Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de Microsoft Cloud Security Benchmark a Azure SQL. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure SQL.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure SQL. Para ver cómo Azure SQL se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure SQL.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure SQL, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | Bases de datos |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena contenido de clientes en reposo | Cierto |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente el servicio en una red virtual. Asigne direcciones IP privadas al recurso (si procede) a menos que haya una razón fuerte para asignar direcciones IP públicas directamente al recurso.
Referencia: Uso de reglas y puntos de conexión de servicio de red virtual para servidores en Azure SQL Database
Soporte para grupos de seguridad de red
Descripción: El tráfico de red del servicio respeta la asignación de reglas de los Grupos de Seguridad de Red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso de red en grupos de seguridad de red o Azure Firewall configurados para los recursos de Azure SQL. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Cuando se usan puntos de conexión de servicio para Azure SQL Database, se requiere una salida a las direcciones IP públicas de Azure SQL Database: los grupos de seguridad de red (NSG) deben estar abiertos en las direcciones IP de Azure SQL Database para permitir la conectividad. Puede hacerlo mediante el uso de etiquetas de servicio de grupos de seguridad de red para Azure SQL Database.
Referencia: Uso de reglas y puntos de conexión de servicio de red virtual para servidores en Azure SQL Database
NS-2: Protección de servicios en la nube con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos.
Referencia: Azure Private Link para Azure SQL Database y Azure Synapse Analytics
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Configuración de conectividad de Azure SQL
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. | Auditar, Denegar, Deshabilitado | 1.0.0 |
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Compartido |
Notas de características: Azure SQL Database admite varios mecanismos de autenticación del plano de datos, uno de los cuales es AAD.
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Uso de la autenticación de Azure Active Directory
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Azure SQL Database Access
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Deshabilitado | 1.0.0 |
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Referencia: Identidades administradas para el cifrado de datos transparente con BYOK
Principales de Servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: Azure SQL DB proporciona varias maneras de autenticarse en el plano de datos, una de las cuales es Azure AD e incluye identidades administradas y entidades de servicio.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Principal del servicio de Azure Active Directory con Azure SQL
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional al plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
Referencia: Acceso condicional con Azure SQL Database
IM-8: Restringir la exposición de credenciales y secretos
Características
Credenciales de servicio y secretos para la integración y el almacenamiento en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: las claves criptográficas SOLO se pueden almacenar en AKV, no en secretos ni credenciales de usuario. Por ejemplo, claves de protector de cifrado de datos transparentes.
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: no hay ningún "administrador local" para Azure SQL DB, tampoco hay ninguna cuenta sa. Sin embargo, la cuenta que configura la instancia es un administrador.
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: Azure SQL Database proporciona un modelo de autorización de plano de datos completo y específico de la base de datos.
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: Customer Lockbox se puede utilizar para proporcionar acceso al soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de Configuración: En escenarios de soporte técnico donde Microsoft necesita acceder a tus datos, utiliza el servicio Customer Lockbox para revisar y, a continuación, aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Detección y clasificación de datos
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de fuga/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: hay herramientas que se pueden usar con SQL Server para DLP, pero no hay compatibilidad integrada.
Guía de configuración: esta característica no se admite para proteger este servicio.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Deshabilitado | 1.0.2 |
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Versión mínima de TLS
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de datos transparente para SQL Database, SQL Managed Instance y Azure Synapse Analytics
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Deshabilitado | 2.0.0 |
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Referencia: Cifrado de datos transparente para SQL Database, SQL Managed Instance y Azure Synapse Analytics
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Auditar, Denegar, Deshabilitado | 2.0.0 |
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Compartido |
Notas sobre características: Algunas características pueden usar AKV para las claves, por ejemplo, al usar Always Encrypted.
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado (TDE y Always Encrypted), incluida la generación de claves, la distribución y el almacenamiento. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. Cuando es necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Configuración de Always Encrypted mediante Azure Key Vault
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Soporte técnico de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía para la configuración: Utilice Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de sus recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Utiliza los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar configuraciones seguras en los recursos de Azure.
Referencia: Definiciones integradas de Azure Policy para Azure SQL Database e Instancia de administración de SQL
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de Microsoft Defender para servicios/productos
Descripción: El servicio cuenta con una solución de Microsoft Defender específica para la oferta, destinada a supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Microsoft Defender para Azure SQL le ayuda a detectar y mitigar posibles vulnerabilidades en las bases de datos y le alerta sobre actividades anómalas que pueden ser una indicación de una amenaza para sus bases de datos.
Referencia: Información general de Microsoft Defender para Azure SQL
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para SQL en los servidores de Azure SQL Server desprotegidos. | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 2.0.1 |
LT-3: Habilitación del registro para la investigación de seguridad
Otras instrucciones para LT-3
Habilite el registro a nivel de servidor, ya que esto también se aplicará a las bases de datos.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Sql:
| Nombre (Azure Portal) |
Descripción | Efecto(s) | Versión (GitHub) |
|---|---|---|---|
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Deshabilitado | 2.0.0 |
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o y Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de los registros de recursos varía según el tipo de recurso y el servicio de Azure.
Referencia: Supervisión de la referencia de datos de Azure SQL Database
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Copias de seguridad automatizadas: Azure SQL Database
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure