Removed en-us
This commit is contained in:
Luke Murray
Родитель
5977885a4f
Коммит
aefed4fc2c
|
|
@ -4,7 +4,7 @@
|
|||
|
||||
Microsoft takes the security of our software products and services seriously, which includes all source code repositories managed through our GitHub organizations, which include [Microsoft](https://github.com/Microsoft), [Azure](https://github.com/Azure), [DotNet](https://github.com/dotnet), [AspNet](https://github.com/aspnet), [Xamarin](https://github.com/xamarin), and [our GitHub organizations](https://opensource.microsoft.com/).
|
||||
|
||||
If you believe you have found a security vulnerability in any Microsoft-owned repository that meets [Microsoft's definition of a security vulnerability](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc751383(v=technet.10)), please report it to us as described below.
|
||||
If you believe you have found a security vulnerability in any Microsoft-owned repository that meets [Microsoft's definition of a security vulnerability](https://learn.microsoft.com/previous-versions/tn-archive/cc751383(v=technet.10)), please report it to us as described below.
|
||||
|
||||
## Reporting Security Issues
|
||||
|
||||
|
|
@ -12,7 +12,7 @@ If you believe you have found a security vulnerability in any Microsoft-owned re
|
|||
|
||||
Instead, please report them to the Microsoft Security Response Center (MSRC) at [https://msrc.microsoft.com/create-report](https://msrc.microsoft.com/create-report).
|
||||
|
||||
If you prefer to submit without logging in, send email to [secure@microsoft.com](mailto:secure@microsoft.com). If possible, encrypt your message with our PGP key; please download it from the [Microsoft Security Response Center PGP Key page](https://www.microsoft.com/en-us/msrc/pgp-key-msrc).
|
||||
If you prefer to submit without logging in, send email to [secure@microsoft.com](mailto:secure@microsoft.com). If possible, encrypt your message with our PGP key; please download it from the [Microsoft Security Response Center PGP Key page](https://www.microsoft.com/msrc/pgp-key-msrc).
|
||||
|
||||
You should receive a response within 24 hours. If for some reason you do not, please follow up via email to ensure we received your original message. Additional information can be found at [microsoft.com/msrc](https://www.microsoft.com/msrc).
|
||||
|
||||
|
|
@ -36,6 +36,6 @@ We prefer all communications to be in English.
|
|||
|
||||
## Policy
|
||||
|
||||
Microsoft follows the principle of [Coordinated Vulnerability Disclosure](https://www.microsoft.com/en-us/msrc/cvd).
|
||||
Microsoft follows the principle of [Coordinated Vulnerability Disclosure](https://www.microsoft.com/msrc/cvd).
|
||||
|
||||
<!-- END MICROSOFT SECURITY.MD BLOCK -->
|
||||
|
|
@ -209,7 +209,7 @@
|
|||
"text": "Use Azure Front Door for multi-region deployment",
|
||||
"guid": "7519e385-a88b-4d34-966b-6269d686e890",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/api-management/front-door-api-management"
|
||||
"link": "https://learn.microsoft.com/azure/api-management/front-door-api-management"
|
||||
},
|
||||
{
|
||||
"category": "Platform automation and DevOps",
|
||||
|
|
|
|||
|
|
@ -226,7 +226,7 @@
|
|||
{
|
||||
"category": "Topología y conectividad de red",
|
||||
"guid": "7519e385-a88b-4d34-966b-6269d686e890",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/api-management/front-door-api-management",
|
||||
"link": "https://learn.microsoft.com/azure/api-management/front-door-api-management",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Conectividad",
|
||||
"text": "Uso de Azure Front Door para la implementación en varias regiones"
|
||||
|
|
|
|||
|
|
@ -226,7 +226,7 @@
|
|||
{
|
||||
"category": "ネットワーク トポロジと接続性",
|
||||
"guid": "7519e385-a88b-4d34-966b-6269d686e890",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/api-management/front-door-api-management",
|
||||
"link": "https://learn.microsoft.com/azure/api-management/front-door-api-management",
|
||||
"severity": "中程度",
|
||||
"subcategory": "接続",
|
||||
"text": "複数リージョンのデプロイに Azure フロント ドアを使用する"
|
||||
|
|
|
|||
|
|
@ -226,7 +226,7 @@
|
|||
{
|
||||
"category": "네트워크 토폴로지 및 연결",
|
||||
"guid": "7519e385-a88b-4d34-966b-6269d686e890",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/api-management/front-door-api-management",
|
||||
"link": "https://learn.microsoft.com/azure/api-management/front-door-api-management",
|
||||
"severity": "보통",
|
||||
"subcategory": "인터넷",
|
||||
"text": "다중 지역 배포에 Azure 프런트 도어 사용"
|
||||
|
|
|
|||
|
|
@ -226,7 +226,7 @@
|
|||
{
|
||||
"category": "Topologia e conectividade de rede",
|
||||
"guid": "7519e385-a88b-4d34-966b-6269d686e890",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/api-management/front-door-api-management",
|
||||
"link": "https://learn.microsoft.com/azure/api-management/front-door-api-management",
|
||||
"severity": "Média",
|
||||
"subcategory": "Conectividade",
|
||||
"text": "Usar o Azure Front Door para implantação em várias regiões"
|
||||
|
|
|
|||
|
|
@ -134,7 +134,7 @@
|
|||
"description": "RDP Shortpath for managed networks is a feature of Azure Virtual Desktop that establishes a direct UDP-based transport between Remote Desktop Client and Session host. The removal of extra relay reduces the round-trip time, which improves user experience with latency-sensitive applications and input methods. To support RDP Shortpath, the Azure Virtual Desktop client needs a direct line of sight to the session host, and must be running either Windows 10 or Windows 7 and have the Windows Desktop client installed.",
|
||||
"guid": "b2074747-d01a-4f61-b1aa-92ad793d9ff4",
|
||||
"severity": "Medium",
|
||||
"link": "https://docs.microsoft.com/en-us/azure/virtual-desktop/shortpath"
|
||||
"link": "https://docs.microsoft.com/azure/virtual-desktop/shortpath"
|
||||
},
|
||||
{
|
||||
"category": "Foundation",
|
||||
|
|
@ -260,7 +260,7 @@
|
|||
"description": "AD DCs in Azure are recommended to reduce latency for users logging into AVD session hosts, and eventually for Azure NetApp Files and AD integration. ADC need to be able to talk to DCs for ALL child domains. As alternative, on-premise connectivity must be used to reach AD DCs. ",
|
||||
"guid": "c14aea7e-65e8-4d9a-9aec-218e6436b073",
|
||||
"severity": "Medium",
|
||||
"link": "https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain"
|
||||
"link": "https://docs.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -395,7 +395,7 @@
|
|||
"description": "Once selected the VM SKU that will be used for Host Pool deployment, it is recommended to use Gen2 type of the SKU for higher security and improved capabilities.",
|
||||
"guid": "e4633254-3185-40a1-b120-bd563a1c8e9d",
|
||||
"severity": "Medium",
|
||||
"link": "https://docs.microsoft.com/en-us/azure/virtual-machines/generation-2"
|
||||
"link": "https://docs.microsoft.com/azure/virtual-machines/generation-2"
|
||||
},
|
||||
{
|
||||
"category": "Compute",
|
||||
|
|
@ -683,7 +683,7 @@
|
|||
"description": "An Active Directory Site should be created for the Azure virtual network environment where ANF subnet will be created, and that site name should be specified in the ANF connection property when executing the join procedure as explained in the reference article.",
|
||||
"guid": "6647e977-db49-48a8-bc35-743f17499d42",
|
||||
"severity": "High",
|
||||
"link": "https://docs.microsoft.com/en-us/azure/azure-netapp-files/create-active-directory-connections"
|
||||
"link": "https://docs.microsoft.com/azure/azure-netapp-files/create-active-directory-connections"
|
||||
},
|
||||
{
|
||||
"category": "Storage",
|
||||
|
|
@ -692,7 +692,7 @@
|
|||
"description": "SMB Multichannel enables clients to use multiple network connections that provide increased performance while lowering the cost of ownership. Increased performance is achieved through bandwidth aggregation over multiple NICs and utilizing Receive Side Scaling (RSS) support for NICs to distribute the IO load across multiple CPUs.",
|
||||
"guid": "5784b6ca-5e9e-4bcf-8b54-c95459ea7369",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/storage/files/storage-files-smb-multichannel-performance"
|
||||
"link": "https://learn.microsoft.com/azure/storage/files/storage-files-smb-multichannel-performance"
|
||||
},
|
||||
{
|
||||
"category": "Security",
|
||||
|
|
|
|||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "Fundación",
|
||||
"description": "RDP Shortpath para redes administradas es una característica de Azure Virtual Desktop que establece un transporte directo basado en UDP entre el cliente de Escritorio remoto y el host de sesión. La eliminación del relé adicional reduce el tiempo de ida y vuelta, lo que mejora la experiencia del usuario con aplicaciones y métodos de entrada sensibles a la latencia. Para admitir RDP Shortpath, el cliente de Azure Virtual Desktop necesita una línea de visión directa al host de sesión y debe ejecutar Windows 10 o Windows 7 y tener instalado el cliente de escritorio de Windows.",
|
||||
"guid": "b2074747-d01a-4f61-b1aa-92ad793d9ff4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-desktop/shortpath",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-desktop/shortpath",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Clientes y Usuarios",
|
||||
"text": "Evaluar RDP ShortPath para clientes que se conectan desde redes internas administradas"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "Se recomiendan los controladores de dominio de AD en Azure para reducir la latencia de los usuarios que inician sesión en hosts de sesión de AVD y, finalmente, para la integración de Azure NetApp Files y AD. ADC debe poder comunicarse con los controladores de dominio para TODOS los dominios secundarios. Como alternativa, se debe usar la conectividad local para llegar a los controladores de dominio de AD. ",
|
||||
"guid": "c14aea7e-65e8-4d9a-9aec-218e6436b073",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Active Directory",
|
||||
"text": "Creación de al menos dos controladores de dominio (DC) de Active Directory en un entorno de red virtual de Azure cerca del grupo de hosts AVD"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "Calcular",
|
||||
"description": "Una vez seleccionada la SKU de máquina virtual que se usará para la implementación del grupo de hosts, se recomienda usar el tipo Gen2 de la SKU para una mayor seguridad y capacidades mejoradas.",
|
||||
"guid": "e4633254-3185-40a1-b120-bd563a1c8e9d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-machines/generation-2",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-machines/generation-2",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Host de sesión",
|
||||
"text": "Evaluar el uso de la máquina virtual Gen2 para la implementación del grupo de hosts"
|
||||
|
|
@ -706,7 +706,7 @@
|
|||
"category": "Almacenamiento",
|
||||
"description": "Se debe crear un sitio de Active Directory para el entorno de red virtual de Azure donde se creará la subred ANF y ese nombre de sitio debe especificarse en la propiedad de conexión ANF al ejecutar el procedimiento de unión, como se explica en el artículo de referencia.",
|
||||
"guid": "6647e977-db49-48a8-bc35-743f17499d42",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"link": "https://learn.microsoft.com/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"severity": "Alto",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Si se usa el almacenamiento de Azure NetApp Files, compruebe la configuración del nombre del sitio de AD en la conexión de AD."
|
||||
|
|
@ -715,7 +715,7 @@
|
|||
"category": "Almacenamiento",
|
||||
"description": "SMB Multichannel permite a los clientes utilizar múltiples conexiones de red que proporcionan un mayor rendimiento al tiempo que reducen el costo de propiedad. El aumento del rendimiento se logra mediante la agregación de ancho de banda en varias NIC y el uso de la compatibilidad con Receive Side Scaling (RSS) para que las NIC distribuyan la carga de E/S entre varias CPU.",
|
||||
"guid": "5784b6ca-5e9e-4bcf-8b54-c95459ea7369",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"link": "https://learn.microsoft.com/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"severity": "Medio",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Habilite SMB multicanal cuando use un recurso compartido de archivos premium para hospedar contenedores de perfiles FSLogix."
|
||||
|
|
|
|||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "財団",
|
||||
"description": "マネージド ネットワークの RDP ショートパスは、リモート デスクトップ クライアントとセッション ホスト間の直接 UDP ベースのトランスポートを確立する Azure 仮想デスクトップの機能です。余分なリレーを削除すると、ラウンドトリップ時間が短縮され、遅延の影響を受けやすいアプリケーションや入力方式のユーザーエクスペリエンスが向上します。RDP ショートパスをサポートするには、Azure 仮想デスクトップ クライアントがセッション ホストへの直接の通信経路を必要とし、Windows 10 または Windows 7 のいずれかを実行し、Windows デスクトップ クライアントがインストールされている必要があります。",
|
||||
"guid": "b2074747-d01a-4f61-b1aa-92ad793d9ff4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-desktop/shortpath",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-desktop/shortpath",
|
||||
"severity": "中程度",
|
||||
"subcategory": "クライアントとユーザー",
|
||||
"text": "管理された内部ネットワークから接続するクライアントの RDP ShortPath を評価する"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "同一性",
|
||||
"description": "Azure の AD DC は、AVD セッションホストにログインするユーザーのレイテンシーを短縮し、最終的には Azure NetApp Files と AD 統合のレイテンシーを削減するために推奨されます。ADCは、すべての子ドメインのDCと通信できる必要があります。別の方法として、オンプレミス接続を使用して AD DC に到達する必要があります。",
|
||||
"guid": "c14aea7e-65e8-4d9a-9aec-218e6436b073",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"severity": "中程度",
|
||||
"subcategory": "アクティブディレクトリ",
|
||||
"text": "AVD ホスト プールに近い Azure VNET 環境に少なくとも 2 つのアクティブ ディレクトリ ドメイン コントローラー (DC) を作成します。"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "計算する",
|
||||
"description": "ホスト プールのデプロイに使用する VM SKU を選択したら、セキュリティを強化し、機能を向上させるために、Gen2 タイプの SKU を使用することをお勧めします。",
|
||||
"guid": "e4633254-3185-40a1-b120-bd563a1c8e9d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-machines/generation-2",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-machines/generation-2",
|
||||
"severity": "中程度",
|
||||
"subcategory": "セッション ホスト",
|
||||
"text": "ホスト プールの展開のための Gen2 VM の使用状況を評価する"
|
||||
|
|
@ -706,7 +706,7 @@
|
|||
"category": "貯蔵",
|
||||
"description": "ANF サブネットが作成される Azure 仮想ネットワーク環境用に Active Directory サイトを作成し、リファレンス記事で説明されているように、参加手順を実行するときにそのサイト名を ANF 接続プロパティで指定する必要があります。",
|
||||
"guid": "6647e977-db49-48a8-bc35-743f17499d42",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"link": "https://learn.microsoft.com/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"severity": "高い",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Azure ネットアップ ファイル ストレージを使用する場合は、AD 接続の AD サイト名の設定を確認してください。"
|
||||
|
|
@ -715,7 +715,7 @@
|
|||
"category": "貯蔵",
|
||||
"description": "SMB マルチチャネルを使用すると、クライアントは複数のネットワーク接続を使用して、所有コストを削減しながらパフォーマンスを向上させることができます。パフォーマンスの向上は、複数の NIC に帯域幅を集約し、NIC の受信側スケーリング (RSS) サポートを利用して複数の CPU に IO 負荷を分散することで実現されます。",
|
||||
"guid": "5784b6ca-5e9e-4bcf-8b54-c95459ea7369",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"link": "https://learn.microsoft.com/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"severity": "中程度",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Premium ファイル共有を使用して FSLogix プロファイル コンテナーをホストする場合は、SMB マルチチャネルを有効にします。"
|
||||
|
|
|
|||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "토대",
|
||||
"description": "관리되는 네트워크에 대한 RDP Shortpath는 원격 데스크톱 클라이언트와 세션 호스트 간에 직접 UDP 기반 전송을 설정하는 Azure 가상 데스크톱의 기능입니다. 추가 릴레이를 제거하면 왕복 시간이 줄어들어 대기 시간에 민감한 애플리케이션 및 입력 방법에 대한 사용자 경험이 향상됩니다. RDP 단축 경로를 지원하려면 Azure 가상 데스크톱 클라이언트가 세션 호스트에 대한 직접적인 가시선이 필요하며 Windows 10 또는 Windows 7을 실행하고 Windows 데스크톱 클라이언트가 설치되어 있어야 합니다.",
|
||||
"guid": "b2074747-d01a-4f61-b1aa-92ad793d9ff4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-desktop/shortpath",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-desktop/shortpath",
|
||||
"severity": "보통",
|
||||
"subcategory": "클라이언트 및 사용자",
|
||||
"text": "관리되는 내부 네트워크에서 연결하는 클라이언트에 대한 RDP ShortPath 평가"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "신원",
|
||||
"description": "Azure의 AD DC는 AVD 세션 호스트에 로그인하는 사용자와 결국 Azure NetApp 파일 및 AD 통합에 대한 대기 시간을 줄이는 데 권장됩니다. ADC는 모든 자식 도메인에 대해 DC와 통신할 수 있어야 합니다. 또는 온-프레미스 연결을 사용하여 AD DC에 연결해야 합니다. ",
|
||||
"guid": "c14aea7e-65e8-4d9a-9aec-218e6436b073",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"severity": "보통",
|
||||
"subcategory": "활성 디렉터리",
|
||||
"text": "AVD 호스트 풀에 가까운 Azure VNET 환경에서 두 개 이상의 활성 디렉터리 DC(도메인 컨트롤러)를 만듭니다."
