Threat Protection identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.

Aktivera DDoS Protection Standard på de virtuella nätverk som är associerade med dina Azure Database for PostgreSQL-instanser för att skydda mot DDoS-attacker. Använd Microsoft Defender för molnintegrerad hotinformation för att neka kommunikation med kända skadliga eller oanvända IP-adresser på Internet.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: När din Azure Database for PostgreSQL-instans skyddas till en privat slutpunkt kan du distribuera virtuella datorer i samma virtuella nätverk. Du kan sedan konfigurera en nätverkssäkerhetsgrupp (NSG) för att minska risken för dataexfiltrering. Aktivera NSG-flödesloggar och skicka loggar till ett lagringskonto för trafikgranskning. Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Använd Advanced Threat Protection för Azure Database for PostgreSQL. Advanced Threat Protection identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.

Ansvar: Kund

1.8: Minimera komplexitet och administrativa kostnader för nätverkssäkerhetsregler

Vägledning: För resurser som behöver åtkomst till dina Azure Database for PostgreSQL-instanser använder du tjänsttaggar för virtuella nätverk för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (t.ex. SQL. Usa, västra) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Obs! Azure Database for PostgreSQL använder tjänsttaggen "Microsoft.Sql".

Ansvar: Kund

1.9: Underhålla standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för nätverksinställningar och nätverksresurser som är associerade med dina Azure Database for PostgreSQL-instanser med Azure Policy. Använd Azure Policy alias i namnrymderna "Microsoft.DBforPostgreSQL" och "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure Database for PostgreSQL-instanser. Du kan också använda inbyggda principdefinitioner relaterade till nätverk eller dina Azure Database for PostgreSQL instanser, till exempel:

  • DDoS Protection Standard ska vara aktiverat

  • Framtvinga TLS-anslutning ska vara aktiverat för PostgreSQL-databasservrar

Mer information finns i referenslänkarna nedan.

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Använd taggar för resurser som rör nätverkssäkerhet och trafikflöde för dina Azure Database for PostgreSQL-instanser för att tillhandahålla metadata och logisk organisation.

Använd någon av de inbyggda Azure Policy definitionerna relaterade till taggning, till exempel "Kräv tagg och dess värde", för att säkerställa att alla resurser skapas med taggar och för att meddela dig om befintliga otaggade resurser.

Du kan använda Azure PowerShell eller Azure CLI för att söka efter eller utföra åtgärder på resurser baserat på deras taggar.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka nätverksresurskonfigurationer och identifiera ändringar för nätverksresurser som är relaterade till dina Azure Database for PostgreSQL instanser. Skapa aviseringar i Azure Monitor som utlöses när ändringar av viktiga nätverksresurser sker.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Aktivera diagnostikinställningar och serverloggar och mata in loggar för att aggregera säkerhetsdata som genereras av dina Azure Database for PostgreSQL instanser. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring. Du kan också aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Aktivera diagnostikinställningar för dina Azure Database for PostgreSQL-instanser för åtkomst till gransknings-, säkerhets- och resursloggar. Se till att du specifikt aktiverar PostgreSQL-granskningsloggen. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element. Du kan också aktivera diagnostikinställningar för Azure-aktivitetsloggen och skicka loggarna till samma Log Analytics-arbetsyta eller lagringskonto.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: För Log Analytics-arbetsytan som används för att lagra dina Azure Database for PostgreSQL loggar i Azure Monitor anger du kvarhållningsperioden enligt organisationens efterlevnadsregler. Använd Azure Storage-konton för långsiktig/arkiveringslagring.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Analysera och övervaka loggar från dina Azure Database for PostgreSQL instanser för avvikande beteende. Använd Log Analytics i Azure Monitor för att granska loggar och köra frågor på loggdata. Du kan också aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Aktivera Advanced Threat Protection för Azure Database for PostgreSQL. Advanced Threat Protection identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.

Dessutom kan du aktivera serverloggar och diagnostikinställningar för PostgreSQL och skicka loggar till en Log Analytics-arbetsyta. Registrera Din Log Analytics-arbetsyta i Microsoft Sentinel eftersom den tillhandahåller en SOAR-lösning (Security Orchestration Automated Response). På så sätt kan spelböcker (automatiserade lösningar) skapas och användas för att åtgärda säkerhetsproblem.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identitet och Access Control.

3.1: Bevara en förteckning över administrativa konton

Vägledning: Underhåll en inventering av de användarkonton som har administrativ åtkomst till kontrollplanet (t.ex. Azure Portal) för dina Azure Database for PostgreSQL-instanser. Dessutom bör du ha en inventering av de administrativa konton som har åtkomst till dataplanet (i själva databasen) för dina Azure Database for PostgreSQL-instanser. (När du skapar PostgreSQL-servern anger du autentiseringsuppgifter för en administratörsanvändare. Den här administratören kan användas för att skapa ytterligare PostgreSQL-användare.)

Azure Database for PostgreSQL stöder inte inbyggd rollbaserad åtkomstkontroll, men du kan skapa anpassade roller baserat på specifika resursprovideråtgärder.

Ansvar: Kund

3.2: Ändra standardlösenord där det är tillämpligt

Vägledning: Azure Active Directory (Azure AD) och Azure Database for PostgreSQL inte har begreppet standardlösenord.

När du skapar själva Azure Database for PostgreSQL resursen tvingar Azure fram skapandet av en administrativ användare med ett starkt lösenord. Men när PostgreSQL-instansen har skapats kan du använda det första serveradministratörskontot som du skapade kontot för att skapa ytterligare användare och bevilja administrativ åtkomst till dem. När du skapar dessa konton måste du konfigurera ett annat starkt lösenord för varje konto.

Ansvar: Kund

3.3: Använd dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton som har åtkomst till dina Azure Database for PostgreSQL-instanser. Använd Microsoft Defender för molnidentitet och åtkomsthantering för att övervaka antalet administrativa konton.

Ansvar: Kund

3.4: Använd enkel inloggning i Azure Active Directory (SSO)

Vägledning: Inloggning i Azure Database for PostgreSQL stöds både med användarnamn/lösenord som konfigurerats direkt i databasen, samt användning av en Azure Active Directory-identitet (Azure AD) och användning av en Azure AD token för att ansluta. När du använder en Azure AD token stöds olika metoder, till exempel en Azure AD användare, en Azure AD-grupp eller ett Azure AD program som ansluter till databasen.

Separat är kontrollplansåtkomst för PostgreSQL tillgängligt via REST API och stöder enkel inloggning. Om du vill autentisera anger du auktoriseringshuvudet för dina begäranden till en JSON-webbtoken som du får från Azure AD.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera multifaktorautentisering i Azure Active Directory (Azure AD) och följ rekommendationerna för Identitets- och åtkomsthantering i Microsoft Defender för molnet. När du använder Azure AD token för att logga in på databasen kan du kräva multifaktorautentisering för databasinloggningar.

Ansvar: Kund

3.6: Använd säkra, Azure-hanterade arbetsstationer för administrativa uppgifter

Vägledning: Använd paw-datorer (Privileged Access Workstations) med multifaktorautentisering konfigurerad för att logga in på och konfigurera Azure-resurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Aktivera Advanced Threat Protection för Azure Database for PostgreSQL för att generera aviseringar för misstänkt aktivitet.

Dessutom kan du använda Azure Active Directory (Azure AD) Privileged Identity Management (PIM) för generering av loggar och aviseringar när misstänkt eller osäker aktivitet inträffar i miljön.

Använd Azure AD riskidentifieringar för att visa aviseringar och rapporter om riskfyllda användarbeteenden.

Ansvar: Kund

3.8: Hantera Azure-resurser från endast godkända platser

Vägledning: Använd namngivna platser för villkorlig åtkomst för att tillåta portalen och Azure Resource Manager åtkomst från endast specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som centralt autentiserings- och auktoriseringssystem. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även saltar, hashar och lagrar användarautentiseringsuppgifter på ett säkert sätt.

För att logga in på Azure Database for PostgreSQL rekommenderar vi att du använder Azure AD och använder en Azure AD-token för att ansluta. När du använder en Azure AD token stöds olika metoder, till exempel en Azure AD användare, en Azure AD-grupp eller ett Azure AD program som ansluter till databasen.

