Azure-säkerhetsbaslinje för Synapse Analytics-arbetsyta

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Synapse Analytics-arbetsytan. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Synapse Analytics-arbetsytan.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Synapse Analytics-arbetsytan och de för vilka den globala vägledningen rekommenderas ordagrant har exkluderats. Om du vill se hur Synapse Analytics-arbetsytan helt mappas till Azure Security Benchmark kan du läsa den fullständiga mappningsfilen för Synapse Analytics-arbetsytans säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: När du distribuerar Azure Synapse arbetsyteresurser skapar eller använder du ett befintligt virtuellt nätverk. Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras inom sitt eget virtuella nätverk och vara tillräckligt säkra med en nätverkssäkerhetsgrupp (NSG) och/eller Azure Firewall.

Använd Azure Security Center anpassningsbar nätverkshärdning för att rekommendera konfigurationer av nätverkssäkerhetsgrupper som begränsar portar och käll-IP-adresser baserat på referensen till regler för extern nätverkstrafik.

Azure Synapse Analytics tillhandahåller Hanterad Virtual Network-arbetsyta. Det är en SKU för Synapse-arbetsytan som är associerad med Virtual Network som hanteras av Azure Synapse. Du kan bara skapa hanterade privata slutpunkter på en arbetsyta som har en hanterad arbetsyta Virtual Network associerad med den.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på reglerna för nätverkssäkerhetsgrupper. För specifika, väldefinierade program (till exempel en app med tre nivåer) kan detta vara en mycket säker nekande som standard

Med hanterad Virtual Network-arbetsyta kan inkommande NSG-regler i dina egna virtuella nätverk tillåta Azure Synapse hanteringstrafik att ange din Virtual Network. Dessutom behöver du inte skapa ett undernät för dina Spark-kluster baserat på hög belastning.

Använd Azure Sentinel för att identifiera användningen av äldre osäkra protokoll som SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos.

Synapse SQL i Azure Synapse Analytics tillåter anslutningar med alla TLS-versioner. Du kan inte ange den lägsta TLS-versionen för Synapse SQL i Azure Synapse Analytics. Andra Synapse-funktioner använder TLS 1.2 som standard.

Se till att brandväggen i nätverket och i den lokala datorn tillåter utgående kommunikation via TCP-port 80, 443 och 1443 för Synapse Studio. Du måste också tillåta utgående kommunikation på UDP-port 53 för Synapse Studio. Om du vill ansluta med verktyg som SSMS och Power BI måste du tillåta utgående kommunikation via TCP-port 1433.

Brandväggsinställningen på Azure Synapse-portalen kan blockera alla anslutningar till det offentliga nätverket.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Åtkomst till offentligt nätverk på Azure SQL-databas bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att din Azure SQL-databas endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0

NS-2: Koppla ihop privata nätverk

Vägledning: Använd Azure ExpressRoute eller Virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar upprättas inte via offentligt internet, och de är tillförlitligare, snabbare och har kortare svarstider och högre säkerhet än vanliga anslutningar över internet. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och behålls i Azure-stamnätverket.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Du kan skapa hanterade privata slutpunkter från din Azure Synapse-arbetsyta för att få åtkomst till Azure-tjänster (till exempel Azure Storage eller Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster.

Använd Azure Private Link för att aktivera privat åtkomst till Azure Synapse arbetsyta från dina virtuella nätverk utan att korsa Internet.

Privat åtkomst är ytterligare ett djupgående skydd för den autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Det finns två steg för att ansluta till Synapse Studio med hjälp av privata länkar. Först måste du skapa en resurs för privata länkhubbar. För det andra måste du skapa en privat slutpunkt från ditt virtuella Azure-nätverk till den här privata länkhubben. Du kan sedan använda privata slutpunkter för att kommunicera säkert med Synapse Studio. Du måste integrera de privata slutpunkterna med din DNS-lösning, antingen din lokala lösning eller Azure-Privat DNS.

Använd Azure Virtual Network-tjänstslutpunkter för att ge säker åtkomst till Azure Synapse arbetsyta via en optimerad väg över Azure-stamnätverket utan att korsa Internet.

