Planejar e implementar configurações de segurança de rede para um Instância Gerenciada de SQL do Azure
Essa linha de base de segurança aplica as diretrizes do parâmetro de comparação de segurança de nuvem da Microsoft versão 1.0 ao SQL do Azure. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao SQL do Azure.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. As definições do Azure Policy serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender para Nuvem.
Quando um recurso tem definições relevantes do Azure Policy, eles são listados nesta linha de base para ajudar você a medir a conformidade com as recomendações e controles de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Os recursos não aplicáveis ao SQL do Azure foram excluídos.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do SQL do Azure, que podem resultar em maiores considerações de segurança.
| Atributo de Comportamento do Serviço | Valor |
|---|---|
| Categoria do produto | Bancos de dados |
| O cliente pode acessar o HOST / SO | Sem acesso |
| O serviço pode ser implantado na rede virtual do cliente | True |
| Armazena o conteúdo inativo do cliente | True |
Segurança de rede
NS-1: Estabelecer limites de segmentação de rede
1. Integração de Rede Virtual
Descrição: o serviço dá suporte à implantação na VNet (rede virtual) privada do cliente.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante o serviço em uma rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que haja um forte motivo para atribuir IPs públicos diretamente ao recurso.
2. Suporte para grupo de segurança de rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regra de Grupos de Segurança de Rede em suas sub-redes.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use marcas de serviço de rede virtual do Azure para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure configurado para os seus recursos do SQL do Azure. Você pode usar marcas de serviço no lugar de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente. A Microsoft gerencia os prefixos de endereço abrangidos pela marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços são alterados. Ao usar pontos de extremidade de serviço para o Banco de Dados SQL do Azure, a saída para endereços IP públicos do Banco de Dados SQL do Azure é necessária: grupos de segurança de rede (NSGs) devem ser abertos aos IPs do Banco de Dados SQL do Azure para permitir a conectividade. Você pode fazer isso usando marcas de serviço do NSG para o Banco de Dados SQL do Azure.
NS-2: Proteger serviços de nuvem com controles de rede
3. Link Privado do Azure
Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou o Firewall do Azure).
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso de Link Privado, para estabelecer um ponto de acesso privado para os recursos.
4. Desabilitar o Acesso à Rede Pública
Descrição: o serviço dá suporte à desabilitação do acesso à rede pública por meio do uso da regra de filtragem de lista de controle de acesso (ACL) IP no nível do serviço (não do NSG ou do Firewall do Azure) ou do uso de um botão de alternância para desabilitar o acesso à rede pública.
| Com suporte | Habilitado por padrão | Responsabilidade da Configuração |
|---|---|---|
| True | True | Microsoft |
5. Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy – Microsoft.Sql:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas de SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. | Auditar, negar, desabilitado | 1.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem a comunicação segura, ao habilitar a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desabilitado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve estar desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que o seu Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondem a regras de firewall baseadas em IP ou rede virtual. | Auditar, negar, desabilitado | 1.1.0 |
6. Siga as recomendações do Azure Policy
- Desabilite o acesso à rede pública nas Instâncias Gerenciadas de SQL do Azure para garantir que o acesso seja somente de dentro de suas redes virtuais ou por meio de pontos de extremidade privados.
- Habilite conexões de ponto de extremidade privado para fortalecer a comunicação segura com o Banco de Dados SQL do Azure.
- Desative a propriedade de acesso à rede pública no Banco de Dados SQL do Azure para impor o acesso somente de um ponto de extremidade privado.