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "계산",
|
||||
"description": "호스트 풀 배포에 사용할 VM SKU를 선택한 후에는 더 높은 보안 및 향상된 기능을 위해 Gen2 유형의 SKU를 사용하는 것이 좋습니다.",
|
||||
"guid": "e4633254-3185-40a1-b120-bd563a1c8e9d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-machines/generation-2",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-machines/generation-2",
|
||||
"severity": "보통",
|
||||
"subcategory": "세션 호스트",
|
||||
"text": "호스트 풀 배포를 위한 Gen2 VM 사용량 평가"
|
||||
|
|
@ -706,7 +706,7 @@
|
|||
"category": "보관",
|
||||
"description": "ANF 서브넷을 만들 Azure 가상 네트워크 환경에 대해 Active Directory 사이트를 만들어야 하며, 참조 문서에 설명된 대로 조인 절차를 실행할 때 ANF 연결 속성에 해당 사이트 이름을 지정해야 합니다.",
|
||||
"guid": "6647e977-db49-48a8-bc35-743f17499d42",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"link": "https://learn.microsoft.com/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"severity": "높다",
|
||||
"subcategory": "에프에스로직스",
|
||||
"text": "Azure NetApp 파일 스토리지를 사용하는 경우 AD 연결에서 AD 사이트 이름 설정을 확인합니다."
|
||||
|
|
@ -715,7 +715,7 @@
|
|||
"category": "보관",
|
||||
"description": "SMB 다중 채널을 사용하면 클라이언트가 소유 비용을 낮추면서 향상된 성능을 제공하는 여러 네트워크 연결을 사용할 수 있습니다. 여러 NIC에 대한 대역폭 집계와 NIC에 대한 RSS(수신측 배율) 지원을 활용하여 여러 CPU에 IO 부하를 분산함으로써 성능이 향상됩니다.",
|
||||
"guid": "5784b6ca-5e9e-4bcf-8b54-c95459ea7369",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"link": "https://learn.microsoft.com/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"severity": "보통",
|
||||
"subcategory": "에프에스로직스",
|
||||
"text": "프리미엄 파일 공유를 사용하여 FSLogix 프로필 컨테이너를 호스트할 때 SMB 다중 채널을 사용하도록 설정합니다."
|
||||
|
|
|
|||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "Fundação",
|
||||
"description": "O Shortpath RDP para redes gerenciadas é um recurso da Área de Trabalho Virtual do Azure que estabelece um transporte direto baseado em UDP entre o Cliente de Área de Trabalho Remota e o host da Sessão. A remoção do relé extra reduz o tempo de ida e volta, o que melhora a experiência do usuário com aplicativos sensíveis à latência e métodos de entrada. Para dar suporte ao RDP Shortpath, o cliente da Área de Trabalho Virtual do Azure precisa de uma linha de visão direta para o host da sessão e deve estar executando o Windows 10 ou o Windows 7 e ter o cliente da Área de Trabalho do Windows instalado.",
|
||||
"guid": "b2074747-d01a-4f61-b1aa-92ad793d9ff4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-desktop/shortpath",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-desktop/shortpath",
|
||||
"severity": "Média",
|
||||
"subcategory": "Clientes & Usuários",
|
||||
"text": "Avaliar o RDP ShortPath para clientes que se conectam a partir de redes internas gerenciadas"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "Os DCs do AD no Azure são recomendados para reduzir a latência para usuários que fazem logon em hosts de sessão do AVD e, eventualmente, para Arquivos NetApp do Azure e integração com o AD. O ADC precisa ser capaz de falar com DCs para TODOS os domínios filho. Como alternativa, a conectividade local deve ser usada para alcançar os DCs do AD. ",
|
||||
"guid": "c14aea7e-65e8-4d9a-9aec-218e6436b073",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain",
|
||||
"severity": "Média",
|
||||
"subcategory": "Diretório ativo",
|
||||
"text": "Criar pelo menos dois controladores de domínio (DCs) do Active Directory no ambiente VNET do Azure próximo ao Pool de Hosts AVD"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "Calcular",
|
||||
"description": "Depois de selecionada a SKU da VM que será usada para a implantação do Pool de Hosts, recomenda-se usar o tipo Gen2 da SKU para maior segurança e recursos aprimorados.",
|
||||
"guid": "e4633254-3185-40a1-b120-bd563a1c8e9d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/virtual-machines/generation-2",
|
||||
"link": "https://learn.microsoft.com/azure/virtual-machines/generation-2",
|
||||
"severity": "Média",
|
||||
"subcategory": "Host da Sessão",
|
||||
"text": "Avaliar o uso da VM Gen2 para implantação do Pool de Hosts"
|
||||
|
|
@ -706,7 +706,7 @@
|
|||
"category": "Armazenamento",
|
||||
"description": "Um Site do Active Directory deve ser criado para o ambiente de rede virtual do Azure onde a sub-rede ANF será criada, e esse nome de site deve ser especificado na propriedade de conexão ANF ao executar o procedimento de associação, conforme explicado no artigo de referência.",
|
||||
"guid": "6647e977-db49-48a8-bc35-743f17499d42",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"link": "https://learn.microsoft.com/azure/azure-netapp-files/create-active-directory-connections",
|
||||
"severity": "Alto",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Se o armazenamento dos Arquivos NetApp do Azure for usado, marque a configuração do nome do Site do AD na Conexão do AD."
|
||||
|
|
@ -715,7 +715,7 @@
|
|||
"category": "Armazenamento",
|
||||
"description": "O SMB Multichannel permite que os clientes usem várias conexões de rede que proporcionam maior desempenho e, ao mesmo tempo, reduzem o custo de propriedade. O desempenho maior é alcançado por meio da agregação de largura de banda em várias NICs e da utilização do suporte a RSS (Receive Side Scaling) para NICs para distribuir a carga de E/S entre várias CPUs.",
|
||||
"guid": "5784b6ca-5e9e-4bcf-8b54-c95459ea7369",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"link": "https://learn.microsoft.com/azure/storage/files/storage-files-smb-multichannel-performance",
|
||||
"severity": "Média",
|
||||
"subcategory": "FSLogix",
|
||||
"text": "Habilite o SMB multicanal ao usar um compartilhamento de arquivos premium para hospedar contêineres de perfil FSLogix."
|
||||
|
|
|
|||
|
|
@ -103,7 +103,7 @@
|
|||
"text": "If using Azure AD Application proxy, consider integrating with Microsoft Defender for Cloud Apps to monitor application access in real-time and apply advanced security controls.",
|
||||
"guid": "cce9bdf6-b483-45a0-85ec-c8232b230652",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
},
|
||||
{
|
||||
"category": "Defender For Cloud",
|
||||
|
|
|
|||
|
|
@ -105,7 +105,7 @@
|
|||
"text": "Si usa el proxy de aplicación de Azure AD, considere la posibilidad de integrarse con Microsoft Defender for Cloud Apps para supervisar el acceso a las aplicaciones en tiempo real y aplicar controles de seguridad avanzados.",
|
||||
"guid": "cce9bdf6-b483-45a0-85ec-c8232b230652",
|
||||
"severity": "Bajo",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
},
|
||||
{
|
||||
"category": "Defender para la nube",
|
||||
|
|
|
|||
|
|
@ -105,7 +105,7 @@
|
|||
"text": "Azure AD アプリケーション プロキシを使用する場合は、Microsoft Defender for Cloud Apps との統合を検討して、アプリケーションのアクセスをリアルタイムで監視し、高度なセキュリティ制御を適用することを検討してください。",
|
||||
"guid": "cce9bdf6-b483-45a0-85ec-c8232b230652",
|
||||
"severity": "低い",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
},
|
||||
{
|
||||
"category": "クラウド用ディフェンダー",
|
||||
|
|
|
|||
|
|
@ -105,7 +105,7 @@
|
|||
"text": "Azure AD 응용 프로그램 프록시를 사용하는 경우 클라우드 앱용 Microsoft Defender와 통합하여 응용 프로그램 액세스를 실시간으로 모니터링하고 고급 보안 제어를 적용하는 것이 좋습니다.",
|
||||
"guid": "cce9bdf6-b483-45a0-85ec-c8232b230652",
|
||||
"severity": "낮다",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
},
|
||||
{
|
||||
"category": "클라우드를 위한 수비수",
|
||||
|
|
|
|||
|
|
@ -105,7 +105,7 @@
|
|||
"text": "Se usar o proxy do aplicativo Azure AD, considere integrar-se ao Microsoft Defender for Cloud Apps para monitorar o acesso de aplicativos em tempo real e aplicar controles de segurança avançados.",
|
||||
"guid": "cce9bdf6-b483-45a0-85ec-c8232b230652",
|
||||
"severity": "Baixo",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy-integrate-with-microsoft-cloud-application-security"
|
||||
},
|
||||
{
|
||||
"category": "Defender para nuvem",
|
||||
|
|
|
|||
|
|
@ -8,7 +8,7 @@
|
|||
"description": "Ensure that your backups are protected against attacks. This should include encryption of the backups to protect against loss of confidentiality. For regular Azure service backup, backup data is automatically encrypted using Azure platform-managed keys. You can also choose to encrypt the backup using a customer-managed key. In this case, ensure this customer-managed key in the key vault is also in the backup scope.",
|
||||
"guid": "676f6951-0368-49e9-808d-c33a692c9a64",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data"
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data"
|
||||
},
|
||||
{
|
||||
"category": "BCDR",
|
||||
|
|
@ -17,7 +17,7 @@
|
|||
"description": "Azure SQL Database uses SQL Server technology to create full backups every week, differential backup every 12-24 hours, and transaction log backup every 5 to 10 minutes. By default, SQL Database stores data in geo-redundant storage blobs that are replicated to a paired region.",
|
||||
"guid": "e2518261-b3bc-4bd1-b331-637fb2df833f",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups"
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups"
|
||||
},
|
||||
{
|
||||
"category": "BCDR",
|
||||
|
|
@ -26,7 +26,7 @@
|
|||
"description": "By default, SQL Database stores data in geo-redundant storage blobs that are replicated to a paired region. For SQL Database, the backup storage redundancy can be configured at the time of database creation or can be updated for an existing database; the changes made to an existing database apply to future backups only.",
|
||||
"guid": "f8c7cda2-3ed7-43fb-a100-85dcd12a0ee4",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy"
|
||||
},
|
||||
{
|
||||
"category": "Code",
|
||||
|
|
@ -35,7 +35,7 @@
|
|||
"description": "Malicious code can potentially circumvent security controls. Before deploying custom code to production, it is essential to review what's being deployed. Use a database tool like Azure Data Studio that supports source control. Implement tools and logic for code analysis, vulnerability and credential scanning.",
|
||||
"guid": "7ca9f006-d2a9-4652-951c-de8e4ac5e76e",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server"
|
||||
},
|
||||
{
|
||||
"category": "Data Discovery and Classification",
|
||||
|
|
@ -44,7 +44,7 @@
|
|||
"description": "In case of classification requirements Purview is the preferred option. Only use SQL Data Discovery & Classification in case Purview is not an option. Discover columns that potentially contain sensitive data. What is considered sensitive data heavily depends on the customer, compliance regulation, etc., and needs to be evaluated by the users in charge of that data. Classify the columns to use advanced sensitivity-based auditing and protection scenarios. Review results of automated discovery and finalize the classification if necessary.",
|
||||
"guid": "d401509b-2629-4484-9a7f-af0d29a7778f",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities"
|
||||
},
|
||||
{
|
||||
"category": "Data Masking",
|
||||
|
|
@ -53,7 +53,7 @@
|
|||
"description": "Usage of this feature is recommended only if column encryption is not an option and there is a specific requirement to preserve data types and formats. Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. Dynamic data masking helps prevent unauthorized access to sensitive data by enabling customers to designate how much of the sensitive data to reveal with minimal impact on the application layer.",
|
||||
"guid": "9391fd50-135e-453e-90a7-c1a23f88cc13",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/dynamic-data-masking-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/dynamic-data-masking-overview"
|
||||
},
|
||||
{
|
||||
"category": "Defender",
|
||||
|
|
@ -62,7 +62,7 @@
|
|||
"description": "SQL Advanced Threat Detection (ATP) provides a layer of security that detects potential vulnerabilities and anomalous activity in databases such as SQL injection attacks and unusual behavior patterns. When a potential threat is detected Threat Detection sends an actionable real-time alert by email and in Microsoft Defender for Cloud, which includes clear investigation and remediation steps for the specific threat.",
|
||||
"guid": "4e52d73f-5d37-428f-b3a2-e6997e835979",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure"
|
||||
},
|
||||
{
|
||||
"category": "Defender",
|
||||
|
|
@ -71,7 +71,7 @@
|
|||
"description": "Enable Microsoft Defender for Azure SQL at the subscription level to automatically onboard and protect all existing and future servers and databases. When you enable on the subscription level, all databases in Azure SQL Database and Azure SQL Managed Instance are protected. You can then disable them individually if you choose. If you want to manually manage which databases are protected, disable at the subscription level and enable each database that you want protected.",
|
||||
"guid": "dff87489-9edb-4cef-bdda-86e8212b2aa1",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql "
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql "
|
||||
},
|
||||
{
|
||||
"category": "Defender",
|
||||
|
|
@ -80,7 +80,7 @@
|
|||
"description": "Microsoft Defender for Azure SQL ATP detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. Alerts can be configured and generated and will be reported in the Defender for console.",
|
||||
"guid": "ca342fdf-d25a-4427-b105-fcd50ff8a0ea",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure"
|
||||
},
|
||||
{
|
||||
"category": "Defender",
|
||||
|
|
@ -89,7 +89,7 @@
|
|||
"description": "Azure SQLDB vulnerability assessment is a service that provides visibility into your security state. Vulnerability assessment includes actionable steps to resolve security issues and enhance your database security. It can help you to monitor a dynamic database environment where changes are difficult to track and improve your SQL security posture.",
|
||||
"guid": "a6101ae7-534c-45ab-86fd-b34c55ea21ca",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview"
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview"
|
||||
},
|
||||
{
|
||||
"category": "Defender",
|
||||
|
|
@ -98,7 +98,7 @@
|
|||
"description": "Microsoft Defender for Cloud provides vulnerability assessment for your Azure SQL Databases. Vulnerability assessment scans your databases for software vulnerabilities and provides a list of findings. You can use the findings to remediate software vulnerabilities and disable findings.",
|
||||
"guid": "c8c5f112-1e50-4f77-9264-8195b4cd61ac",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql"
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql"
|
||||
},
|
||||
{
|
||||
"category": "Encryption",
|
||||
|
|
@ -107,7 +107,7 @@
|
|||
"description": "Always Encrypted with Secure Enclaves expands confidential computing capabilities of Always Encrypted by enabling in-place encryption and richer confidential queries. Always Encrypted with Secure Enclaves addresses these limitations by allowing some computations on plaintext data inside a secure enclave on the server side. Usage of this feature is recommended for the cases where you need to limit administrator access and need your queries to support more than equality matching of encrypted columns.",
|
||||
"guid": "65d7e54a-10a6-4094-b673-9ff3809c9277",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/encryption/always-encrypted-enclaves"
|
||||
},
|
||||
{
|
||||
"category": "Encryption",
|
||||
|
|
@ -116,7 +116,7 @@
|
|||
"description": "With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL. This approach is called column encryption, because you can use it to encrypt specific columns with different encryption keys. Doing so gives you more granular encryption capability than TDE, which encrypts data in pages. Using Always Encrypted to ensure sensitive data isn't exposed in plaintext in Azure SQL Database or SQL Managed Instance, even in memory/in use. Always Encrypted protects the data from Database Administrators (DBAs) and cloud admins (or bad actors who can impersonate high-privileged but unauthorized users) and gives you more control over who can access your data.",
|
||||
"guid": "c03ce136-e3d5-4e17-bf25-ed955ee480d3",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption"
|
||||
},
|
||||
{
|
||||
"category": "Encryption",
|
||||
|
|
@ -125,7 +125,7 @@
|
|||
"description": "Enabled by default, Transparent data encryption (TDE) helps to protect the database files against information disclosure by performing real-time encryption and decryption of the database, associated backups, and transaction log files 'at rest', without requiring changes to the application.",
|
||||