Azure AD autentiseringsuppgifter kan också användas för administration på hanteringsplannivå (t.ex. Azure Portal) för att styra PostgreSQL-administratörskonton.

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Granska loggarna för Azure Active Directory (Azure AD) för att identifiera inaktuella konton som kan innehålla de med Azure Database for PostgreSQL administrativa roller. Dessutom kan du använda Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram som kan användas för att komma åt Azure Database for PostgreSQL och rolltilldelningar. Användaråtkomst bör granskas regelbundet, till exempel var 90:e dag, för att se till att endast rätt användare har fortsatt åtkomst.

Ansvar: Kund

3.11: Övervakaren försöker komma åt inaktiverade autentiseringsuppgifter

Vägledning: Aktivera diagnostikinställningar för Azure Database for PostgreSQL och Azure Active Directory (Azure AD) och skicka alla loggar till en Log Analytics-arbetsyta. Konfigurera önskade aviseringar (till exempel misslyckade autentiseringsförsök) i Log Analytics.

Ansvar: Kund

3.12: Avisering vid kontoinloggningsbeteendeavvikelse

Vägledning: Aktivera Advanced Threat Protection för Azure Database for PostgreSQL för att generera aviseringar för misstänkt aktivitet.

Använd identitetsskydds- och riskidentifieringsfunktioner i Azure Active Directory (Azure AD) för att konfigurera automatiserade svar på identifierade misstänkta åtgärder. Du kan aktivera automatiserade svar via Microsoft Sentinel för att implementera organisationens säkerhetssvar.

Du kan också mata in loggar i Microsoft Sentinel för ytterligare undersökning.

Ansvar: Kund

3.13: Ge Microsoft åtkomst till relevanta kunddata under supportscenarier

Vägledning: För närvarande inte tillgänglig; Customer Lockbox stöds ännu inte för Azure Database for PostgreSQL.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Bevara en förteckning över känslig information

Vägledning: Använd taggar för att spåra Azure Database for PostgreSQL instanser eller relaterade resurser som lagrar eller bearbetar känslig information.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Implementera separata prenumerationer och/eller hanteringsgrupper för utveckling, testning och produktion. Använd en kombination av Private Link, tjänstslutpunkter och/eller brandväggsregler för att isolera och begränsa nätverksåtkomsten till dina Azure Database for PostgreSQL instanser.

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: När du använder virtuella Azure-datorer för att komma åt Azure Database for PostgreSQL instanser använder du Private Link, PostgreSQL-nätverkskonfigurationer, nätverkssäkerhetsgrupper och tjänsttaggar för att minska risken för dataexfiltrering.

Microsoft hanterar den underliggande infrastrukturen för Azure Database for PostgreSQL och har implementerat strikta kontroller för att förhindra förlust eller exponering av kunddata.

Ansvar: Delad

4.4: Kryptera all känslig information under överföring

Vägledning: Azure Database for PostgreSQL stöder anslutning av PostgreSQL-servern till klientprogram med hjälp av TLS (Transport Layer Security), som tidigare kallades Secure Sockets Layer (SSL). Genom att framtvinga TLS-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. I Azure Portal kontrollerar du att "Framtvinga SSL-anslutning" är aktiverat för alla dina Azure Database for PostgreSQL-instanser som standard.

För närvarande är TLS-versioner som stöds för Azure Database for PostgreSQL TLS 1.0, TLS 1.1, TLS 1.2.

Ansvar: Delad

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.DBforPostgreSQL:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: Funktioner för dataidentifiering, klassificering och förlustskydd är ännu inte tillgängliga för Azure Database for PostgreSQL. Implementera en lösning från tredje part om det behövs i efterlevnadssyfte.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft allt kundinnehåll som känsligt och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.6: Använda Azure RBAC för att styra åtkomsten till resurser

Vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att styra åtkomsten till Azure Database for PostgreSQL kontrollplanet (t.ex. Azure Portal). För dataplansåtkomst (i själva databasen) använder du SQL-frågor för att skapa användare och konfigurera användarbehörigheter. Azure RBAC påverkar inte användarbehörigheter i databasen.