Privat åtkomst är ytterligare ett djupgående skydd för den autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda dina Azure Synapse arbetsyteresurser mot attacker från externa nätverk, inklusive DDoS-attacker (Distributed Denial of Service), programspecifika attacker och oönskad och potentiellt skadlig Internettrafik. Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Skydda dina tillgångar mot DDoS-attacker genom att aktivera DDoS-standardskydd i dina virtuella Azure-nätverk. Använd Azure Security Center för att identifiera felkonfigurationsrisker för dina nätverksrelaterade resurser.

Azure Synapse Arbetsyta är inte avsedd att köra webbprogram och kräver inte att du konfigurerar ytterligare inställningar eller distribuerar några extra nätverkstjänster för att skydda den mot externa nätverksattacker som riktar sig mot webbprogram.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker som dinglande DNS-, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning osv.

När Azure DNS används som din auktoritativa DNS-tjänst ska du se till att DNS-zoner och poster skyddas mot oavsiktliga eller skadliga ändringar med hjälp av Azure RBAC och resurslås.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Synapse-arbetsytan använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD ger en identitetssäkerhetspoäng som hjälper dig att utvärdera identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder externa identiteter som gör att användare utan ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Användare med Azures ägar- eller deltagarroller (Azure RBAC) i resursgruppen kan hantera dedikerade SQL-pooler, Spark-pooler och Integration Runtime i Synapse. Utöver detta utökar Synapse RBAC funktionerna i Azure RBAC för att styra vem som kan läsa eller publicera kodartefakter, köra kod, komma åt länkade tjänster och övervaka eller avbryta jobbkörning.

Azure AD autentisering använder oberoende databasanvändare eller användare på poolnivå för att autentisera identiteter på databasnivå för SQL-pooler i Azure Synapse Analytics. Synapse stöder även SQL-autentisering för SQL-pooler. Med den här autentiseringsmetoden skickar användaren ett användarnamn och tillhörande lösenord för att upprätta en anslutning. Det här lösenordet lagras i huvuddatabasen för användarkonton som är länkade till en inloggning eller lagras i databasen som innehåller de användarkonton som inte är länkade till någon inloggning.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Inaktiverad 1.0.0

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Synapse Arbetsyta stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter med Azure Synapse arbetsyta i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser. Azure Synapse arbetsytan kan autentiseras internt mot De Azure-tjänster/resurser som stöder Azure AD autentisering via en fördefinierad regel för åtkomstbidrag utan att använda autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

Azure Synapse Analytics använder den hanterade identiteten för att integrera pipelines.

Azure Synapse Arbetsyta rekommenderar att du använder Azure AD för att skapa ett huvudnamn för tjänsten med begränsad behörighet på resursnivå för att konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter. I båda fallen kan Azure Key Vault användas tillsammans med Azure-hanterade identiteter så att körningsmiljön (till exempel en Azure-funktion) kan hämta autentiseringsuppgifterna från nyckelvalvet.

Azure Synapse Analytics stöder kundhanterade nycklar (CMK) för kryptering. Den här krypteringen använder nycklar som genereras i Azure Key Vault.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Synapse-arbetsytan använder Azure Active Directory för att tillhandahålla identitets- och åtkomsthantering till Azure-resurser, molnprogram och lokala program. Detta omfattar företagsidentiteter, till exempel anställda, samt externa identiteter som partners, leverantörer och leverantörer. På så sätt kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser lokalt och i molnet. Anslut alla användare, appar och enheter till Azure AD för en smidig och säker åtkomst samt bättre insyn och kontroll.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Azure Synapse Analytics kan göra det möjligt för kunder att distribuera eller köra följande entiteter som kan ha identiteter eller hemligheter:

  • Kod
  • Konfigurationer
  • Sparade data

Implementera Skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter inom dessa entiteter. Skannern för autentiseringsuppgifter uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser, till exempel Azure Key Vault. För GitHub använder du funktionen för intern genomsökning av hemligheter. Den här funktionen identifierar autentiseringsuppgifter eller andra former av hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som är tilldelade till dessa två roller kan delegera administratörsroller:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD, samt tjänster som använder Azure AD identiteter.
  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD, samt inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.

Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller med vissa privilegierade behörigheter tilldelade. Du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar.

Du bör begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med den här behörigheten kan direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö.

Du kan aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

Azure Synapse arbetsyta har följande konton med hög behörighet:

  • Azure-ägare i resursgruppen
  • Azure-deltagare i resursgruppen
  • Storage Blob Data-deltagare i ADLS g2-lagringscontainern som är associerad med Synapse
  • Synapse-administratör
  • Synapse SQL-administratör
  • Synapse Spark-administratör

Skapa standardprocedurer för användning av dedikerade administrativa konton.

När du först skapar en Azure Synapse arbetsyta kan du ange en administratörsinloggning och ett lösenord för SQL-pooler på Synapse-arbetsytan. Det här administrativa kontot kallas Serveradministratör. Du kan identifiera serveradministratörskontot för Synapse genom att öppna Azure Portal och gå till översiktsfliken på Synapse-arbetsytan. Du kan också konfigurera ett Azure AD administratörskonto med fullständig administratörsbehörighet. Detta krävs om du vill aktivera Azure Active Directory-autentisering.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Azure Synapse-arbetsytan använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och få åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD och åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management (PIM) för att skapa arbetsflöden för åtkomstgranskningsrapporter för att underlätta granskningsprocessen.

Dessutom kan Azure AD PIM också konfigureras för att varna dig när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Azure Synapse arbetsytor kräver att användare i azure-ägar- eller Azure-deltagarroller i resursgruppen kontrollerar hanteringen av sina dedikerade SQL-pooler, Spark-pooler och integrationskörningar. Utöver detta måste användare och arbetsytans systemidentitet beviljas åtkomst för Storage Blob Data Contributor till ADLS Gen2-lagringscontainern som är associerad med Synapse-arbetsytan. När du använder SQL-autentisering skapar du oberoende databasanvändare i SQL-poolerna. Se till att du placerar en eller flera databasanvändare i en anpassad databasroll med specifika behörigheter som är lämpliga för den gruppen med användare.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Synapse-arbetsytan är integrerad med rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, grupper av tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. De behörigheter som du tilldelar resurser via Azure RBAC bör alltid vara begränsade till vad som krävs av rollerna. Detta kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Azure Synapse Analytics kräver att användare med azure-ägar- eller Azure-deltagarroller i resursgruppen kontrollerar hanteringen av sina dedikerade SQL-pooler, Spark-pooler och integreringskörningar. Utöver detta måste användare och arbetsytans systemidentitet beviljas åtkomst för Storage Blob Data Contributor till ADLS Gen2-lagringscontainern som är associerad med Synapse-arbetsytan.

När du först skapar en Azure Synapse arbetsyta kan du ange en administratörsinloggning och ett lösenord för SQL-pooler på Synapse-arbetsytan. Det här administrativa kontot kallas Serveradministratör. Du kan identifiera serveradministratörskontot för Synapse genom att öppna Azure Portal och gå till översiktsfliken på Synapse-arbetsytan. Du kan också konfigurera ett Azure AD administratörskonto med fullständig administratörsbehörighet. Detta krävs om du vill aktivera Azure Active Directory-autentisering

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: I supportscenarier där Microsoft behöver åtkomst till kunddata stöder Azure Synapse Workspace Customer Lockbox för att tillhandahålla ett gränssnitt där du kan granska och godkänna eller avvisa begäranden om åtkomst till kunddata.

I supportscenarier där Microsoft behöver åtkomst till data relaterade till SQL Database i din dedikerade SQL-pool, tillhandahåller Azure Customer Lockbox ett gränssnitt där du kan granska och godkänna eller avvisa dataåtkomstbegäranden.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märk upp känsliga data

Vägledning: Dataidentifiering och -klassificering är inbyggt i Azure SQL och stöder följande funktioner: Identifiering och rekommendationer – Klassificeringsmotorn söker igenom databasen och identifierar kolumner som innehåller potentiellt känsliga data. Sedan får du ett enkelt sätt att granska och tillämpa rekommenderad klassificering via Azure Portal.

Etikettering – Du kan tillämpa känslighetsklassificeringsetiketter beständigt på kolumner med hjälp av nya metadataattribut som har lagts till i SQL Server databasmotorn. Dessa metadata kan sedan användas för känslighetsbaserad granskning och skyddsscenarier.

Känslighet för frågeresultatuppsättning – Känsligheten för en frågeresultatuppsättning beräknas i realtid i granskningssyfte.

Synlighet – Du kan visa databasklassificeringstillståndet på en detaljerad instrumentpanel i Azure Portal. Du kan också ladda ned en rapport i Excel-format som ska användas för efterlevnads- och granskningsändamål och andra behov.

Identifiera, klassificera och märka känsliga data så att du kan utforma lämpliga kontroller för att säkerställa att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.