"guid": "c614ac47-bebf-4061-b0a1-43e0c6b5e00d",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server"
|
||||
},
|
||||
{
|
||||
"category": "Encryption",
|
||||
|
|
@ -134,7 +134,7 @@
|
|||
"description": "If separation of duties in the management of keys and data within the organization is required, leverage Customer Managed Keys (CMK) for Transparent Data Encryption (TDE) for your Azure SQLDB and use Azure Key Vault to store (refer to its checklist). Leverage this feature when you have strict security requirements which cannot be met by the managed service keys.",
|
||||
"guid": "2edb4165-4f54-47cc-a891-5c82c2f21e25",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-overview"
|
||||
},
|
||||
{
|
||||
"category": "Encryption",
|
||||
|
|
@ -143,7 +143,7 @@
|
|||
"description": "The minimal Transport Layer Security (TLS) version setting allows customers to choose which version of TLS their SQL database uses. It's possible to change the minimum TLS version by using the Azure portal, Azure PowerShell, and the Azure CLI.",
|
||||
"guid": "7754b605-57fd-4bcb-8213-52c39d8e8225",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -152,7 +152,7 @@
|
|||
"description": "Use Azure Active Directory (Azure AD) authentication for centralized identity management. Use SQL Authentication only if really necessary and document as exceptions.",
|
||||
"guid": "c9b8b6bf-2c6b-453d-b400-de9a43a549d7",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-overview"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -161,7 +161,7 @@
|
|||
"description": "Using Azure AD groups simplifies permission management and both the group owner, and the resource owner can add/remove members to/from the group. Create a separate group for Azure AD administrators for each logical server. Monitor Azure AD group membership changes using Azure AD audit activity reports.",
|
||||
"guid": "29820254-1d14-4778-ae90-ff4aeba504a3",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -170,7 +170,7 @@
|
|||
"description": "Ensure that distinct system and user assigned managed identities, that are dedicated to the function, with least permissions assigned, are used for communication from Azure services and applications to the Azure SQLDB databases.",
|
||||
"guid": "df3a09ee-03bb-4198-8637-d141acf5f289",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -179,7 +179,7 @@
|
|||
"description": "System or User assigned managed identities enable Azure SQLDB to authenticate to other cloud services (e.g. Azure Key Vault) without storing credentials in code. Once enabled, all necessary permissions can be granted via Azure role-based-access-control to the specific Azure SQLDB instance. Do not share user assigned managed identities across multiple services if not strictly required.",
|
||||
"guid": "69891194-5074-4e30-8f69-4efc3c580900",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview"
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview"
|
||||
},
|
||||
{
|
||||
"category": "Identity",
|
||||
|
|
@ -188,7 +188,7 @@
|
|||
"description": "Use an Azure AD integrated authentication that eliminates the use of passwords. Password-based authentication methods are a weaker form of authentication. Credentials can be compromised or mistakenly given away. Use single sign-on authentication using Windows credentials. Federate the on-premises AD domain with Azure AD and use integrated Windows authentication (for domain-joined machines with Azure AD).",
|
||||
"guid": "88287d4a-8bb8-4640-ad78-03f51354d003",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication"
|
||||
},
|
||||
{
|
||||
"category": "Ledger",
|
||||
|
|
@ -197,7 +197,7 @@
|
|||
"description": "The hash of the latest block in the database ledger is called the database digest. It represents the state of all ledger tables in the database at the time when the block was generated. Generating a database digest is efficient, because it involves computing only the hashes of the blocks that were recently appended. Azure Confidential Ledger is one of the supported store, it can be used and supports automatic generation and storage of database digests. Azure Ledger provides advanced security features like Blockchain Ledger Proof and Confidential Hardware Enclaves. Use it only if advanced security features are required, otherwise revert to Azure storage.",
|
||||
"guid": "0e853380-50ba-4bce-b2fd-5c7391c85ecc",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage"
|
||||
"link": "https://learn.microsoft.com/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage"
|
||||
},
|
||||
{
|
||||
"category": "Ledger",
|
||||
|
|
@ -206,7 +206,7 @@
|
|||
"description": "The hash of the latest block in the database ledger is called the database digest. It represents the state of all ledger tables in the database at the time when the block was generated. Generating a database digest is efficient, because it involves computing only the hashes of the blocks that were recently appended. Azure Blob Storage with Immutable Storage feature can be used and supports automatic generation and storage of database digests. To prevent tampering of your digest files, configure and lock a retention policy for your container.",
|
||||
"guid": "afefb2d3-95da-4ac9-acf5-33d18b32ef9a",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-digest-management"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-digest-management"
|
||||
},
|
||||
{
|
||||
"category": "Ledger",
|
||||
|
|
@ -215,7 +215,7 @@
|
|||
"description": "Ledger provides a form of data integrity called forward integrity, which provides evidence of data tampering on data in your ledger tables. The database verification process takes as input one or more previously generated database digests. It then recomputes the hashes stored in the database ledger based on the current state of the ledger tables. If the computed hashes don't match the input digests, the verification fails. The failure indicates that the data has been tampered with. The verification process reports all inconsistencies that it detects.",
|
||||
"guid": "f8d4ffda-8aac-4cc6-b72b-c81cb8625420",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-database-verification"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-database-verification"
|
||||
},
|
||||
{
|
||||
"category": "Ledger",
|
||||
|
|
@ -224,7 +224,7 @@
|
|||
"description": "The Ledger feature provides tamper-evidence capabilities in your database. You can cryptographically attest to other parties, such as auditors or other business parties, that your data hasn't been tampered with. Ledger helps protect data from any attacker or high-privileged user, including database administrators (DBAs), system administrators, and cloud administrators.",
|
||||
"guid": "2563f498-e2d3-42ea-9e7b-5517881a06a2",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-overview"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-overview"
|
||||
},
|
||||
{
|
||||
"category": "Ledger",
|
||||
|
|
@ -233,7 +233,7 @@
|
|||
"description": "Depending on the type of tampering, there are cases where you can repair the ledger without losing data. In the article contained in the --More Info-- column, different scenarios and recovery techniques are described.",
|
||||
"guid": "804fc554-6554-4842-91c1-713b32f99902",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -242,7 +242,7 @@
|
|||
"description": "Azure SQL Database Auditing tracks database events and writes them to an audit log in your Azure storage account. Auditing helps you understand database activity and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations as well as helps you meet regulatory compliance. By default auditing policy includes all actions (queries, stored procedures and successful and failed logins) against the databases, which may result in high volume of audit logs. It's recommended for customers to configure auditing for different types of actions and action groups using PowerShell.",
|
||||
"guid": "4082e31d-35f4-4a49-8507-d3172cc930a6",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -251,7 +251,7 @@
|
|||
"description": "Azure SQL Database Auditing logs can be written to external storage accounts, Log Analytics workspace or Event Hub. Be sure to protect the target repository using backups and secured configuration. Use Azure SQL Database Managed Identity to access the storage and set an explicit retention period. Do not grant permissions to administrators to the audit log repository. Use a different target storage for --Enabling Auditing of Microsoft support operations--. ",
|
||||
"guid": "9b64bc50-b60f-4035-bf7a-28c4806dfb46",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -260,7 +260,7 @@
|
|||
"description": "The Azure Monitor activity log is a platform log in Azure that provides insight into subscription-level events. The activity log includes information like when a resource is modified. It is recommended to send this activity log to the same external storage repository as the Azure SQL Database Audit Log (storage account, Log Analytics workspace, Event Hub).",
|
||||
"guid": "fcd34708-87ac-4efc-aaf6-57a47f76644a",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log"
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -269,7 +269,7 @@
|
|||
"description": "Forward any logs from Azure SQL to your Security Information and Event Management (SIEM) and Security Orchestration Automation and Response (SOAR). Ensure that you are monitoring different types of Azure assets for potential threats and anomalies. Focus on getting high-quality alerts to reduce false positives for analysts to sort through. Alerts can be sourced from log data, agents, or other data.",
|
||||
"guid": "f96e127e-9572-453a-b325-ff89ae9f6b44",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -278,7 +278,7 @@
|
|||
"description": "Forward any logs from Azure SQL to your Security Information and Event Management (SIEM) and Security Orchestration Automation and Response (SOAR), which can be used to set up custom threat detections. Ensure that you are monitoring different types of Azure assets for potential threats and anomalies. Focus on getting high-quality alerts to reduce false positives for analysts to sort through. Alerts can be sourced from log data, agents, or other data.",
|
||||
"guid": "41503bf8-73da-4a10-af9f-5f7fceb5456f",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log"
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log"
|
||||
},
|
||||
{
|
||||
"category": "Logging",
|
||||
|
|
@ -287,7 +287,7 @@
|
|||
"description": "Security Operation Center (SOC) team should create an incident response plan (playbooks or manual responses) to investigate and mitigate tampering, malicious activities, and other anomalous behaviors.",
|
||||
"guid": "19ec7c97-c563-4e1d-82f0-54d6ec12e754",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log"
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -296,7 +296,7 @@
|
|||
"description": "When you create a logical server from the Azure portal for Azure SQL Database, the result is a public endpoint that is visible and reachable over the public network (Public Access). You can then limit connectivity based on firewall rules and Service Endpoint. You can also configure private connectivity only limiting connections to internal networks using Private Endpoint (Private Access). Private Access using Private Endpoint should be the default unless a business case or performance/technical reason applies that cannot support it. Usage of Private Endpoints has performance implications that need to be considered and assessed.",
|
||||
"guid": "2c6d356a-1784-475b-a42c-ec187dc8c925",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -305,7 +305,7 @@
|
|||
"description": "IMPORTANT: Connections to private endpoint only support Proxy as the connection policy. When using private endpoints connections are proxied via the Azure SQL Database gateway to the database nodes. Clients will not have a direct connection.",
|
||||
"guid": "557b3ce5-bada-4296-8d52-a2d447bc1718",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-architecture"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-architecture"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -314,7 +314,7 @@
|
|||
"description": "This option configures the firewall to allow all connections from Azure, including connections from the subscriptions of other customers. If you select this option, make sure that your login and user permissions limit access to authorized users only. If not strictly required, keep this setting to OFF.",
|
||||
"guid": "f48efacf-4405-4e8d-9dd0-16c5302ed082",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -323,7 +323,7 @@
|
|||
"description": "Azure SQL Database has a new built-in feature that allows native integration with external REST endpoints. This means that integration of Azure SQL Database with Azure Functions, Azure Logic Apps, Cognitive Services, Event Hubs, Event Grid, Azure Containers, API Management and in general any REST or even GraphQL endpoint. If not properly restricted, code inside an Azure SQL Database database could leverage this mechanism to exfiltrate data. If not strictly required, it is recommended to block or restrict this feature using Outbound Firewall Rules.",
|
||||
"guid": "cb3274a7-e36d-46f6-8de5-46d30c8dde8e",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql"
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -332,7 +332,7 @@
|
|||
"description": "Outbound firewall rules limit network traffic from the Azure SQL Database logical server to a customer defined list of Azure Storage accounts and Azure SQL Database logical servers. Any attempt to access storage accounts or databases not in this list is denied.",
|
||||
"guid": "a566dd3d-314e-4a94-9378-102c42d82b38",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/outbound-firewall-rule-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/outbound-firewall-rule-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -341,7 +341,7 @@
|
|||
"description": "Private Endpoint is created inside a subnet in an Azure Virtual Network. Proper security configuration must be applied also to the containing network environment, including NSG/ASG, UDR, firewall, monitoring and auditing.",
|
||||
"guid": "246cd832-f550-4af0-9c74-ca9baeeb8860",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -350,7 +350,7 @@
|
|||
"description": "When adding a Private Endpoint connection, public routing to your logical server isn't blocked by default. In the --Firewall and virtual networks-- pane, the setting --Deny public network access-- is not selected by default. To disable public network access, ensure that you select --Deny public network access--.",
|
||||
"guid": "3a0808ee-ea7a-47ab-bdce-920a6a2b3881",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -359,7 +359,7 @@
|
|||
"description": "Network Security Group (NSG) and Application Security Group (ASG) can be now applied to subnet containing Private Endpoints to restrict connections to Azure SQLDB based on internal source IP ranges.",
|
||||
"guid": "8600527e-e8c4-4424-90ef-1f0dca0224f2",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints"
|
||||
"link": "https://learn.microsoft.com/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -368,7 +368,7 @@
|
|||
"description": "A Managed Instance (SQL MI) can be isolated inside a virtual network to prevent external access. Applications and tools that are in the same or peered virtual network in the same region could access it directly. Applications and tools that are in different region could use virtual-network-to-virtual-network connection or ExpressRoute circuit peering to establish connection. Customer should use Network Security Groups (NSG), and eventually internal firewalls, to restrict access over port 1433 only to resources that require access to a managed instance.",
|
||||
"guid": "18123ef4-a0a6-45e3-87fe-7f454f65d975",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/connectivity-architecture-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/connectivity-architecture-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -377,7 +377,7 @@
|
|||
"description": "Azure Virtual Network Service Endpoint is preferred solution if you want to establish a direct connection to the Azure SQL Database backend nodes using Redirect policy. This will allow access in high performance mode and is the recommended approach from a performance perspective.",
|
||||
"guid": "55187443-6852-4fbd-99c6-ce303597ca7f",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -386,7 +386,7 @@
|
|||
"description": "The Azure SQL Database firewall allows you to specify IP address ranges from which communications are accepted. This approach is fine for stable IP addresses that are outside the Azure private network.",
|
||||
"guid": "a73e32da-b3f4-4960-b5ec-2f42a557bf31",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -395,7 +395,7 @@
|
|||
"description": "We recommend that you use database-level IP firewall rules whenever possible. This practice enhances security and makes your database more portable. Use server-level IP firewall rules for administrators. Also use them when you have many databases that have the same access requirements, and you don't want to configure each database individually.",
|
||||
"guid": "e0f31ac9-35c8-4bfd-9865-edb60ffc6768",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/firewall-configure"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/firewall-configure"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -404,7 +404,7 @@
|
|||
"description": "A Managed Instance (SQL MI) can be isolated inside a virtual network to prevent external access. The Managed Instance public endpoint is not enabled by default, must be explicitly enabled, only if strictly required. If company policy disallows the use of public endpoints, use Azure Policy to prevent enabling public endpoints in the first place.",
|
||||
"guid": "b8435656-143e-41a8-9922-61d34edb751a",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview"
|
||||
},
|
||||
{
|
||||
"category": "Networking",
|
||||
|
|
@ -413,7 +413,7 @@
|
|||
"description": "A Managed Instance (SQL MI) public endpoint is not enabled by default, must be explicitly enabled, only if strictly required. In this case, it is recommended to apply a Network Security Groups (NSG) to restrict access to port 3342 only to trusted source IP addresses.",
|
||||
"guid": "057dd298-8726-4aa6-b590-1f81d2e30421",
|
||||
"severity": "High",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview"
|
||||
},
|
||||
{
|
||||
"category": "Privileged Access",
|
||||
|
|
@ -422,7 +422,7 @@
|
|||
"description": "Most operations, support, and troubleshooting performed by Microsoft personnel and sub-processors do not require access to customer data. In those rare circumstances where such access is required, Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests. In support scenarios where Microsoft needs to access customer data, Azure SQL Database supports Customer Lockbox to provide an interface for you to review and approve or reject customer data access requests.",
|
||||
"guid": "37b6eb0f-553d-488f-8a8a-cb9bf97388ff",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview"
|
||||
"link": "https://learn.microsoft.com/azure/security/fundamentals/customer-lockbox-overview"
|
||||
},
|
||||
{
|
||||
"category": "Privileged Access",
|
||||
|
|
@ -431,7 +431,7 @@
|
|||
"description": "The principle of least privilege states that users shouldn't have more privileges than needed to complete their tasks. High-privileged database and server users can perform many configuration and maintenance activities on the database and can also drop databases in Azure SQL instance. Tracking database owners and privileged accounts is important to avoid having excessive permission.",
|
||||
"guid": "5fe5281f-f0f9-4842-a682-8baf18bd8316",
|
||||
"severity": "Medium",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege"
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege"
|
||||
},
|
||||
{
|
||||
"category": "Privileged Access",
|
||||
|
|
@ -440,7 +440,7 @@
|
|||
"description": "Identities (both Users and SPNs) should be scoped to the least amount of access needed to perform the function. A higher number of tightly scoped SPNs should be used, instead of having one SPN with multiple sets of unrelated permissions. For example, if there are three external web applications hosted on-prem that make queries to the Azure SQL Database, they should not all use the same SPN for these activities. Instead, they should each have their own tightly scoped SPN.",
|
||||
"guid": "7b5b55e5-4750-4920-be97-eb726c256a5c",
|
||||
"severity": "Low",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access"
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access"
|
||||
}
|
||||
],
|
||||
"categories": [
|
||||
|
|
|
|||
|
|
@ -40,7 +40,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "Asegúrese de que sus copias de seguridad estén protegidas contra ataques. Esto debe incluir el cifrado de las copias de seguridad para proteger contra la pérdida de confidencialidad. Para la copia de seguridad regular del servicio de Azure, los datos de copia de seguridad se cifran automáticamente con claves administradas por la plataforma Azure. También puede optar por cifrar la copia de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente en el almacén de claves también esté en el ámbito de copia de seguridad.",
|
||||
"guid": "676f6951-0368-49e9-808d-c33a692c9a64",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Azure Key Vault",
|
||||
"text": "Proteja sus datos de copia de seguridad con cifrado y almacene claves de forma segura en Azure Key Vault"
|
||||
|
|
@ -49,7 +49,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "Base de datos SQL de Azure usa la tecnología de SQL Server para crear copias de seguridad completas cada semana, copias de seguridad diferenciales cada 12 a 24 horas y copias de seguridad del registro de transacciones cada 5 a 10 minutos. De forma predeterminada, Base de datos SQL almacena datos en blobs de almacenamiento con redundancia geográfica que se replican en una región emparejada.",
|
||||
"guid": "e2518261-b3bc-4bd1-b331-637fb2df833f",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Copia de seguridad",
|
||||
"text": "Configuración de copias de seguridad automatizadas de Base de datos SQL de Azure"
|
||||
|
|
@ -58,7 +58,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "De forma predeterminada, Base de datos SQL almacena datos en blobs de almacenamiento con redundancia geográfica que se replican en una región emparejada. Para Base de datos SQL, la redundancia de almacenamiento de copia de seguridad se puede configurar en el momento de la creación de la base de datos o se puede actualizar para una base de datos existente; Los cambios realizados en una base de datos existente solo se aplican a futuras copias de seguridad.",
|
||||
"guid": "f8c7cda2-3ed7-43fb-a100-85dcd12a0ee4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Copia de seguridad",
|
||||
"text": "Habilite el almacenamiento de copia de seguridad con redundancia geográfica para proteger contra fallas en una sola región y pérdida de datos"
|
||||
|
|
@ -67,7 +67,7 @@
|
|||
"category": "Código",
|
||||
"description": "El código malintencionado puede eludir potencialmente los controles de seguridad. Antes de implementar código personalizado en producción, es esencial revisar lo que se está implementando. Use una herramienta de base de datos como Azure Data Studio que admita el control de código fuente. Implementar herramientas y lógica para el análisis de código, vulnerabilidad y escaneo de credenciales.",
|
||||
"guid": "7ca9f006-d2a9-4652-951c-de8e4ac5e76e",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Control de código fuente y revisión de código",
|
||||
"text": "Uso de sistemas de control de código fuente para almacenar, mantener y revisar el código de aplicación implementado en Azure SQLDB Database"
|
||||
|
|
@ -76,7 +76,7 @@
|
|||
"category": "Descubrimiento y clasificación de datos",
|
||||
"description": "En caso de requisitos de clasificación, Purview es la opción preferida. Solo use SQL Data Discovery & Classification en caso de que Purview no sea una opción. Descubra columnas que potencialmente contengan datos confidenciales. Lo que se considera datos confidenciales depende en gran medida del cliente, la regulación de cumplimiento, etc., y debe ser evaluado por los usuarios a cargo de esos datos. Clasifique las columnas para usar escenarios avanzados de auditoría y protección basados en sensibilidad. Revise los resultados del descubrimiento automatizado y finalice la clasificación si es necesario.",
|
||||
"guid": "d401509b-2629-4484-9a7f-af0d29a7778f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Descubrimiento y clasificación de datos",
|
||||
"text": "Planificar y configurar la clasificación y descubrimiento de datos para proteger los datos confidenciales"
|
||||
|
|
@ -85,7 +85,7 @@
|
|||
"category": "Enmascaramiento de datos",
|
||||
"description": "El uso de esta característica se recomienda solo si el cifrado de columnas no es una opción y existe un requisito específico para conservar los tipos y formatos de datos. El enmascaramiento dinámico de datos limita la exposición de datos confidenciales al enmascararlos a usuarios sin privilegios. El enmascaramiento dinámico de datos ayuda a evitar el acceso no autorizado a datos confidenciales al permitir a los clientes designar la cantidad de datos confidenciales que se revelarán con un impacto mínimo en la capa de aplicación.",
|
||||
"guid": "9391fd50-135e-453e-90a7-c1a23f88cc13",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Enmascaramiento de datos",
|
||||
"text": "Utilice el enmascaramiento de datos para evitar el acceso no autorizado a los datos de usuarios no administradores si no es posible el cifrado"
|
||||
|
|
@ -94,7 +94,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "SQL Advanced Threat Detection (ATP) proporciona una capa de seguridad que detecta posibles vulnerabilidades y actividad anómala en bases de datos, como ataques de inyección SQL y patrones de comportamiento inusuales. Cuando se detecta una amenaza potencial, Detección de amenazas envía una alerta procesable en tiempo real por correo electrónico y en Microsoft Defender para la nube, que incluye pasos claros de investigación y corrección para la amenaza específica.",
|
||||
"guid": "4e52d73f-5d37-428f-b3a2-e6997e835979",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Protección avanzada contra amenazas",
|
||||
"text": "Revisar y completar la configuración de Advanced Threat Protection (ATP)"
|
||||
|
|
@ -103,7 +103,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "Habilite Microsoft Defender para Azure SQL en el nivel de suscripción para incorporar y proteger automáticamente todos los servidores y bases de datos existentes y futuros. Cuando se habilita en el nivel de suscripción, todas las bases de datos de Base de datos SQL de Azure y Instancia administrada de SQL de Azure están protegidas. A continuación, puede deshabilitarlos individualmente si lo desea. Si desea administrar manualmente qué bases de datos están protegidas, deshabilite en el nivel de suscripción y habilite cada base de datos que desee proteger.",
|
||||
"guid": "dff87489-9edb-4cef-bdda-86e8212b2aa1",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Defender para Azure SQL",
|
||||
"text": "Habilitar Microsoft Defender para Azure SQL"
|
||||
|
|
@ -112,7 +112,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "Microsoft Defender para Azure SQL ATP detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceso a bases de datos o aprovecharlas. Las alertas se pueden configurar y generar, y se informarán en el Defender para consola.",
|
||||
"guid": "ca342fdf-d25a-4427-b105-fcd50ff8a0ea",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Defender para Azure SQL",
|
||||
"text": "Preparar un plan de respuesta de seguridad para reaccionar rápidamente a las alertas SQL de Microsoft Defender para Azure"
|
||||
|
|
@ -121,7 +121,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "La evaluación de vulnerabilidades de Azure SQLDB es un servicio que proporciona visibilidad del estado de seguridad. La evaluación de vulnerabilidades incluye pasos prácticos para resolver problemas de seguridad y mejorar la seguridad de la base de datos. Puede ayudarle a supervisar un entorno de base de datos dinámico donde los cambios son difíciles de rastrear y mejorar su postura de seguridad SQL.",
|
||||
"guid": "a6101ae7-534c-45ab-86fd-b34c55ea21ca",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Evaluación de vulnerabilidades",
|
||||
"text": "Configurar los hallazgos de la evaluación de vulnerabilidades (VA) y revisar las recomendaciones"
|
||||
|
|
@ -130,7 +130,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "Microsoft Defender para la nube proporciona una evaluación de vulnerabilidades para las bases de datos SQL de Azure. La evaluación de vulnerabilidades analiza las bases de datos en busca de vulnerabilidades de software y proporciona una lista de hallazgos. Puede usar los hallazgos para corregir vulnerabilidades de software y deshabilitar hallazgos.",
|
||||
"guid": "c8c5f112-1e50-4f77-9264-8195b4cd61ac",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Evaluación de vulnerabilidades",
|
||||
"text": "Revisar regularmente los hallazgos y recomendaciones de la Evaluación de Vulnerabilidades (VA) y preparar un plan para corregir"
|
||||
|
|
@ -139,7 +139,7 @@
|
|||
"category": "Encriptación",
|
||||
"description": "Always Encrypted with Secure Enclaves amplía las capacidades informáticas confidenciales de Always Encrypted al permitir el cifrado in situ y consultas confidenciales más ricas. Always Encrypted with Secure Enclaves aborda estas limitaciones al permitir algunos cálculos en datos de texto sin formato dentro de un enclave seguro en el lado del servidor. Se recomienda el uso de esta función para los casos en los que necesite limitar el acceso de administrador y necesite que sus consultas admitan más que la coincidencia de igualdad de columnas cifradas.",
|
||||
"guid": "65d7e54a-10a6-4094-b673-9ff3809c9277",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Siempre encriptado",
|
||||
"text": "Si proteger los datos PII confidenciales de los usuarios administradores es un requisito clave, pero no se pueden tolerar las limitaciones del cifrado de columnas, considere la adopción de Always Encrypted with Secure Enclaves"
|
||||
|
|
@ -148,7 +148,7 @@
|
|||
"category": "Encriptación",
|
||||
"description": "Con Base de datos SQL de Azure, puede aplicar cifrado simétrico a una columna de datos mediante Transact-SQL. Este enfoque se denomina cifrado de columnas, ya que puede usarlo para cifrar columnas específicas con diferentes claves de cifrado. Hacerlo le brinda una capacidad de cifrado más granular que TDE, que cifra los datos en las páginas. Usar Always Encrypted para garantizar que los datos confidenciales no se expongan en texto sin formato en Base de datos SQL de Azure o Instancia administrada de SQL, incluso en memoria o en uso. Always Encrypted protege los datos de los administradores de bases de datos (DBA) y los administradores de la nube (o los malos actores que pueden hacerse pasar por usuarios con altos privilegios pero no autorizados) y le da más control sobre quién puede acceder a sus datos.",
|
||||
"guid": "c03ce136-e3d5-4e17-bf25-ed955ee480d3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Cifrado de columnas",
|
||||
"text": "Para proteger los datos confidenciales de PII de usuarios que no son administradores en columnas de tabla específicas, considere la posibilidad de usar el cifrado de columnas"
|
||||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "Encriptación",
|
||||
"description": "Habilitado de forma predeterminada, el cifrado de datos transparente (TDE) ayuda a proteger los archivos de base de datos contra la divulgación de información mediante el cifrado y descifrado en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones \"en reposo\", sin necesidad de realizar cambios en la aplicación.",
|
||||
"guid": "c614ac47-bebf-4061-b0a1-43e0c6b5e00d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Cifrado de datos transparente",
|
||||
"text": "Asegúrese de que el cifrado de datos transparente (TDE) se mantenga habilitado"
|
||||
|
|
@ -166,7 +166,7 @@
|
|||
"category": "Encriptación",
|
||||
"description": "Si se requiere la separación de tareas en la administración de claves y datos dentro de la organización, aproveche Customer Managed Keys (CMK) for Transparent Data Encryption (TDE) para su SQLDB de Azure y use Azure Key Vault para almacenar (consulte su lista de comprobación). Aproveche esta característica cuando tenga requisitos de seguridad estrictos que no puedan cumplir las claves de servicio administradas.",
|
||||
