Tworzenie punktu odniesienia usługi Azure SQL Database

  • 5 min

Azure SQL Database to oparta na chmurze rodzina relacyjnych baz danych produktów, które obsługują wiele tych samych funkcji oferowanych w programie Microsoft SQL Server. Usługa Azure SQL Database zapewnia łatwe przejście z lokalnej bazy danych do bazy danych opartej na chmurze z wbudowaną diagnostyką, nadmiarowością, zabezpieczeniami i skalowalnością.

Zalecenia dotyczące zabezpieczeń usługi Azure SQL Database

W poniższych sekcjach opisano zalecenia usługi Azure SQL Database, które znajdują się w CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń.

Włączanie inspekcji — poziom 1

Inspekcja usług Azure SQL Database i Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, w obszarze roboczym usługi Azure Log Analytics lub w usłudze Azure Event Hubs. Ponadto inspekcja:

  • Pomaga zachować zgodność z przepisami, zrozumieć aktywność bazy danych i uzyskać wgląd w rozbieżności i anomalie, które mogą powiadomić Cię o problemach biznesowych lub podejrzanych naruszeniach zabezpieczeń.
  • Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności.

Aby włączyć inspekcję, wykonaj następujące kroki dla każdej bazy danych w ramach subskrypcji platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz bazy danych SQL.

  2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Inspekcja.

  3. W okienku Inspekcja włącz opcję Włącz inspekcję usługi Azure SQL, a następnie wybierz co najmniej jedno miejsce docelowe dziennika inspekcji.

  4. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu przedstawiający sposób włączania inspekcji dla baz danych Azure SQL Database.

Aby uzyskać więcej informacji na temat inspekcji, zobacz Auditing for Azure SQL Database and Azure Synapse Analytics (Inspekcja dla usług Azure SQL Database i Azure Synapse Analytics).

Włączanie ochrony SQL w Microsoft Defender dla Chmury — poziom 1

Microsoft Defender dla Chmury wykrywa nietypowe działania, które wskazują na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Defender dla Chmury może identyfikować:

  • Potencjalne wstrzyknięcie kodu SQL.
  • Dostęp z nietypowej lokalizacji lub centrum danych.
  • Dostęp z nieznanego podmiotu lub potencjalnie szkodliwej aplikacji.
  • Atak brute-force na poświadczenia SQL.

Dostęp do zagrożeń SQL i zarządzanie nimi można uzyskać w menu Defender dla Chmury.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Defender w chmurze.

  2. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Ustawienia środowiska.

  3. Wybierz subskrypcję.

  4. W okienku Plany usługi Defender wybierz pozycję Wybierz typy w wierszu Bazy danych, a następnie ustaw Azure SQL Databases na Włącz.

  5. Wybierz Kontynuuj.

    Zrzut ekranu przedstawiający okienko planów Defender z włączonym planem Azure SQL Databases.

  6. Wróć do strony głównej platformy Azure. Wyszukaj i wybierz bazy danych SQL, a następnie wybierz bazę danych, którą chcesz wyświetlić.

  7. Dla każdego wystąpienia bazy danych w menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Microsoft Defender dla Chmury. Wyświetlanie zaleceń dotyczących zabezpieczeń, alertów i wyników oceny luk w zabezpieczeniach dla wystąpienia usługi SQL Database.

Konfigurowanie przechowywania danych inspekcji przez ponad 90 dni — poziom 1

Dzienniki inspekcji powinny być zachowywane na potrzeby zabezpieczeń i odnajdywania oraz spełniać wymagania prawne i prawne dotyczące zgodności. Wykonaj następujące kroki dla każdego wystąpienia usługi Azure SQL Database w ramach subskrypcji platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz bazy danych SQL, a następnie wybierz bazę danych.

  2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Inspekcja.

  3. Wybierz miejsce docelowe dziennika inspekcji, a następnie rozwiń zaawansowane właściwości.

  4. Upewnij się, że okres przechowywania (dni) jest dłuższy niż 90 dni.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu przedstawiający okienko Inspekcja baz danych SQL.