Använd Azure Information Protection (och dess associerade genomsökningsverktyg) för känslig information i Office-dokument på Azure, lokalt, Microsoft 365 och andra platser.

Du kan använda Azure SQL-Information Protection för att hjälpa till med klassificering och märkning av information som lagras i Azure SQL-databaser.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Känsliga data i dina SQL-databaser ska klassificeras Microsoft Defender för molnet övervakar genomsökningsresultaten för dataidentifiering och klassificering för dina SQL-databaser och ger rekommendationer för att klassificera känsliga data i dina databaser för bättre övervakning och säkerhet AuditIfNotExists, Inaktiverad 3.0.0-förhandsversion

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med rollbaserad åtkomstkontroll i Azure (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll anpassas till din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

För den underliggande plattformen (som hanteras av Microsoft) behandlar Microsoft allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Azure Synapse Analytics erbjuder dubbel kryptering med en kundhanterad nyckel för data i SQL-pooler, Spark-pooler och Azure Data Factory integrationskörningar, pipelines och datauppsättningar.

Använd funktionen Azure Synapse sql-dataidentifiering och -klassificering. Dessutom kan du konfigurera en DDM-princip (dynamic data masking) i Azure Portal. DDM-rekommendationsmotorn flaggar vissa fält från databasen som potentiellt känsliga fält som kan vara bra kandidater för maskering.

Transparent datakryptering (TDE) hjälper till att skydda data i Synapse-dedikerade SQL-pooler mot hot om skadlig offlineaktivitet genom att kryptera vilande data. TDE utför realtidskryptering och realtidsdekryptering av databasen, tillhörande säkerhetskopior och transaktionsloggfiler i vila, utan att några ändringar krävs i programmet.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, Inaktiverad 2.0.0

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: Azure Synapse Arbetsytan stöder överföring av kunddata men stöder inte övervakning av obehörig överföring av känsliga data internt.

Azure Storage Advanced Threat Protection (ATP) och Azure SQL ATP kan varna vid avvikande överföring av information som kan tyda på obehörig överföring av känslig information.

Om det krävs för att förhindra skydd mot dataförlust (DLP) kan du använda en värdbaserad DLP-lösning för att genomdriva detektionskontroller och/eller förebyggande kontroller för att förhindra dataexfiltrering.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out of band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure Synapse Arbetsyta stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Azure Synapse Arbetsyta vilande data för att skydda mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data har du alternativ för att implementera ytterligare kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller även alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster för att uppfylla regelkraven.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. AuditIfNotExists, Inaktiverad 1.0.2
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Implementering av transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. AuditIfNotExists, Inaktiverad 2.0.1
Transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, Inaktiverad 2.0.0

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker för tillgångar

Riktlinjer: Se till att säkerhetsteamen beviljas behörigheter för säkerhetsläsare i din Azure-klient och prenumerationer som gör att de kan övervaka säkerhetsrisker med hjälp av Azure Security Center.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Azure Synapse arbetsyta. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure Active Directory-grupp (Azure AD) som ska innehålla organisationens auktoriserade säkerhetsteam och tilldela dem läsbehörighet till alla Azure Synapse arbetsyteresurser, vilket kan förenklas genom en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på Virtual Machines. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta.

Azure Synapse Arbetsytan tillåter inte körning av ett program eller installation av programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Delad

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den Azure Security Center inbyggda funktionen för hotidentifiering och aktivera Azure Defender (tidigare Azure Advanced Threat Protection) för dina Azure Synapse arbetsyteresurser. Azure Defender för Azure Synapse-arbetsytan ger ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Azure Synapse arbetsyteresurser.

Vidarebefordra loggar från Azure Synapse till Azure Sentinel som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Azure Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.
  • Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som görs i alla resurser inom Azure AD, till exempel lägga till eller ta bort användare, appar, grupper, roller och principer.
  • Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.
  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Azure Security Center kan också utlösa aviseringar om vissa misstänkta aktiviteter, till exempel överdrivet många misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande säkerhetshygienövervakningen kan Azure Security Center hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du få insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Aktivera och samla in nätverkssäkerhetsgruppsloggar (NSG), NSG-flödesloggar, Azure Firewall loggar och Web Application Firewall-loggar (WAF) för säkerhetsanalys för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.