"guid": "2edb4165-4f54-47cc-a891-5c82c2f21e25",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Cifrado de datos transparente",
|
||||
"text": "Use claves administradas por el cliente (CMK) en Azure Key Vault (AKV) si necesita mayor transparencia y control granular sobre la protección TDE"
|
||||
|
|
@ -175,7 +175,7 @@
|
|||
"category": "Encriptación",
|
||||
"description": "La configuración de versión mínima de Seguridad de la capa de transporte (TLS) permite a los clientes elegir qué versión de TLS utiliza su base de datos SQL. Es posible cambiar la versión mínima de TLS mediante Azure Portal, Azure PowerShell y la CLI de Azure.",
|
||||
"guid": "7754b605-57fd-4bcb-8213-52c39d8e8225",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Seguridad de la capa de transporte",
|
||||
"text": "Aplicar la versión mínima de TLS a la última disponible"
|
||||
|
|
@ -184,7 +184,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "Use la autenticación de Azure Active Directory (Azure AD) para la administración centralizada de identidades. Utilice la autenticación de SQL solo si es realmente necesario y documente como excepciones.",
|
||||
"guid": "c9b8b6bf-2c6b-453d-b400-de9a43a549d7",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Aprovechar la autenticación de Azure AD para las conexiones a Bases de datos SQL de Azure"
|
||||
|
|
@ -193,7 +193,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "El uso de grupos de Azure AD simplifica la administración de permisos y tanto el propietario del grupo como el propietario del recurso pueden agregar o quitar miembros del grupo. Cree un grupo independiente para los administradores de Azure AD para cada servidor lógico. Supervise los cambios de pertenencia a grupos de Azure AD mediante los informes de actividad de auditoría de Azure AD.",
|
||||
"guid": "29820254-1d14-4778-ae90-ff4aeba504a3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Creación de un grupo de Azure AD independiente con dos cuentas de administrador para cada servidor lógico de Base de datos SQL de Azure"
|
||||
|
|
@ -202,7 +202,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "Asegúrese de que se usan distintas identidades administradas asignadas por el sistema y el usuario, dedicadas a la función, con menos permisos asignados, para la comunicación entre los servicios y aplicaciones de Azure a las bases de datos SQLDB de Azure.",
|
||||
"guid": "df3a09ee-03bb-4198-8637-d141acf5f289",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Minimice el uso de la autenticación basada en contraseña para las aplicaciones"
|
||||
|
|
@ -211,7 +211,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "Las identidades administradas asignadas por el sistema o el usuario permiten que Azure SQLDB se autentique en otros servicios en la nube (por ejemplo, Azure Key Vault) sin almacenar credenciales en el código. Una vez habilitado, se pueden conceder todos los permisos necesarios a través de Azure role-based-access-control a la instancia específica de Azure SQLDB. No comparta identidades administradas asignadas por el usuario en varios servicios si no es estrictamente necesario.",
|
||||
"guid": "69891194-5074-4e30-8f69-4efc3c580900",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Identidades administradas",
|
||||
"text": "Asignación de una identidad administrada a Base de datos SQL de Azure para el acceso a recursos salientes"
|
||||
|
|
@ -220,7 +220,7 @@
|
|||
"category": "Identidad",
|
||||
"description": "Use una autenticación integrada de Azure AD que elimine el uso de contraseñas. Los métodos de autenticación basados en contraseña son una forma más débil de autenticación. Las credenciales pueden verse comprometidas o regalarse por error. Use la autenticación de inicio de sesión único con credenciales de Windows. Federe el dominio de AD local con Azure AD y use la autenticación integrada de Windows (para máquinas unidas a un dominio con Azure AD).",
|
||||
"guid": "88287d4a-8bb8-4640-ad78-03f51354d003",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Contraseñas",
|
||||
"text": "Minimice el uso de la autenticación basada en contraseña para los usuarios"
|
||||
|
|
@ -229,7 +229,7 @@
|
|||
"category": "Libro mayor",
|
||||
"description": "El hash del último bloque en el libro mayor de la base de datos se denomina resumen de la base de datos. Representa el estado de todas las tablas de contabilidad de la base de datos en el momento en que se generó el bloque. Generar un resumen de base de datos es eficiente, ya que implica calcular solo los hashes de los bloques que se agregaron recientemente. Azure Confidential Ledger es uno de los almacenes compatibles, se puede usar y admite la generación y el almacenamiento automáticos de resúmenes de bases de datos. Azure Ledger proporciona características de seguridad avanzadas como Blockchain Ledger Proof y Confidential Hardware Enclaves. Úselo solo si se requieren características de seguridad avanzadas y, de lo contrario, vuelva al almacenamiento de Azure.",
|
||||
"guid": "0e853380-50ba-4bce-b2fd-5c7391c85ecc",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Resumen de base de datos",
|
||||
"text": "Usar Azure Confidential Ledger para almacenar resúmenes de base de datos solo si se requieren características de seguridad avanzadas"
|
||||
|
|
@ -238,7 +238,7 @@
|
|||
"category": "Libro mayor",
|
||||
"description": "El hash del último bloque en el libro mayor de la base de datos se denomina resumen de la base de datos. Representa el estado de todas las tablas de contabilidad de la base de datos en el momento en que se generó el bloque. Generar un resumen de base de datos es eficiente, ya que implica calcular solo los hashes de los bloques que se agregaron recientemente. La característica Azure Blob Storage with Immutable Storage se puede usar y admite la generación y el almacenamiento automáticos de resúmenes de bases de datos. Para evitar la manipulación de los archivos de resumen, configure y bloquee una directiva de retención para el contenedor.",
|
||||
"guid": "afefb2d3-95da-4ac9-acf5-33d18b32ef9a",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Resumen de base de datos",
|
||||
"text": "Si se usa la cuenta de almacenamiento de Azure para almacenar resúmenes de base de datos, asegúrese de que la seguridad esté configurada correctamente"
|
||||
|
|
@ -247,7 +247,7 @@
|
|||
"category": "Libro mayor",
|
||||
"description": "El libro mayor proporciona una forma de integridad de datos denominada integridad hacia adelante, que proporciona evidencia de manipulación de datos en los datos de las tablas del libro mayor. El proceso de verificación de la base de datos toma como entrada uno o más resúmenes de base de datos generados previamente. A continuación, vuelve a calcular los hashes almacenados en el libro mayor de la base de datos en función del estado actual de las tablas del libro mayor. Si los hashes calculados no coinciden con los resúmenes de entrada, se produce un error en la verificación. El error indica que los datos han sido manipulados. El proceso de verificación informa de todas las inconsistencias que detecta.",
|
||||
"guid": "f8d4ffda-8aac-4cc6-b72b-c81cb8625420",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Integridad",
|
||||
"text": "Programe el proceso de verificación del libro mayor regularmente para verificar la integridad de los datos"
|
||||
|
|
@ -256,7 +256,7 @@
|
|||
"category": "Libro mayor",
|
||||
"description": "La función Ledger proporciona capacidades de evidencia de manipulación en su base de datos. Puede dar fe criptográficamente a otras partes, como auditores u otras partes comerciales, de que sus datos no han sido manipulados. Ledger ayuda a proteger los datos de cualquier atacante o usuario con privilegios altos, incluidos los administradores de bases de datos (DBA), los administradores de sistemas y los administradores de la nube.",
|
||||
"guid": "2563f498-e2d3-42ea-9e7b-5517881a06a2",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Libro mayor",
|
||||
"text": "Si la prueba criptográfica de la integridad de los datos es un requisito crítico, se debe considerar la función Ledger"
|
||||
|
|
@ -265,7 +265,7 @@
|
|||
"category": "Libro mayor",
|
||||
"description": "Dependiendo del tipo de manipulación, hay casos en los que puede reparar el libro mayor sin perder datos. En el artículo contenido en la columna --Más información-- se describen diferentes escenarios y técnicas de recuperación.",
|
||||
"guid": "804fc554-6554-4842-91c1-713b32f99902",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Recuperación",
|
||||
"text": "Preparar un plan de respuesta para investigar y reparar una base de datos después de un evento de manipulación"
|
||||
|
|
@ -274,7 +274,7 @@
|
|||
"category": "Registro",
|
||||
"description": "Azure SQL Database Auditing realiza un seguimiento de los eventos de la base de datos y los escribe en un registro de auditoría de la cuenta de almacenamiento de Azure. La auditoría le ayuda a comprender la actividad de la base de datos y a obtener información sobre discrepancias y anomalías que podrían indicar problemas empresariales o sospechas de infracciones de seguridad, así como a cumplir las normativas. De forma predeterminada, la directiva de auditoría incluye todas las acciones (consultas, procedimientos almacenados e inicios de sesión correctos y erróneos) en las bases de datos, lo que puede dar lugar a un gran volumen de registros de auditoría. Se recomienda que los clientes configuren la auditoría para diferentes tipos de acciones y grupos de acciones mediante PowerShell.",
|
||||
"guid": "4082e31d-35f4-4a49-8507-d3172cc930a6",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Auditoría",
|
||||
"text": "Asegúrese de que Azure SQL Database Auditing está habilitado en el nivel de servidor"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "Registro",
|
||||
"description": "Los registros de auditoría de Base de datos SQL de Azure se pueden escribir en cuentas de almacenamiento externo, en el área de trabajo de Log Analytics o en el Centro de eventos. Asegúrese de proteger el repositorio de destino mediante copias de seguridad y configuración segura. Use Azure SQL Database Managed Identity para acceder al almacenamiento y establecer un período de retención explícito. No conceda permisos a los administradores para el repositorio del registro de auditoría. Utilice un almacenamiento de destino diferente para --Habilitación de la auditoría de las operaciones de soporte técnico de Microsoft--. ",
|
||||
"guid": "9b64bc50-b60f-4035-bf7a-28c4806dfb46",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Auditoría",
|
||||
"text": "Asegúrese de que los registros de auditoría de Base de datos SQL de Azure están respaldados y protegidos en el tipo de repositorio seleccionado"
|
||||
|
|
@ -292,7 +292,7 @@
|
|||
"category": "Registro",
|
||||
"description": "El registro de actividad de Azure Monitor es un registro de plataforma en Azure que proporciona información sobre los eventos de nivel de suscripción. El registro de actividad incluye información como cuando se modifica un recurso. Se recomienda enviar este registro de actividad al mismo repositorio de almacenamiento externo que el registro de auditoría de Base de datos SQL de Azure (cuenta de almacenamiento, área de trabajo de Log Analytics, Centro de eventos).",
|
||||
"guid": "fcd34708-87ac-4efc-aaf6-57a47f76644a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Auditoría",
|
||||
"text": "Asegúrese de que el registro de actividad de Base de datos SQL de Azure se recopila e integra con los registros de auditoría"
|
||||
|
|
@ -301,7 +301,7 @@
|
|||
"category": "Registro",
|
||||
"description": "Reenvíe los registros de Azure SQL a su administración de eventos e información de seguridad (SIEM) y a Security Orchestration Automation and Response (SOAR). Asegúrese de que está supervisando diferentes tipos de activos de Azure para detectar posibles amenazas y anomalías. Concéntrese en obtener alertas de alta calidad para reducir los falsos positivos para que los analistas los clasifiquen. Las alertas pueden obtenerse de datos de registro, agentes u otros datos.",
|
||||
"guid": "f96e127e-9572-453a-b325-ff89ae9f6b44",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Asegúrese de que los registros de auditoría de Base de datos SQL de Azure se presentan en SIEM/SOAR de su organización"
|
||||
|
|
@ -310,7 +310,7 @@
|
|||
"category": "Registro",
|
||||
"description": "Reenvíe los registros de Azure SQL a su Administración de eventos e información de seguridad (SIEM) y Automatización y respuesta de orquestación de seguridad (SOAR), que se pueden usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando diferentes tipos de activos de Azure para detectar posibles amenazas y anomalías. Concéntrese en obtener alertas de alta calidad para reducir los falsos positivos para que los analistas los clasifiquen. Las alertas pueden obtenerse de datos de registro, agentes u otros datos.",
|
||||
"guid": "41503bf8-73da-4a10-af9f-5f7fceb5456f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Medio",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Asegúrese de que los datos del registro de actividad de Base de datos SQL de Azure se presentan en su SIEM/SOAR"
|
||||
|
|
@ -319,7 +319,7 @@
|
|||
"category": "Registro",
|
||||
"description": "El equipo del Centro de Operaciones de Seguridad (SOC) debe crear un plan de respuesta a incidentes (cuadernos de jugadas o respuestas manuales) para investigar y mitigar la manipulación, las actividades maliciosas y otros comportamientos anómalos.",
|
||||
"guid": "19ec7c97-c563-4e1d-82f0-54d6ec12e754",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Medio",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Asegúrese de que tiene planes de respuesta para eventos de registro de auditoría malintencionados o aberrantes"
|
||||
|
|
@ -328,7 +328,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Al crear un servidor lógico desde Azure Portal para Base de datos SQL de Azure, el resultado es un punto de conexión público visible y accesible a través de la red pública (acceso público). A continuación, puede limitar la conectividad en función de las reglas de firewall y Service Endpoint. También puede configurar la conectividad privada limitando solo las conexiones a redes internas mediante Private Endpoint (Private Access). El acceso privado mediante un punto de conexión privado debe ser el valor predeterminado, a menos que se aplique un caso de negocio o una razón técnica o de rendimiento que no pueda admitirlo. El uso de puntos finales privados tiene implicaciones de rendimiento que deben tenerse en cuenta y evaluarse.",
|
||||
"guid": "2c6d356a-1784-475b-a42c-ec187dc8c925",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Conectividad",
|
||||
"text": "Revise los métodos de conectividad de acceso público frente al acceso privado y seleccione el adecuado para la carga de trabajo"
|
||||
|
|
@ -337,7 +337,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "IMPORTANTE: Las conexiones a un punto de enlace privado solo admiten proxy como directiva de conexión. Cuando se usan puntos de conexión privados, las conexiones se envían mediante proxy a través de la puerta de enlace de Base de datos SQL de Azure a los nodos de la base de datos. Los clientes no tendrán una conexión directa.",
|
||||
"guid": "557b3ce5-bada-4296-8d52-a2d447bc1718",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-architecture",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-architecture",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Conectividad",
|
||||
"text": "Mantener la directiva de conexión predeterminada de Base de datos SQL de Azure si no se requiere y justifica de manera diferente"
|
||||
|
|
@ -346,7 +346,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Esta opción configura el firewall para permitir todas las conexiones de Azure, incluidas las conexiones de las suscripciones de otros clientes. Si selecciona esta opción, asegúrese de que sus permisos de inicio de sesión y de usuario limiten el acceso solo a usuarios autorizados. Si no es estrictamente necesario, mantenga esta configuración en OFF.",
|
||||
"guid": "f48efacf-4405-4e8d-9dd0-16c5302ed082",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Conectividad",
|
||||
"text": "Asegúrese de que la opción Permitir que los servicios y recursos de Azure accedan a este servidor esté deshabilitada en el firewall de Base de datos SQL de Azure."
