Planifier et implémenter des configurations de sécurité réseau pour une instance Azure SQL Managed Instance
Cette base de référence de la sécurité applique les recommandations du Benchmark de sécurité Microsoft cloud version 1.0 à Azure SQL. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Microsoft cloud et les conseils associés applicables à Azure SQL.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail de Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles du benchmark de sécurité cloud Microsoft. Certaines suggestions peuvent nécessiter un plan Microsoft Defender payant pour activer des scénarios particuliers de sécurité.
Remarque
Les fonctionnalités non applicables à Azure SQL ont été exclus.
Profil de sécurité
Le profil de sécurité récapitule les comportements à fort impact d’Azure SQL, ce qui peut entraîner une augmentation des considérations de sécurité.
| Attribut comportement du service | Valeur |
|---|---|
| Catégorie de produit | Bases de données |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | Vrai |
| Stocke le contenu du client au repos | Vrai |
Sécurité réseau
NS-1 : Établir des limites de segmentation réseau
1. Intégration de réseau virtuel
Description : le service prend en charge le déploiement dans le réseau virtuel privé du client.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : Déployer le service dans un réseau virtuel. Attribuer des adresses IP privées à la ressource (le cas échéant), sauf s’il existe une raison importante d’affecter des adresses IP publiques directement à la ressource.
2. Prise en charge du groupe de sécurité réseau
Description : le trafic réseau de service respecte l’attribution de règles de groupes de sécurité réseau sur ses sous-réseaux.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : Utilisez des balises de service de réseau virtuel Azure pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou pare-feu Azure configurés pour vos ressources Azure SQL. Vous pouvez utiliser des balises de service à la place d’adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Lorsque vous utilisez des points de terminaison de service pour Azure SQL Database, les adresses IP publiques Azure SQL Database sont requises : les groupes de sécurité réseau (NSG) doivent être ouverts aux adresses IP Azure SQL Database pour autoriser la connectivité. Pour ce faire, vous pouvez utiliser des balises de service NSG pour Azure SQL Database.
NS-2 : Sécuriser les services cloud avec des contrôles réseau
3. Azure Private Link
Description : fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (pas à confondre avec le groupe de sécurité réseau ou le pare-feu Azure).
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Guide de configuration : Déployer des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link, afin d’établir un point d’accès privé pour les ressources.
4. Désactiver l’accès public au réseau
Description : Le service permet de désactiver l’accès au réseau public en utilisant soit une règle de filtrage de liste de contrôle d’accès IP (ACL) au niveau du service (et non un groupe de sécurité réseau ou le pare-feu Azure), soit un commutateur bascule Désactiver l’accès réseau public.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
5. Monitoring de Microsoft Defender for Cloud
Définitions intégrées d’Azure Policy - Microsoft.Sql :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur Azure SQL Managed Instances améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre Azure SQL Database n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
6. Suivre les recommandations d’Azure Policy
- Désactivez l’accès au réseau public sur Azure SQL Managed Instances pour garantir que les accès se font seulement depuis ses réseaux virtuels ou via des points de terminaison privés.
- Activez les connexions de point de terminaison privé pour renforcer la communication sécurisée avec Azure SQL Database.
- Désactivez la propriété d’accès au réseau public sur Azure SQL Database pour imposer l’accès seulement depuis un point de terminaison privé.