Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure SQL. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure SQL.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Opmerking
Functies die niet van toepassing zijn op Azure SQL, zijn uitgesloten. Als u wilt zien hoe Azure SQL volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand van de Azure SQL-beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure SQL, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Gedragskenmerk van de service | Waarde |
|---|---|
| Productcategorie | Databanken |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Klopt |
| Slaat klantgegevens in rust op | Klopt |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Kenmerken
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: de service implementeren in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
Naslaginformatie: Service-eindpunten en -regels voor virtuele netwerken gebruiken voor servers in Azure SQL Database
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels door netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall die is geconfigureerd voor uw Azure SQL-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Wanneer u service-eindpunten voor Azure SQL Database gebruikt, is uitgaand naar openbare IP-adressen van Azure SQL Database vereist: netwerkbeveiligingsgroepen (NSG's) moeten worden geopend voor IP-adressen van Azure SQL Database om connectiviteit mogelijk te maken. U kunt dit doen met behulp van NSG-servicetags voor Azure SQL Database.
Naslaginformatie: Service-eindpunten en -regels voor virtuele netwerken gebruiken voor servers in Azure SQL Database
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Kenmerken
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Azure Private Link voor Azure SQL Database en Azure Synapse Analytics
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Azure SQL-connectiviteitsinstellingen
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Ga naar https://aka.ms/mi-public-endpointvoor meer informatie over openbare netwerktoegang. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Kenmerken
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Gedeeld |
Functieopmerkingen: Azure SQL Database biedt ondersteuning voor meerdere verificatiemechanismen voor gegevensvlakken, een daarvan is AAD.
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Azure Active Directory-verificatie gebruiken
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Azure SQL Database Access
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Kenmerken
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: Gebruik indien mogelijk beheerde Identiteiten van Azure in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD-verificatie (Azure Active Directory). Referenties voor beheerde identiteiten worden volledig beheerd, gewisseld en beveiligd door het platform, waardoor hardgecodeerde referenties in broncode of configuratiebestanden worden vermeden.
Referentie: Beheerde identiteiten voor transparante gegevensversleuteling met BYOK
Serviceprincipals
Beschrijving: Het datavlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Functieopmerkingen: Azure SQL DB biedt meerdere manieren om te verifiëren op het gegevensvlak, een daarvan is Azure AD en bevat beheerde identiteiten en service-principals.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Azure Active Directory service principal met Azure SQL
IM-7: Toegang tot resources beperken op basis van voorwaarden
Kenmerken
Voorwaardelijke toegang voor data-plane
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Naslaginformatie: Voorwaardelijke toegang met Azure SQL Database
IM-8: Beperk de blootstelling van inloggegevens en geheimen
Kenmerken
Ondersteuning voor de integratie en opslag van servicegegevens en geheime sleutels in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Cryptografische sleutels kunnen alleen worden opgeslagen in AKV, niet geheimen of gebruikersreferenties. Bijvoorbeeld: Transparent Data Encryption-beveiligingssleutels.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Kenmerken
Lokale beheerdersaccounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Er is geen lokale beheerder voor Azure SQL DB, er is ook geen sa-account. Het account waarmee het exemplaar wordt ingesteld, is echter een beheerder.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Kenmerken
Azure RBAC voor datavlakbeheer
Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure SQL Database biedt een uitgebreid databasespecifiek autorisatiemodel voor gegevensvlakken.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Kenmerken
Klantenvergrendelkluis
Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Kenmerken
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Gegevensontdekking en -classificatie
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Kenmerken
Preventie van gegevenslekken/verlies
Beschrijving: De service ondersteunt een DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens binnen de klantinhoud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: er zijn hulpprogramma's die kunnen worden gebruikt met SQL Server voor DLP, maar er is geen ingebouwde ondersteuning.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Kenmerken
Versleuteling van gegevens tijdens transport
Beschrijving: De service ondersteunt versleuteling van gegevens tijdens overdracht voor het datavlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Verwijzing: Minimale TLS-versie
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Kenmerken
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Transparante gegevensversleuteling voor SQL Database, SQL Managed Instance en Azure Synapse Analytics
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om gegevens in rusttoestand te beveiligen en te voldoen aan de nalevingsvereisten. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Kenmerken
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevensversleuteling in rusttoestand met behulp van door de klant beheerde sleutels wordt ondersteund voor klantgegevens die door de service zijn opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevensversleuteling in rusttoestand inschakelen en implementeren met een door de klant beheerde sleutel voor deze services.
Naslaginformatie: Transparante gegevensversleuteling voor SQL Database, SQL Managed Instance en Azure Synapse Analytics
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| SQL-beheerde instanties moeten door de klant beheerde sleutels gebruiken om gegevens in rust te versleutelen | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Kenmerken
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Gedeeld |
Functieopmerkingen: Bepaalde functies kunnen AKV gebruiken voor sleutels, bijvoorbeeld wanneer u Always Encrypted gebruikt.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels (TDE en Always Encrypted) te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Roteer en herroep uw sleutels in Azure Key Vault en uw service op basis van een gedefinieerd schema, of wanneer er een buitengebruikstelling of inbreuk op een sleutel is. Wanneer u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u ervoor zorgen dat u de aanbevolen procedures voor sleutelbeheer volgt. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Always Encrypted configureren met behulp van Azure Key Vault
Vermogensbeheer
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Kenmerken
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen binnen Azure-resources.
Naslaginformatie: Ingebouwde Azure Policy-definities voor Azure SQL Database & SQL Managed Instance
Loggen en detectie van bedreigingen
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Kenmerken
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: Microsoft Defender voor Azure SQL helpt u bij het detecteren en beperken van mogelijke beveiligingsproblemen in databases en waarschuwt u voor afwijkende activiteiten die mogelijk een indicatie zijn van een bedreiging voor uw databases.
Naslaginformatie: Overzicht van Microsoft Defender voor Azure SQL
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
LT-3: Logboekregistratie inschakelen voor beveiligingsonderzoek
Andere richtlijnen voor LT-3
Schakel logboekregistratie op serverniveau in, omdat dit ook naar databases filtert.
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Sql:
| Naam (Azure Portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Kenmerken
Azure Resource-logboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze logboeken voor bronnen configureren en naar hun eigen gegevensopslag verzenden, zoals een opslagaccount of een werkruimte voor loganalyse. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
Configuratierichtlijnen: Resourcelogboeken inschakelen voor de service. Key Vault biedt bijvoorbeeld ondersteuning voor extra resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of azure SQL heeft resourcelogboeken waarmee aanvragen voor een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Naslaginformatie over de bewaking van Azure SQL Database-gegevens
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Kenmerken
Azure Backup
Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-up mogelijkheid voor services
Beschrijving: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheden (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Geautomatiseerde back-ups - Azure SQL Database
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen