Planen und Implementieren von Netzwerksicherheitskonfigurationen für Azure SQL Managed Instance
Diese Sicherheitsbaseline wendet Empfehlungen von Version 1.0 des Microsoft Cloud Security Benchmark auf Azure SQL an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch Microsoft Cloud Security Benchmark und die entsprechenden für Azure SQL geltenden Empfehlungen definiert werden.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features, die nicht für Azure SQL gelten, wurden ausgeschlossen.
Sicherheitsprofil
Das Sicherheitsprofil fasst Verhaltensweisen von Azure SQL zusammen, was zu mehr Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Datenbanken |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Ruhende Kundeninhalte werden gespeichert. | True |
Netzwerksicherheit
NS-1: Einrichten von Segmentierungsgrenzen für Netzwerke
1. VM-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Stellen Sie den Dienst in einem virtuellen Netzwerk bereit. Weisen Sie der Ressource (sofern möglich) private IP-Adressen zu, es sei denn, es gibt einen guten Grund, öffentliche IP-Adressen direkt der Ressource zuzuweisen.
2. Unterstützung der Netzwerksicherheitsgruppe
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Verwenden Sie Azure Virtual Network-Diensttags, um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder Azure Firewall zu definieren, die für Ihre Azure SQL-Ressourcen konfiguriert sind. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Indem Sie den Diensttagnamen im entsprechenden Quell- oder Zielfeld einer Regel angeben, können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern. Bei Verwendung von Dienstendpunkten für Azure SQL-Datenbank ist eine ausgehende Verbindung zu den öffentlichen IP-Adressen von Azure SQL-Datenbank erforderlich: Netzwerksicherheitsgruppen (NSGs) müssen für IP-Adressen von Azure SQL-Datenbank geöffnet werden, um Verbindungen zuzulassen. Sie erreichen dies, indem Sie NSG-Diensttags für Azure SQL-Datenbank verwenden.
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
3. Azure Private Link
Beschreibung: Für den Dienst native IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall).
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das Private Link-Feature unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
4. Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel (Access Control List, Zugriffssteuerungsliste) auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe der Umschaltfläche Öffentlichen Netzwerkzugriff deaktivieren.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
5. Microsoft Defender for Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Sql:
| Name (Azure-Portal) |
Beschreibung | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
6. Befolgen von Azure Policy-Empfehlungen
- Deaktivieren Sie den Zugriff über öffentliche Netzwerke auf Azure SQL Managed Instance, um sicherzustellen, dass der Zugriff nur innerhalb der virtuellen Netzwerke oder über private Endpunkte erfolgt.
- Aktivieren Sie privaten Endpunktverbindungen, um für sichere Kommunikation mit Azure SQL-Datenbank zu sorgen.
- Deaktivieren Sie die Eigenschaft für den Zugriff auf öffentliche Netzwerke in Azure SQL-Datenbank, um den Zugriff ausschließlich über einen privaten Endpunkt zu erzwingen.