|
||||
|
|
@ -355,7 +355,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Base de datos SQL de Azure tiene una nueva característica integrada que permite la integración nativa con puntos de conexión REST externos. Esto significa que la integración de Azure SQL Database con Azure Functions, Azure Logic Apps, Cognitive Services, Event Hubs, Event Grid, Azure Containers, API Management y, en general, cualquier punto de conexión REST o incluso GraphQL. Si no se restringe correctamente, el código dentro de una base de datos de Base de datos SQL de Azure podría aprovechar este mecanismo para filtrar datos. Si no es estrictamente necesario, se recomienda bloquear o restringir esta función mediante las reglas de firewall saliente.",
|
||||
"guid": "cb3274a7-e36d-46f6-8de5-46d30c8dde8e",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Control de salida",
|
||||
"text": "Bloquear o restringir las llamadas salientes a la API de REST a puntos de conexión externos"
|
||||
|
|
@ -364,7 +364,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Las reglas de firewall saliente limitan el tráfico de red desde el servidor lógico de Base de datos SQL de Azure a una lista definida por el cliente de cuentas de almacenamiento de Azure y servidores lógicos de Base de datos SQL de Azure. Se deniega cualquier intento de obtener acceso a cuentas de almacenamiento o bases de datos que no estén en esta lista.",
|
||||
"guid": "a566dd3d-314e-4a94-9378-102c42d82b38",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Control de salida",
|
||||
"text": "Si se requiere acceso a la red saliente, se recomienda configurar las restricciones de red salientes mediante la característica de control integrada Base de datos SQL de Azure."
|
||||
|
|
@ -373,7 +373,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Private Endpoint se crea dentro de una subred en una red virtual de Azure. La configuración de seguridad adecuada debe aplicarse también al entorno de red que lo contiene, incluidos NSG / ASG, UDR, firewall, monitoreo y auditoría.",
|
||||
"guid": "246cd832-f550-4af0-9c74-ca9baeeb8860",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Acceso privado",
|
||||
"text": "Si se usa la conectividad de acceso privado, asegúrese de que está usando las listas de comprobación Punto de conexión privado, Red virtual de Azure, Firewall de Azure y Grupo de seguridad de red de Azure."
|
||||
|
|
@ -382,7 +382,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Al agregar una conexión de extremo privado, el enrutamiento público al servidor lógico no se bloquea de forma predeterminada. En el panel --Firewall y redes virtuales-- , la configuración --Denegar acceso a la red pública-- no está seleccionada de forma predeterminada. Para deshabilitar el acceso a la red pública, asegúrese de seleccionar --Denegar acceso a la red pública--.",
|
||||
"guid": "3a0808ee-ea7a-47ab-bdce-920a6a2b3881",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acceso privado",
|
||||
"text": "Si se usa el extremo privado (acceso privado), considere la posibilidad de deshabilitar la conectividad de acceso público"
|
||||
|
|
@ -391,7 +391,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "El grupo de seguridad de red (NSG) y el grupo de seguridad de aplicaciones (ASG) ahora se pueden aplicar a subredes que contienen puntos de conexión privados para restringir las conexiones a Azure SQLDB en función de intervalos IP de origen internos.",
|
||||
"guid": "8600527e-e8c4-4424-90ef-1f0dca0224f2",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"link": "https://learn.microsoft.com/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Acceso privado",
|
||||
"text": "Si se usa Private Endpoint (Private Access), aplique NSG y, finalmente, ASG para limitar los intervalos de direcciones IP de origen entrantes"
|
||||
|
|
@ -400,7 +400,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Una instancia administrada (SQL MI) se puede aislar dentro de una red virtual para evitar el acceso externo. Las aplicaciones y herramientas que se encuentran en la misma red virtual o emparejada en la misma región podrían acceder a ella directamente. Las aplicaciones y herramientas que se encuentran en diferentes regiones podrían usar la conexión de red virtual a red virtual o el emparejamiento de circuitos ExpressRoute para establecer la conexión. El cliente debe usar grupos de seguridad de red (NSG) y, finalmente, firewalls internos, para restringir el acceso a través del puerto 1433 solo a los recursos que requieren acceso a una instancia administrada.",
|
||||
"guid": "18123ef4-a0a6-45e3-87fe-7f454f65d975",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Acceso privado",
|
||||
"text": "Aplicación de grupos de seguridad de red (NSG) y reglas de firewall para restringir el acceso a la subred interna de Azure SQL Managed Instance"
|
||||
|
|
@ -409,7 +409,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Azure Virtual Network Service Endpoint es la solución preferida si desea establecer una conexión directa con los nodos back-end de Base de datos SQL de Azure mediante la directiva Redirect. Esto permitirá el acceso en modo de alto rendimiento y es el enfoque recomendado desde una perspectiva de rendimiento.",
|
||||
"guid": "55187443-6852-4fbd-99c6-ce303597ca7f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acceso público",
|
||||
"text": "Si se usa la conectividad de acceso público, aproveche Service Endpoint para restringir el acceso desde redes virtuales de Azure seleccionadas"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "El firewall de Base de datos SQL de Azure permite especificar intervalos de direcciones IP desde los que se aceptan las comunicaciones. Este enfoque está bien para direcciones IP estables que están fuera de la red privada de Azure.",
|
||||
"guid": "a73e32da-b3f4-4960-b5ec-2f42a557bf31",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Acceso público",
|
||||
"text": "Si se usa conectividad de acceso público, asegúrese de que solo se agreguen IP conocidas específicas al firewall."
|
||||
|
|
@ -427,7 +427,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Se recomienda utilizar reglas de firewall IP de nivel de base de datos siempre que sea posible. Esta práctica mejora la seguridad y hace que su base de datos sea más portátil. Utilice reglas de firewall IP de nivel de servidor para los administradores. Utilícelos también cuando tenga muchas bases de datos que tengan los mismos requisitos de acceso y no desee configurar cada base de datos individualmente.",
|
||||
"guid": "e0f31ac9-35c8-4bfd-9865-edb60ffc6768",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/firewall-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/firewall-configure",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Acceso público",
|
||||
"text": "Si las reglas de firewall de Base de datos SQL de Azure usan y controlan la conectividad de acceso público, use reglas IP de nivel de base de datos sobre de nivel de servidor"
|
||||
|
|
@ -436,7 +436,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Una instancia administrada (SQL MI) se puede aislar dentro de una red virtual para evitar el acceso externo. El punto de enlace público de instancia administrada no está habilitado de forma predeterminada, debe habilitarse explícitamente, solo si es estrictamente necesario. Si la directiva de la empresa no permite el uso de puntos de conexión públicos, use Azure Policy para evitar la habilitación de puntos de conexión públicos en primer lugar.",
|
||||
"guid": "b8435656-143e-41a8-9922-61d34edb751a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acceso público",
|
||||
"text": "No habilitar el punto de conexión público de Azure SQL Managed Instance"
|
||||
|
|
@ -445,7 +445,7 @@
|
|||
"category": "Gestión de redes",
|
||||
"description": "Un extremo público de instancia administrada (SQL MI) no está habilitado de forma predeterminada, debe habilitarse explícitamente, solo si es estrictamente necesario. En este caso, se recomienda aplicar un grupo de seguridad de red (NSG) para restringir el acceso al puerto 3342 solo a las direcciones IP de origen de confianza.",
|
||||
"guid": "057dd298-8726-4aa6-b590-1f81d2e30421",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acceso público",
|
||||
"text": "Restringir el acceso si se requiere un punto de conexión público de Azure SQL Managed Instance"
|
||||
|
|
@ -454,7 +454,7 @@
|
|||
"category": "Acceso privilegiado",
|
||||
"description": "La mayoría de las operaciones, el soporte técnico y la solución de problemas realizados por el personal y los subprocesadores de Microsoft no requieren acceso a los datos del cliente. En las raras circunstancias en las que se requiere dicho acceso, Customer Lockbox for Microsoft Azure proporciona una interfaz para que los clientes revisen y aprueben o rechacen las solicitudes de acceso a los datos del cliente. En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, Base de datos SQL de Azure admite Customer Lockbox para proporcionar una interfaz para que pueda revisar y aprobar o rechazar las solicitudes de acceso a datos del cliente.",
|
||||
"guid": "37b6eb0f-553d-488f-8a8a-cb9bf97388ff",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"link": "https://learn.microsoft.com/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Caja",
|
||||
"text": "Revisión y habilitación del acceso de Microsoft a Customer Lockbox para Azure SQL Database"
|
||||
|
|
@ -463,7 +463,7 @@
|
|||
"category": "Acceso privilegiado",
|
||||
"description": "El principio de privilegios mínimos establece que los usuarios no deben tener más privilegios de los necesarios para completar sus tareas. Los usuarios de bases de datos y servidores con privilegios altos pueden realizar muchas actividades de configuración y mantenimiento en la base de datos y también pueden quitar bases de datos en la instancia de Azure SQL. El seguimiento de los propietarios de bases de datos y las cuentas privilegiadas es importante para evitar tener permisos excesivos.",
|
||||
"guid": "5fe5281f-f0f9-4842-a682-8baf18bd8316",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"severity": "Medio",
|
||||
"subcategory": "Permisos",
|
||||
"text": "Asegúrese de que a los usuarios se les asigne el nivel mínimo de acceso necesario para completar sus funciones de trabajo"
|
||||
|
|
@ -472,7 +472,7 @@
|
|||
"category": "Acceso privilegiado",
|
||||
"description": "El ámbito de las identidades (tanto Usuarios como SPN) debe tener la menor cantidad de acceso necesaria para realizar la función. Se debe usar un mayor número de SPN de ámbito estricto, en lugar de tener un SPN con varios conjuntos de permisos no relacionados. Por ejemplo, si hay tres aplicaciones web externas hospedadas localmente que realizan consultas a Base de datos SQL de Azure, no todas deben usar el mismo SPN para estas actividades. En su lugar, cada uno debe tener su propio SPN de alcance estricto.",
|
||||
"guid": "7b5b55e5-4750-4920-be97-eb726c256a5c",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"severity": "Bajo",
|
||||
"subcategory": "Permisos",
|
||||
"text": "Asegúrese de que a distintas aplicaciones se les asignarán credenciales diferentes con permisos mínimos para acceder a Base de datos SQL de Azure."