Ansvar: Kund

4.9: Logga och varna om ändringar av viktiga Azure-resurser

Vägledning: Använd Azure Monitor med Azure-aktivitetsloggen för att skapa aviseringar om när ändringar sker i produktionsinstanser av Azure Database for PostgreSQL och andra kritiska eller relaterade resurser.

Ansvar: Kund

Sårbarhetshantering

Mer information finns i Azure Security Benchmark: Sårbarhetshantering.

5.1: Kör automatiserade verktyg för sårbarhetsgenomsökning

Vägledning: Följ rekommendationerna från Microsoft Defender för molnet om att skydda dina Azure Database for PostgreSQL och relaterade resurser.

Microsoft utför sårbarhetshantering på de underliggande system som stöder Azure Database for PostgreSQL.

Ansvar: Delad

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management(Azure Security Benchmark: Inventering och tillgångshantering).

6.1: Använd en automatiserad lösning för identifiering av tillgångar

Vägledning: Använd Azure Resource Graph för att fråga och identifiera alla resurser (inklusive Azure Database for PostgreSQL instanser) i dina prenumerationer. Se till att du har rätt (läsbehörighet) i din klientorganisation och kan räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Använd taggar för att Azure Database for PostgreSQL instanser och andra relaterade resurser som ger metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra Azure Database for PostgreSQL instanser och relaterade resurser. Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

Ansvar: Kund

6.4: Definiera och underhålla inventeringen av godkända Azure-resurser

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för beräkningsresurser och Azure som helhet.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att ange begränsningar för vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper

  • Tillåtna resurstyper

Använd dessutom Azure-Resource Graph för att fråga/identifiera resurser i prenumerationerna.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att ange begränsningar för vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Mer information finns i referenslänkarna nedan.

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management". Detta kan förhindra att resurser skapas och ändras i en högsäkerhetsmiljö, till exempel instanser av Azure Database for PostgreSQL som innehåller känslig information.

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för dina Azure Database for PostgreSQL-instanser med Azure Policy. Använd Azure Policy alias i namnområdet "Microsoft.DBforPostgreSQL" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure Database for PostgreSQL-instanser. Du kan också använda inbyggda principdefinitioner relaterade till dina Azure Database for PostgreSQL instanser, till exempel:

  • Framtvinga TLS-anslutning ska vara aktiverat för PostgreSQL-databasservrar
  • Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar

Mer information finns i referenslänkarna nedan.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure-resurser.

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Om du använder anpassade Azure Policy definitioner för dina Azure Database for PostgreSQL-instanser och relaterade resurser använder du Azure Repos för att lagra och hantera koden på ett säkert sätt.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Använd Azure Policy alias i namnområdet "Microsoft.DBforPostgreSQL" för att skapa anpassade principer för att avisera, granska och framtvinga systemkonfigurationer. Dessutom kan du utveckla en process och pipeline för att hantera principfel.

Ansvar: Kund

7.9: Implementera automatiserad konfigurationsövervakning för Azure-resurser

Vägledning: Använd Azure Policy alias i namnområdet "Microsoft.DBforPostgreSQL" för att skapa anpassade principer för att avisera, granska och framtvinga systemkonfigurationer. Använd Azure Policy [granskning], [neka] och [distribuera om det inte finns] för att automatiskt framtvinga konfigurationer för dina Azure Database for PostgreSQL-instanser och relaterade resurser.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: För Azure Virtual Machines- eller webbprogram som körs på Azure App Service som används för att komma åt dina Azure Database for PostgreSQL-instanser använder du hanterad tjänstidentitet tillsammans med Azure Key Vault för att förenkla och skydda Azure Database for PostgreSQL hemlighetshantering. Kontrollera att Key Vault mjuk borttagning är aktiverat.

Ansvar: Kund

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Vägledning: Azure Database for PostgreSQL server stöder Azure Active Directory-autentisering (Azure AD) för åtkomst till databaser. När du skapar Azure Database for PostgreSQL-servern anger du autentiseringsuppgifter för en administratörsanvändare. Den här administratören kan användas för att skapa ytterligare databasanvändare.

