创建 Azure SQL 数据库基线

  • 5 分钟

Azure SQL 数据库是一种基于云的关系数据库产品系列,支持 Microsoft SQL Server 中提供的许多功能。 Azure SQL 数据库提供了从本地数据库到具有内置诊断、冗余、安全性和可伸缩性的基于云的数据库的轻松转换。

Azure SQL 数据库安全建议

以下部分介绍了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 Azure SQL 数据库建议。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤,并使用自己的资源来验证每个安全建议。

启用审核 - 级别 1

审核 Azure SQL 数据库和 Azure Synapse Analytics 可跟踪数据库事件,并将这些事件写入 Azure 存储帐户、Azure Log Analytics 工作区或 Azure 事件中心内的审核日志。 审核还可:

  • 帮助你保持法规遵从性、了解数据库活动,以及深入了解可以提醒你注意业务考量因素或疑似安全违规的偏差和异常。
  • 实现并促进遵从合规标准,但不能保证合规性。

若要启用审核,请针对 Azure 订阅中的每个数据库完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“SQL 数据库”。

  2. 在左侧菜单的“安全性”下,选择“审核”。

  3. 在“审核”窗格中,启用“启用 Azure SQL 审核”,然后选择至少一个审核日志目标。

  4. 如果更改任何设置,请在菜单栏中选择“保存”。

Screenshot that shows how to turn on auditing for Azure SQL databases.

有关审核的详细信息,请参阅审核 Azure SQL 数据库和 Azure Synapse Analytics

在 Microsoft Defender for Cloud 中启用 SQL 保护 - 级别 1

Microsoft Defender for Cloud 检测到异常活动,表明尝试访问或利用数据库的行为异常且可能有害。 Defender for Cloud 可以识别:

  • 潜在的 SQL 注入。
  • 来自异常位置或数据中心的访问。
  • 来自陌生主体或可能有害的应用程序的访问。
  • 暴力攻击 SQL 凭据。

可以在 Defender for Cloud 菜单中访问和管理 SQL 威胁。

  1. 登录 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 在“Defender 计划”窗格中的“Microsoft Defender for”下,将“Azure SQL 数据库”设置为“开”。

    Screenshot that shows the Defender plans pane with the Azure SQL Databases plan turned on.

  4. 返回到 Azure 主页。 搜索并选择“SQL 数据库”。

  5. 对于每个数据库实例,在左侧菜单的“安全性”下,选择“Microsoft Defender for Cloud”。 查看 SQL 数据库实例的安全建议、警报和漏洞评估结果。

将审核保留期配置为超过 90 天 - 级别 1

出于安全性和发现目的,以及为满足法律和法规遵从性要求,应保留审核日志。 完成 Azure 订阅中每个Azure SQL 数据库实例的以下步骤。

  1. 登录 Azure 门户。 搜索并选择“SQL 数据库”。

  2. 在左侧菜单的“安全性”下,选择“审核”。

  3. 选择“审核日志目标”,然后展开“高级属性”。

  4. 确保“保留期(天)”大于 90 天。

  5. 如果更改任何设置,请在菜单栏中选择“保存”。

Screenshot that shows the SQL databases Auditing pane.