|
||||
|
|
|
|||
|
|
@ -40,7 +40,7 @@
|
|||
"category": "ティッカー",
|
||||
"description": "バックアップが攻撃から保護されていることを確認します。これには、機密性の損失から保護するためのバックアップの暗号化を含める必要があります。通常の Azure サービス バックアップの場合、バックアップ データは Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。カスタマー マネージド キーを使用してバックアップを暗号化することもできます。この場合は、キー コンテナー内のこのカスタマー マネージド キーもバックアップ スコープ内にあることを確認します。",
|
||||
"guid": "676f6951-0368-49e9-808d-c33a692c9a64",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"severity": "中程度",
|
||||
"subcategory": "Azure Key Vault",
|
||||
"text": "バックアップ データを暗号化で保護し、キーを Azure Key Vault に安全に格納する"
|
||||
|
|
@ -49,7 +49,7 @@
|
|||
"category": "ティッカー",
|
||||
"description": "Azure SQL Database では、SQL Server テクノロジを使用して、毎週完全バックアップ、12 時間から 24 時間ごとの差分バックアップ、5 分から 10 分ごとにトランザクション ログ バックアップを作成します。既定では、SQL Database は、ペアのリージョンにレプリケートされる geo 冗長ストレージ BLOB にデータを格納します。",
|
||||
"guid": "e2518261-b3bc-4bd1-b331-637fb2df833f",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"severity": "中程度",
|
||||
"subcategory": "バックアップ",
|
||||
"text": "Azure SQL データベースの自動バックアップを構成する"
|
||||
|
|
@ -58,7 +58,7 @@
|
|||
"category": "ティッカー",
|
||||
"description": "既定では、SQL Database は、ペアのリージョンにレプリケートされる geo 冗長ストレージ BLOB にデータを格納します。SQL Database の場合、バックアップ ストレージの冗長性は、データベースの作成時に構成することも、既存のデータベース用に更新することもできます。既存のデータベースに加えられた変更は、今後のバックアップにのみ適用されます。",
|
||||
"guid": "f8c7cda2-3ed7-43fb-a100-85dcd12a0ee4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"severity": "低い",
|
||||
"subcategory": "バックアップ",
|
||||
"text": "geo 冗長バックアップ ストレージを有効にして、単一リージョンの障害やデータ損失から保護"
|
||||
|
|
@ -67,7 +67,7 @@
|
|||
"category": "コード",
|
||||
"description": "悪意のあるコードは、セキュリティ制御を回避する可能性があります。カスタム コードを運用環境にデプロイする前に、デプロイされている内容を確認することが不可欠です。ソース管理をサポートする Azure Data Studio などのデータベース ツールを使用します。コード分析、脆弱性、および資格情報のスキャンのためのツールとロジックを実装します。",
|
||||
"guid": "7ca9f006-d2a9-4652-951c-de8e4ac5e76e",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "中程度",
|
||||
"subcategory": "ソース管理とコード レビュー",
|
||||
"text": "ソース管理システムを使用して、Azure SQLDB データベース内にデプロイされたアプリケーション コードを格納、保守、およびレビューする"
|
||||
|
|
@ -76,7 +76,7 @@
|
|||
"category": "データの検出と分類",
|
||||
"description": "分類要件の場合は、Purview が推奨されるオプションです。SQL Data Discovery & Classification は、Purview がオプションではない場合にのみ使用してください。機密データが含まれている可能性のある列を検出します。機密データと見なされるものは、顧客、コンプライアンス規制などに大きく依存し、そのデータを担当するユーザーが評価する必要があります。高度な秘密度ベースの監査と保護のシナリオを使用するように列を分類します。自動検出の結果を確認し、必要に応じて分類を確定します。",
|
||||
"guid": "d401509b-2629-4484-9a7f-af0d29a7778f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"severity": "低い",
|
||||
"subcategory": "データの検出と分類",
|
||||
"text": "機密データを保護するためのデータ検出と分類の計画と構成"
|
||||
|
|
@ -85,7 +85,7 @@
|
|||
"category": "データマスキング",
|
||||
"description": "この機能の使用は、列の暗号化がオプションではなく、データ型と形式を保持するための特定の要件がある場合にのみ推奨されます。動的データ マスクは、特権のないユーザーに機密データをマスクすることで、機密データの露出を制限します。動的データ マスクは、アプリケーション レイヤーへの影響を最小限に抑えながら、公開する機密データの量を指定することで、機密データへの不正アクセスを防ぐのに役立ちます。",
|
||||
"guid": "9391fd50-135e-453e-90a7-c1a23f88cc13",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"severity": "低い",
|
||||
"subcategory": "データマスキング",
|
||||
"text": "データマスキングを使用して、暗号化が不可能な場合に管理者以外の不正なユーザーのデータアクセスを防止します"
|
||||
|
|
@ -94,7 +94,7 @@
|
|||
"category": "ディフェンダー",
|
||||
"description": "SQL 高度な脅威検出 (ATP) は、SQL インジェクション攻撃や異常な動作パターンなど、データベース内の潜在的な脆弱性や異常なアクティビティを検出するセキュリティ レイヤーを提供します。潜在的な脅威が検出されると、脅威検出は、電子メールと Microsoft Defender for Cloud で、特定の脅威に対する明確な調査と修復の手順を含む、実用的なリアルタイム アラートを送信します。",
|
||||
"guid": "4e52d73f-5d37-428f-b3a2-e6997e835979",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "高い",
|
||||
"subcategory": "高度な脅威対策",
|
||||
"text": "高度な脅威対策 (ATP) の構成を確認して完了する"
|
||||
|
|
@ -103,7 +103,7 @@
|
|||
"category": "ディフェンダー",
|
||||
"description": "サブスクリプション レベルで Microsoft Defender for Azure SQL を有効にして、既存および将来のすべてのサーバーとデータベースを自動的にオンボードして保護します。サブスクリプション レベルで有効にすると、Azure SQL データベースと Azure SQL マネージド インスタンス内のすべてのデータベースが保護されます。その後、必要に応じて個別に無効にすることができます。保護するデータベースを手動で管理する場合は、サブスクリプション レベルで無効にし、保護する各データベースを有効にします。",
|
||||
"guid": "dff87489-9edb-4cef-bdda-86e8212b2aa1",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"severity": "高い",
|
||||
"subcategory": "Defender for Azure SQL",
|
||||
"text": "Enable Microsoft Defender for Azure SQL"
|
||||
|
|
@ -112,7 +112,7 @@
|
|||
"category": "ディフェンダー",
|
||||
"description": "Microsoft Defender for Azure SQL ATP は、データベースにアクセスまたは悪用しようとする異常で潜在的に有害な試みを示す異常なアクティビティを検出します。アラートは構成および生成でき、コンソールの Defender で報告されます。",
|
||||
"guid": "ca342fdf-d25a-4427-b105-fcd50ff8a0ea",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "高い",
|
||||
"subcategory": "Defender for Azure SQL",
|
||||
"text": "Microsoft Defender for Azure SQL アラートに迅速に対応するためのセキュリティ対応計画を準備する"
|
||||
|
|
@ -121,7 +121,7 @@
|
|||
"category": "ディフェンダー",
|
||||
"description": "Azure SQLDB の脆弱性評価は、セキュリティ状態を可視化するサービスです。脆弱性評価には、セキュリティの問題を解決し、データベースのセキュリティを強化するための実用的な手順が含まれます。これは、変更の追跡が困難な動的データベース環境を監視し、SQL セキュリティ体制を改善するのに役立ちます。",
|
||||
"guid": "a6101ae7-534c-45ab-86fd-b34c55ea21ca",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"severity": "高い",
|
||||
"subcategory": "脆弱性診断",
|
||||
"text": "脆弱性評価 (VA) の結果を構成し、推奨事項を確認する"
|
||||
|
|
@ -130,7 +130,7 @@
|
|||
"category": "ディフェンダー",
|
||||
"description": "Microsoft Defender for Cloud は、Azure SQL Database の脆弱性評価を提供します。脆弱性評価は、データベースでソフトウェアの脆弱性をスキャンし、結果のリストを提供します。検出結果を使用して、ソフトウェアの脆弱性を修正し、検出結果を無効にすることができます。",
|
||||
"guid": "c8c5f112-1e50-4f77-9264-8195b4cd61ac",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"severity": "高い",
|
||||
"subcategory": "脆弱性診断",
|
||||
"text": "脆弱性評価 (VA) の調査結果と推奨事項を定期的に確認し、修正計画を準備する"
|
||||
|
|
@ -139,7 +139,7 @@
|
|||
"category": "暗号化",
|
||||
"description": "セキュリティで保護されたエンクレーブを使用した Always Encrypted は、インプレース暗号化とより豊富な機密クエリを有効にすることで、Always Encrypted の機密コンピューティング機能を拡張します。Always Encrypted with Secure Enclaves は、サーバー側のセキュリティで保護されたエンクレーブ内のプレーンテキスト データに対する計算を許可することで、これらの制限に対処します。この機能の使用は、管理者アクセスを制限する必要があり、暗号化された列の等価一致以上のものをクエリでサポートする必要がある場合に推奨されます。",
|
||||
"guid": "65d7e54a-10a6-4094-b673-9ff3809c9277",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"severity": "中程度",
|
||||
"subcategory": "常に暗号化",
|
||||
"text": "管理者ユーザーから機密性の高い PII データを保護することが重要な要件であるが、列暗号化の制限が許容できない場合は、セキュリティで保護されたエンクレーブで常に暗号化される"
|
||||
|
|
@ -148,7 +148,7 @@
|
|||
"category": "暗号化",
|
||||
"description": "Azure SQL データベースでは、Transact-SQL を使用してデータの列に対称暗号化を適用できます。この方法は、異なる暗号化キーを使用して特定の列を暗号化できるため、列の暗号化と呼ばれます。これにより、ページ内のデータを暗号化する TDE よりも詳細な暗号化機能が提供されます。Always Encrypted を使用して、メモリ内または使用中であっても、機密データが Azure SQL Database または SQL マネージド インスタンスでプレーンテキストで公開されないようにします。Always Encrypted は、データベース管理者 (DBA) やクラウド管理者 (または、高い特権を持つが承認されていないユーザーを偽装できる悪意のある人物) からデータを保護し、データにアクセスできるユーザーをより詳細に制御できるようにします。",
|
||||
"guid": "c03ce136-e3d5-4e17-bf25-ed955ee480d3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"severity": "低い",
|
||||
"subcategory": "列の暗号化",
|
||||
"text": "特定のテーブル列の管理者以外のユーザーから機密性の高い PII データを保護するには、列の暗号化の使用を検討してください。"
|
||||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "暗号化",
|
||||
"description": "既定で有効になっている透過的なデータ暗号化 (TDE) は、アプリケーションを変更することなく、データベース、関連するバックアップ、およびトランザクション ログ ファイルのリアルタイムの暗号化と暗号化解除を \"保存中\" で実行することで、データベース ファイルを情報漏えいから保護するのに役立ちます。",
|
||||
"guid": "c614ac47-bebf-4061-b0a1-43e0c6b5e00d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "高い",
|
||||
"subcategory": "透過的なデータ暗号化",
|
||||
"text": "透過的なデータ暗号化 (TDE) が有効になっていることを確認する"
|
||||
|
|
@ -166,7 +166,7 @@
|
|||
"category": "暗号化",
|
||||
"description": "組織内のキーとデータの管理における職務の分離が必要な場合は、Azure SQLDB の透過的なデータ暗号化 (TDE) にカスタマー マネージド キー (CMK) を活用し、Azure Key Vault を使用して格納します (チェックリストを参照)。この機能は、マネージド サービス キーでは満たすことができない厳格なセキュリティ要件がある場合に活用してください。",
|
||||
"guid": "2edb4165-4f54-47cc-a891-5c82c2f21e25",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "透過的なデータ暗号化",
|
||||
"text": "Azure Key Vault (AKV) でカスタマー マネージド キー (CMK) を使用する (TDE 保護の透明性を高め、きめ細かく制御する必要がある場合)"
|
||||
|
|
@ -175,7 +175,7 @@
|
|||
"category": "暗号化",
|
||||
"description": "トランスポート層セキュリティ (TLS) の最小バージョン設定を使用すると、お客様は SQL データベースで使用する TLS のバージョンを選択できます。TLS の最小バージョンは、Azure portal、Azure PowerShell、および Azure CLI を使用して変更できます。",
|
||||
"guid": "7754b605-57fd-4bcb-8213-52c39d8e8225",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"severity": "高い",
|
||||
"subcategory": "トランスポート層セキュリティ",
|
||||
"text": "TLS の最小バージョンを利用可能な最新のバージョンに適用する"
|
||||
|
|
@ -184,7 +184,7 @@
|
|||
"category": "同一性",
|
||||
"description": "一元化された ID 管理のために Azure Active Directory (Azure AD) 認証を使用します。SQL 認証は、本当に必要な場合にのみ使用し、例外として文書化します。",
|
||||
"guid": "c9b8b6bf-2c6b-453d-b400-de9a43a549d7",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Azure SQL データベースへの接続に Azure AD 認証を活用する"
|
||||
|
|
@ -193,7 +193,7 @@
|
|||
"category": "同一性",
|
||||
"description": "Azure AD グループを使用すると、アクセス許可の管理が簡素化され、グループ所有者とリソース所有者の両方がグループにメンバーを追加したり、グループからメンバーを削除したりできます。論理サーバーごとに Azure AD 管理者用の個別のグループを作成します。Azure AD 監査アクティビティ レポートを使用して、Azure AD グループ メンバーシップの変更を監視します。",
|
||||
"guid": "29820254-1d14-4778-ae90-ff4aeba504a3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"severity": "中程度",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Azure SQL データベース論理サーバーごとに 2 つの管理者アカウントを持つ個別の Azure AD グループを作成する"
|
||||
|
|
@ -202,7 +202,7 @@
|
|||
"category": "同一性",
|
||||
"description": "Azure サービスおよびアプリケーションから Azure SQLDB データベースへの通信に、最小限のアクセス許可が割り当てられた、機能専用の個別のシステムおよびユーザー割り当てマネージド ID が使用されていることを確認します。",
|
||||
"guid": "df3a09ee-03bb-4198-8637-d141acf5f289",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"severity": "中程度",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "アプリケーションでのパスワードベースの認証の使用を最小限に抑える"
|
||||
|
|
@ -211,7 +211,7 @@
|
|||
"category": "同一性",
|
||||
"description": "システムまたはユーザー割り当てマネージド ID を使用すると、Azure SQLDB は、資格情報をコードに格納することなく、他のクラウド サービス (Azure Key Vault など) に対する認証を行うことができます。有効にすると、必要なすべてのアクセス許可を、Azure ロールベースのアクセス制御を介して特定の Azure SQLDB インスタンスに付与できます。厳密に必要でない場合は、複数のサービス間でユーザー割り当てマネージド ID を共有しないでください。",
|
||||
"guid": "69891194-5074-4e30-8f69-4efc3c580900",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"severity": "低い",
|
||||
"subcategory": "マネージド ID",
|
||||
"text": "Azure SQL データベースに送信リソース アクセス用のマネージド ID を割り当てる"
|
||||
|
|
@ -220,7 +220,7 @@
|
|||
"category": "同一性",
|
||||
"description": "パスワードの使用を排除する Azure AD 統合認証を使用します。パスワードベースの認証方法は、認証の弱い形式です。資格情報が侵害されたり、誤って譲渡されたりする可能性があります。Windows 資格情報を使用したシングル サインオン認証を使用します。オンプレミスの AD ドメインを Azure AD とフェデレーションし、統合 Windows 認証を使用します (Azure AD を持つドメインに参加しているマシンの場合)。",
|
||||
"guid": "88287d4a-8bb8-4640-ad78-03f51354d003",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"severity": "中程度",