För Azure Virtual Machines- eller webbprogram som körs på Azure App Service som används för att komma åt din Azure Database for PostgreSQL server använder du Hanterad tjänstidentitet tillsammans med Azure Key Vault för att lagra och hämta autentiseringsuppgifter för Azure Database for PostgreSQL server. Kontrollera att Key Vault mjuk borttagning är aktiverat.

Använd hanterade identiteter för att tillhandahålla Azure-tjänster med en automatiskt hanterad identitet i Azure AD. Med hanterade identiteter kan du autentisera till alla tjänster som stöder Azure AD-autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden.

Ansvar: Kund

7.13: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Implementera skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.2: Förgenomsöka filer som ska laddas upp till Azure-resurser som inte är beräkningsbaserade

Vägledning: Microsofts program mot skadlig kod är aktiverat på den underliggande värden som stöder Azure-tjänster (till exempel Azure Database for PostgreSQL), men det körs inte på kundinnehåll.

Förgenomsök allt innehåll som laddas upp till Azure-resurser som inte är beräkningsbaserade, till exempel App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL osv. Microsoft kan inte komma åt dina data i dessa instanser.

Ansvar: Delad

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Azure Database for PostgreSQL säkerhetskopierar datafilerna och transaktionsloggen. Beroende på den maximala lagringsstorlek som stöds tar vi antingen fullständiga och differentiella säkerhetskopior (max 4 TB lagringsservrar) eller säkerhetskopieringar av ögonblicksbilder (upp till högst 16 TB lagringsservrar). Med de här säkerhetskopiorna kan du återställa en server till valfri tidpunkt inom den konfigurerade kvarhållningsperioden för säkerhetskopior. Standardkvarhållningsperioden för säkerhetskopior är sju dagar. Du kan också konfigurera det upp till 35 dagar. Alla säkerhetskopior krypteras med AES 256-bitars kryptering.

Ansvar: Delad

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.DBforPostgreSQL:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiering av kundhanterade nycklar

Vägledning: Azure Database for PostgreSQL skapar automatiskt serversäkerhetskopior och lagrar dem i antingen lokalt redundant eller geo-redundant lagring, enligt användarens val. Säkerhetskopieringar kan användas för att återställa servern till en vald tidpunkt. Säkerhetskopiering och återställning är en viktig del i strategin för affärskontinuitet, eftersom de skyddar dina data från oavsiktlig skada eller borttagning.

Om du använder Azure Key Vault för att lagra autentiseringsuppgifter för dina Azure Database for PostgreSQL-instanser kontrollerar du regelbundna automatiska säkerhetskopior av dina nycklar.

Ansvar: Delad

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.DBforPostgreSQL:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: I Azure Database for PostgreSQL skapar en återställning en ny server från den ursprungliga serverns säkerhetskopior. Det finns två typer av återställning: återställning till tidpunkt och geo-återställning. Återställning till tidpunkt är tillgängligt med båda alternativen för säkerhetskopieringsredundans och skapar en ny server i samma region som den ursprungliga servern. Geo-återställning är endast tillgängligt om du har konfigurerat servern för geo-redundant lagring och gör att du kan återställa servern till en annan region.

Den beräknade återställningstiden beror på flera faktorer, däribland databasstorlekarna, transaktionsloggens storlek, nätverkets bandbredd samt det totala antalet databaser som återställs i samma region vid samma tidpunkt. Återställningstiden är vanligtvis mindre än 12 timmar.

Testa regelbundet återställningen av dina Azure Database for PostgreSQL-instanser.

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Azure Database for PostgreSQL tar fullständiga säkerhetskopior, differentiella säkerhetskopior och transaktionsloggar. Med de här säkerhetskopiorna kan du återställa en server till valfri tidpunkt inom den konfigurerade kvarhållningsperioden för säkerhetskopior. Standardkvarhållningsperioden för säkerhetskopior är sju dagar. Du kan också konfigurera det upp till 35 dagar. Alla säkerhetskopior krypteras med AES 256-bitars kryptering.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller det mått som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom tydligt prenumerationer (t.ex. produktion, icke-prod) och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemets incidenthanteringsfunktioner regelbundet. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation för säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att kundens data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna från Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsofts regler för engagemang för att säkerställa att dina intrångstester inte bryter mot Microsofts principer: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Ansvar: Delad

Nästa steg