Criar uma linha de base de Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure é uma família de produtos de banco de dados relacional baseado em nuvem que dá suporte a muitos dos mesmos recursos oferecidos no Microsoft SQL Server. O Banco de Dados SQL do Azure fornece uma transição fácil de um banco de dados local para um baseado em nuvem com diagnósticos, redundância, segurança e escalabilidade internos.
Recomendações de segurança do Banco de Dados SQL do Azure
As seções a seguir descrevem as recomendações do Banco de Dados SQL do Azure que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Você deve concluir essas etapas para sua própria assinatura e usar seus próprios recursos para validar cada recomendação de segurança.
Habilitar a auditoria – Nível 1
A auditoria do Banco de Dados SQL do Azure e do Azure Synapse Analytics rastreia eventos do banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure, no workspace do Azure Log Analytics ou nos Hubs de Eventos do Azure. A auditoria também:
- Ajuda a manter conformidade com as normas, entender a atividade do banco de dados e obter insights sobre discrepâncias e anomalias que podem alertar você quanto a preocupações comerciais ou suspeitas de violações de segurança.
- Permite e facilita a adesão aos padrões de conformidade, embora não garanta a conformidade.
Para ativar a auditoria, conclua as etapas a seguir para cada banco de dados em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione bancos de dados SQL.
No menu à esquerda, em Segurança, selecione Auditoria.
No painel Auditoria, ative Habilitar Auditoria de SQL do Azure e selecione pelo menos um destino do log de auditoria.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
Para obter mais informações sobre a auditoria, confira Auditoria para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.
Habilitar proteções do SQL no Microsoft Defender para Nuvem – Nível 1
O Microsoft Defender para Nuvem detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. O Defender para Nuvem pode identificar:
- Potencial injeção de SQL.
- Acesso de um local ou data center incomum.
- Acesso de uma entidade de segurança desconhecida ou de um aplicativo potencialmente prejudicial.
- Ataque de força bruta às credenciais de SQL.
Você pode acessar e gerenciar ameaças de SQL no menu do Defender para Nuvem.
Entre no portal do Azure. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu esquerdo, em Gerenciamento, selecione Configurações do ambiente.
Selecione sua assinatura.
No painel planos do Defender, escolha Selecionar tipos na linha Bancos de dados e, em seguida, defina os Bancos de Dados SQL do Azure como Ativados.
Selecione Continuar.
Volte para a Página Inicial do Azure. Pesquise e selecione bancos de dados SQL e selecione o banco de dados que você deseja exibir.
Para cada instância de banco de dados, no painel do menu esquerdo, em Segurança, selecione Microsoft Defender para Nuvem. Veja recomendações de segurança, alertas e descobertas da avaliação de vulnerabilidade para sua instância do Banco de Dados SQL.
Configurar retenção de auditoria por mais de 90 dias - Nível 1
Os logs de auditoria devem ser preservados para segurança e descoberta e para atender aos requisitos de conformidade legal e regulatória. Conclua as etapas a seguir para cada instância do Banco de Dados SQL do Azure em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione bancos de dados SQL e selecione um banco de dados.
No menu à esquerda, em Segurança, selecione Auditoria.
Selecione seu Destino de log de auditoria e expanda Propriedades avançadas.
Garanta que a Retenção (Dias) seja maior do que 90 dias.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