Azure Synapse-arbetsytan loggar all nätverkstrafik som bearbetas för kundåtkomst. Aktivera nätverksflödesfunktionen i dina distribuerade erbjudanderesurser

När du ansluter till din dedikerade SQL-pool och du har aktiverat flödesloggar för nätverkssäkerhetsgrupper (NSG) skickas loggar till ett Azure Storage-konto för trafikgranskning.

Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Se till att du samlar in DNS-frågeloggar för att korrelera andra nätverksdata. Implementera en lösning från tredje part från Azure Marketplace för DNS-loggning enligt organisationens behov.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar, som är automatiskt tillgängliga, innehåller alla skrivåtgärder (PUT, POST, DELETE) för dina Azure Synapse arbetsyteresurser förutom läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Azure Synapse-arbetsyta. Du kan använda Azure Security Center och Azure Policy för att aktivera insamling av resursloggar och loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Azure Monitor tillhandahåller infrastrukturmått, aviseringar och loggar på basnivå för de flesta Azure-tjänster. Azure-diagnostikloggar genereras av en resurs och innehåller omfattande, frekventa data om resursens drift. Azure Synapse Analytics kan skriva diagnostikloggar i Azure Monitor. I synnerhet loggar Synapse RABC-åtgärder.

Azure Synapse-arbetsytan skapar också säkerhetsgranskningsloggar för de lokala administratörskontona. Aktivera dessa granskningsloggar för lokala administratörer

Granskning för Azure SQL Azure Synapse Analytics spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, Log Analytics-arbetsyta eller Event Hubs. Dessa granskningsloggar hjälper dig att upprätthålla regelefterlevnad, förstå databasaktivitet och få insikter om avvikelser och avvikelser som kan tyda på affärsproblem eller misstänkta säkerhetsöverträdelser.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Granskning på SQL Server ska vara aktiverat Granskning av SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig och arkiveringslagring.

Dessutom aktiverar och registrerar du data till Azure Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Azure Sentinel för "heta" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

För program som kan köras på Azure Synapse arbetsyta vidarebefordrar du alla säkerhetsrelaterade loggar till SIEM för centraliserad hantering.

Granskning för Azure Synapse Analytics spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, Log Analytics-arbetsyta eller Event Hubs. Dessa granskningsloggar hjälper dig att upprätthålla regelefterlevnad, förstå databasaktivitet och få insikter om avvikelser och avvikelser som kan tyda på affärsproblem eller misstänkta säkerhetsöverträdelser.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Se till att alla lagringskonton eller Log Analytics-arbetsytor som används för att lagra Azure Synapse arbetsyteloggar har loggkvarhållningsperioden inställd enligt organisationens efterlevnadsregler.

Granskning för Azure Synapse Analytics spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, Log Analytics-arbetsyta eller Event Hubs. Dessa granskningsloggar hjälper dig att upprätthålla regelefterlevnad, förstå databasaktivitet och få insikter om avvikelser och avvikelser som kan tyda på affärsproblem eller misstänkta säkerhetsöverträdelser.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din SQL Server granskning till lagringskontots mål till minst 90 dagar. Kontrollera att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för att följa regelstandarder. AuditIfNotExists, Inaktiverad 3.0.0

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Microsoft underhåller tidskällor för de flesta PaaS- och SaaS-tjänster på Azure-plattformen. För dina virtuella datorer använder du en Microsoft-standardserver för nätverkstidsprotokoll (NTP) för tidssynkronisering om du inte har ett specifikt krav. Om du behöver stå upp för din egen NTP-server kontrollerar du att du skyddar UDP-tjänstporten 123.

Alla loggar som genereras av resurser i Azure tillhandahåller tidsstämplar med tidszonen som anges som standard.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer, inklusive Azure Resources Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.

SQL Server ska använda en tjänstslutpunkt för virtuellt nätverk.

Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer, inklusive Azure Resources Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.

Det finns ett antal erbjudandespecifika säkerhetsprinciper som tillskrivs Synapse Analytics utöver Azure Security Center baserade kontroller. Du kan till exempel skydda din Azure SQL Server till ett virtuellt nätverk via Private Link; övervaka och logga konfiguration och trafik för virtuella nätverk, undernät och nätverksgränssnitt med hjälp av NSG-flödesloggar och Trafikanalys, neka kommunikation med kända skadliga IP-adresser med hjälp av Advanced Threat Protection (ATP).

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Azure Security Center för att övervaka konfigurationsbaslinjen och framtvinga med hjälp av Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration över Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra.

Definiera en SQL-granskningsprincip för en specifik databas. Eller definiera den som en standardserverprincip i Azure (som är värd för dedikerade SQL-pooler). Standardgranskningsprincipen innehåller alla åtgärder och en uppsättning åtgärdsgrupper. Åtgärderna och åtgärdsgrupperna kommer att granska:

Ansvar: Kund

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Azure Security Center och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar och andra.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Azure Synapse arbetsyta.

Ansvar: Microsoft

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Sql:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, Inaktiverad 4.0.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 1.0.1
Sårbarhetsbedömning ska aktiveras på dina SQL-servrar Granska Azure SQL servrar som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 2.0.0

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Använd en korrigeringshanteringslösning från tredje part för programvara från tredje part. Eller använd System Center Uppdateringar Publisher för Configuration Manager. Azure Synapse Analytics inte använder eller kräver någon programvara från tredje part.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks.

Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Kund

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Skydda din Azure Synapse-arbetsyta eller dess resurser med en centralt hanterad modern programvara mot skadlig kod.

  • Använd en centralt hanterad lösning för skydd mot skadlig kod som kan genomsökas i realtid och regelbundet.

  • Azure Security Center kan automatiskt identifiera användningen av flera populära lösningar mot skadlig kod för dina virtuella datorer, rapportera statusen för slutpunktsskydd och sedan ge rekommendationer.

  • Microsoft Antimalware för Azure Cloud Services är standardprogrammet mot skadlig kod för virtuella Windows-datorer. För virtuella Linux-datorer använder du en lösning mot skadlig kod från tredje part. Du kan använda Azure Security Center hotidentifiering för datatjänster för att identifiera skadlig kod som laddats upp till Azure Storage-konton.

  • Konfigurera Microsoft Antimalware för Cloud Services och Virtual Machines

  • Slutpunktsskyddslösningar som stöds

Ansvar: Kund

ES-3: Se till att programvara och signaturer för program mot skadlig kod och signaturer uppdateras

Vägledning: Ej tillämpligt; Azure Synapse arbetsytan består inte av några virtuella datorer eller containrar som skulle kräva EDR-skydd (Endpoint Detection and Response).

Ansvar: Microsoft

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Ögonblicksbilder av dina dedikerade Synapse SQL-pooler tas automatiskt under dagen och skapar återställningspunkter som är tillgängliga i sju dagar. Det går inte att ändra kvarhållningsperioden. Dedikerade SQL-pooler stöder ett mål för åtta timmars återställningspunkt (RPO). Du kan återställa din SQL-pool i den primära regionen från någon av ögonblicksbilderna som tagits under de senaste sju dagarna. Observera att du även kan utlösa ögonblicksbilder manuellt om det behövs. Om du använder en kundhanterad nyckel för att kryptera din databaskrypteringsnyckel kontrollerar du att nyckeln säkerhetskopieras.

Ansvar: Delad

BR-2: Kryptera säkerhetskopierade data

Vägledning: Ögonblicksbilder av dina dedikerade Synapse SQL-pooler tas automatiskt under dagen och skapar återställningspunkter som är tillgängliga i sju dagar. Det går inte att ändra kvarhållningsperioden. Dedikerade SQL-pooler stöder ett mål för åtta timmars återställningspunkt (RPO). Du kan återställa din SQL-pool i den primära regionen från någon av ögonblicksbilderna som tagits under de senaste sju dagarna. Observera att du även kan utlösa ögonblicksbilder manuellt om det behövs. Om du använder en kundhanterad nyckel för att kryptera din databaskrypteringsnyckel kontrollerar du att nyckeln säkerhetskopieras.

Ansvar: Kund

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Ögonblicksbilder av din dedikerade SQL-pool tas automatiskt under dagen och skapar återställningspunkter som är tillgängliga i sju dagar. Det går inte att ändra kvarhållningsperioden. Den dedikerade SQL-poolen stöder ett mål för åtta timmars återställningspunkt (RPO). Du kan återställa informationslagret i den primära regionen från någon av ögonblicksbilderna som tagits under de senaste sju dagarna. Observera att du även kan utlösa ögonblicksbilder manuellt om det behövs.

Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Synapse stöder kundhanterade nycklar (CMK) för kryptering. Den här krypteringen använder nycklar som genererats i Azure Key Vault.

Ansvar: Delad

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från förlust av nycklar. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Delad

Nästa steg