|
||||
"subcategory": "パスワード",
|
||||
"text": "ユーザーのパスワードベースの認証の使用を最小限に抑える"
|
||||
|
|
@ -229,7 +229,7 @@
|
|||
"category": "台帳",
|
||||
"description": "データベース台帳内の最新のブロックのハッシュは、データベースダイジェストと呼ばれます。これは、ブロックが生成された時点でのデータベース内のすべての台帳テーブルの状態を表します。データベース ダイジェストの生成は、最近追加されたブロックのハッシュのみを計算する必要があるため、効率的です。Azure 社外秘台帳はサポートされているストアの 1 つであり、データベース ダイジェストの自動生成と格納をサポートして使用できます。Azure Ledger には、ブロックチェーン元帳証明や機密ハードウェア エンクレーブなどの高度なセキュリティ機能が用意されています。高度なセキュリティ機能が必要な場合にのみ使用し、それ以外の場合は Azure ストレージに戻します。",
|
||||
"guid": "0e853380-50ba-4bce-b2fd-5c7391c85ecc",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"severity": "中程度",
|
||||
"subcategory": "データベースダイジェスト",
|
||||
"text": "Azure 機密元帳を使用してデータベース ダイジェストを格納するのは、高度なセキュリティ機能が必要な場合のみにしてください。"
|
||||
|
|
@ -238,7 +238,7 @@
|
|||
"category": "台帳",
|
||||
"description": "データベース台帳内の最新のブロックのハッシュは、データベースダイジェストと呼ばれます。これは、ブロックが生成された時点でのデータベース内のすべての台帳テーブルの状態を表します。データベース ダイジェストの生成は、最近追加されたブロックのハッシュのみを計算する必要があるため、効率的です。不変ストレージを使用した Azure BLOB ストレージ機能は使用でき、データベース ダイジェストの自動生成とストレージをサポートします。ダイジェストファイルの改ざんを防ぐには、コンテナーのアイテム保持ポリシーを構成してロックします。",
|
||||
"guid": "afefb2d3-95da-4ac9-acf5-33d18b32ef9a",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"severity": "中程度",
|
||||
"subcategory": "データベースダイジェスト",
|
||||
"text": "Azure ストレージ アカウントを使用してデータベース ダイジェストを格納する場合は、セキュリティが適切に構成されていることを確認する"
|
||||
|
|
@ -247,7 +247,7 @@
|
|||
"category": "台帳",
|
||||
"description": "Ledgerは、前方整合性と呼ばれるデータ整合性の形式を提供し、台帳テーブル内のデータのデータ改ざんの証拠を提供します。データベース検証プロセスは、以前に生成された 1 つ以上のデータベース ダイジェストを入力として受け取ります。次に、台帳テーブルの現在の状態に基づいて、データベース台帳に格納されているハッシュを再計算します。計算されたハッシュが入力ダイジェストと一致しない場合、検証は失敗します。このエラーは、データが改ざんされたことを示します。検証プロセスでは、検出されたすべての不整合が報告されます。",
|
||||
"guid": "f8d4ffda-8aac-4cc6-b72b-c81cb8625420",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"severity": "中程度",
|
||||
"subcategory": "整合性",
|
||||
"text": "Ledgerの検証プロセスを定期的にスケジュールして、データの整合性を検証します"
|
||||
|
|
@ -256,7 +256,7 @@
|
|||
"category": "台帳",
|
||||
"description": "台帳機能は、データベースに改ざん証拠機能を提供します。監査人や他のビジネス関係者など、データが改ざんされていないことを他の関係者に暗号で証明できます。Ledgerは、データベース管理者(DBA)、システム管理者、クラウド管理者など、攻撃者や高い権限を持つユーザーからデータを保護するのに役立ちます。",
|
||||
"guid": "2563f498-e2d3-42ea-9e7b-5517881a06a2",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "台帳",
|
||||
"text": "データ整合性の暗号化証明が重要な要件である場合は、Ledger機能を検討する必要があります"
|
||||
|
|
@ -265,7 +265,7 @@
|
|||
"category": "台帳",
|
||||
"description": "改ざんの種類によっては、データを失うことなく台帳を修復できる場合があります。「詳細情報」列に含まれる記事では、さまざまなシナリオと回復手法について説明します。",
|
||||
"guid": "804fc554-6554-4842-91c1-713b32f99902",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"severity": "中程度",
|
||||
"subcategory": "回復",
|
||||
"text": "改ざんイベント後にデータベースを調査および修復するための対応計画を準備する"
|
||||
|
|
@ -274,7 +274,7 @@
|
|||
"category": "伐採",
|
||||
"description": "Azure SQL データベース監査は、データベース イベントを追跡し、Azure ストレージ アカウントの監査ログに書き込みます。監査は、データベースアクティビティを理解し、ビジネス上の懸念やセキュリティ違反の疑いを示す可能性のある不一致や異常に関する洞察を得るのに役立ち、規制コンプライアンスを満たすのに役立ちます。既定では、監査ポリシーにはデータベースに対するすべてのアクション (クエリ、ストアド プロシージャ、成功および失敗したログイン) が含まれているため、大量の監査ログが発生する可能性があります。PowerShell を使用して、さまざまな種類のアクションとアクション グループの監査を構成することをお勧めします。",
|
||||
"guid": "4082e31d-35f4-4a49-8507-d3172cc930a6",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "聴講",
|
||||
"text": "Azure SQL データベース監査がサーバー レベルで有効になっていることを確認する"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "伐採",
|
||||
"description": "Azure SQL データベース監査ログは、外部ストレージ アカウント、Log Analytics ワークスペース、またはイベント ハブに書き込むことができます。ターゲットリポジトリは、バックアップと安全な設定を使用して保護してください。Azure SQL データベース マネージド ID を使用してストレージにアクセスし、明示的な保有期間を設定します。監査ログリポジトリへのアクセス許可を管理者に付与しないでください。別のターゲット ストレージを使用する -- Microsoft サポート操作の監査を有効にします--.",
|
||||
"guid": "9b64bc50-b60f-4035-bf7a-28c4806dfb46",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "低い",
|
||||
"subcategory": "聴講",
|
||||
"text": "Azure SQL データベース監査ログがバックアップされ、選択したリポジトリの種類でセキュリティで保護されていることを確認する"
|
||||
|
|
@ -292,7 +292,7 @@
|
|||
"category": "伐採",
|
||||
"description": "Azure Monitor アクティビティ ログは、サブスクリプション レベルのイベントに関する分析情報を提供する Azure のプラットフォーム ログです。アクティビティ ログには、リソースがいつ変更されたかなどの情報が含まれます。このアクティビティ ログは、Azure SQL データベース監査ログと同じ外部ストレージ リポジトリ (ストレージ アカウント、Log Analytics ワークスペース、イベント ハブ) に送信することをお勧めします。",
|
||||
"guid": "fcd34708-87ac-4efc-aaf6-57a47f76644a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "中程度",
|
||||
"subcategory": "聴講",
|
||||
"text": "Azure SQL データベース アクティビティ ログが収集され、監査ログと統合されていることを確認する"
|
||||
|
|
@ -301,7 +301,7 @@
|
|||
"category": "伐採",
|
||||
"description": "Azure SQL からセキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーションの自動化と応答 (SOAR) にログを転送します。さまざまな種類の Azure 資産を監視して、潜在的な脅威や異常がないことを確認します。アナリストが分類する誤検知を減らすために、高品質のアラートの取得に重点を置きます。アラートは、ログデータ、エージェント、またはその他のデータから取得できます。",
|
||||
"guid": "f96e127e-9572-453a-b325-ff89ae9f6b44",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "シェム/ソア",
|
||||
"text": "Azure SQL Database 監査ログが組織の SIEM/SOAR に提示されていることを確認する"
|
||||
|
|
@ -310,7 +310,7 @@
|
|||
"category": "伐採",
|
||||
"description": "Azure SQL からのログを、カスタム脅威検出の設定に使用できるセキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーションの自動化と対応 (SOAR) に転送します。さまざまな種類の Azure 資産を監視して、潜在的な脅威や異常がないことを確認します。アナリストが分類する誤検知を減らすために、高品質のアラートの取得に重点を置きます。アラートは、ログデータ、エージェント、またはその他のデータから取得できます。",
|
||||
"guid": "41503bf8-73da-4a10-af9f-5f7fceb5456f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "中程度",
|
||||
"subcategory": "シェム/ソア",
|
||||
"text": "Azure SQL データベース アクティビティ ログ データが SIEM/SOAR に表示されていることを確認する"
|
||||
|
|
@ -319,7 +319,7 @@
|
|||
"category": "伐採",
|
||||
"description": "セキュリティ オペレーション センター (SOC) チームは、インシデント対応計画 (プレイブックまたは手動対応) を作成して、改ざん、悪意のあるアクティビティ、およびその他の異常な動作を調査して軽減する必要があります。",
|
||||
"guid": "19ec7c97-c563-4e1d-82f0-54d6ec12e754",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "中程度",
|
||||
"subcategory": "シェム/ソア",
|
||||
"text": "悪意のある監査ログイベントまたは異常な監査ログ イベントに対する対応計画があることを確認する"
|
||||
|
|
@ -328,7 +328,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "Azure SQL データベース用の Azure portal から論理サーバーを作成すると、パブリック ネットワーク経由で表示および到達可能なパブリック エンドポイント (パブリック アクセス) が作成されます。その後、ファイアウォール規則とサービス エンドポイントに基づいて接続を制限できます。プライベート エンドポイント (プライベート アクセス) を使用して、内部ネットワークへの接続を制限するプライベート接続のみを構成することもできます。プライベート エンドポイントを使用したプライベート アクセスは、それをサポートできないビジネス ケースまたはパフォーマンス/技術的な理由が適用されない限り、既定にする必要があります。プライベート エンドポイントの使用には、考慮および評価する必要があるパフォーマンスへの影響があります。",
|
||||
"guid": "2c6d356a-1784-475b-a42c-ec187dc8c925",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "高い",
|
||||
"subcategory": "接続",
|
||||
"text": "パブリック アクセスとプライベート アクセスの接続方法を確認し、ワークロードに適した接続方法を選択する"
|
||||
|
|
@ -337,7 +337,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "重要: プライベート エンドポイントへの接続では、接続ポリシーとしてプロキシのみがサポートされます。プライベート エンドポイントを使用する場合、接続は Azure SQL Database ゲートウェイ経由でデータベース ノードにプロキシされます。クライアントは直接接続されません。",
|
||||
"guid": "557b3ce5-bada-4296-8d52-a2d447bc1718",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-architecture",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-architecture",
|
||||
"severity": "低い",
|
||||
"subcategory": "接続",
|
||||
"text": "既定の Azure SQL データベース接続ポリシーを保持する (特に必要でなく、正当化されない場合)"
|
||||
|
|
@ -346,7 +346,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "このオプションは、他の顧客のサブスクリプションからの接続を含め、Azure からのすべての接続を許可するようにファイアウォールを構成します。このオプションを選択する場合は、ログイン権限とユーザー権限で、アクセスを許可されたユーザーのみに制限してください。厳密には必須でない場合は、この設定を OFF のままにします。",
|
||||
"guid": "f48efacf-4405-4e8d-9dd0-16c5302ed082",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "高い",
|
||||
"subcategory": "接続",
|
||||
"text": "Azure サービスとリソースにこのサーバーへのアクセスを許可する設定が Azure SQL データベース ファイアウォールで無効になっていることを確認する"
|
||||
|
|
@ -355,7 +355,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "Azure SQL データベースには、外部 REST エンドポイントとのネイティブ統合を可能にする新しい組み込み機能があります。これは、Azure SQL Database と Azure Functions、Azure Logic Apps、Cognitive Services、Event Hubs、Event Grid、Azure Containers、API Management、そして一般的には任意の REST または GraphQL エンドポイントとの統合を意味します。適切に制限されていない場合、Azure SQL データベース データベース内のコードは、このメカニズムを利用してデータを盗み出す可能性があります。厳密に必要でない場合は、送信ファイアウォール規則を使用してこの機能をブロックまたは制限することをお勧めします。",
|
||||
"guid": "cb3274a7-e36d-46f6-8de5-46d30c8dde8e",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"severity": "中程度",
|
||||
"subcategory": "アウトバウンド制御",
|
||||
"text": "外部エンドポイントへの送信 REST API 呼び出しをブロックまたは制限する"
|
||||
|
|
@ -364,7 +364,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "送信ファイアウォール規則は、Azure SQL データベース論理サーバーからのネットワーク トラフィックを、Azure ストレージ アカウントと Azure SQL データベース論理サーバーの顧客定義の一覧に制限します。この一覧にないストレージ アカウントまたはデータベースにアクセスしようとすると、拒否されます。",
|
||||
"guid": "a566dd3d-314e-4a94-9378-102c42d82b38",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "アウトバウンド制御",
|
||||
"text": "送信ネットワーク アクセスが必要な場合は、組み込みの Azure SQL Database コントロール機能を使用して送信ネットワークの制限を構成することをお勧めします。"
|
||||
|
|
@ -373,7 +373,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "プライベート エンドポイントは、Azure 仮想ネットワーク内のサブネット内に作成されます。適切なセキュリティ構成は、NSG/ASG、UDR、ファイアウォール、監視、監査など、包含ネットワーク環境にも適用する必要があります。",
|
||||
"guid": "246cd832-f550-4af0-9c74-ca9baeeb8860",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "中程度",
|
||||
"subcategory": "プライベートアクセス",
|
||||
"text": "プライベート アクセス接続を使用する場合は、プライベート エンドポイント、Azure 仮想ネットワーク、Azure ファイアウォール、および Azure ネットワーク セキュリティ グループのチェックリストを使用していることを確認します。"
|
||||
|
|
@ -382,7 +382,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "プライベート エンドポイント接続を追加する場合、論理サーバーへのパブリック ルーティングは既定ではブロックされません。[-- ファイアウォールと仮想ネットワーク] ウィンドウでは、[パブリック ネットワーク アクセスを拒否する] 設定が既定では選択されていません。パブリックネットワークアクセスを無効にするには、必ず --パブリックネットワークアクセスを拒否する を選択します--.",
|
||||
"guid": "3a0808ee-ea7a-47ab-bdce-920a6a2b3881",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "高い",
|
||||
"subcategory": "プライベートアクセス",
|
||||
"text": "プライベート エンドポイント (プライベート アクセス) を使用する場合は、パブリック アクセス接続を無効にすることを検討してください。"
|
||||
|
|
@ -391,7 +391,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "ネットワーク セキュリティ グループ (NSG) とアプリケーション セキュリティ グループ (ASG) をプライベート エンドポイントを含むサブネットに適用して、内部ソース IP 範囲に基づいて Azure SQLDB への接続を制限できるようになりました。",
|
||||
"guid": "8600527e-e8c4-4424-90ef-1f0dca0224f2",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"link": "https://learn.microsoft.com/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"severity": "中程度",
|
||||
"subcategory": "プライベートアクセス",
|
||||
"text": "プライベート エンドポイント (プライベート アクセス) を使用する場合は、NSG を適用し、最終的には ASG を適用して、受信ソース IP アドレス範囲を制限します。"
|
||||
|
|
@ -400,7 +400,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "マネージド インスタンス (SQL MI) を仮想ネットワーク内に分離して、外部アクセスを防ぐことができます。同じリージョン内の同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内にあるアプリケーションとツールは、直接アクセスできます。異なるリージョンにあるアプリケーションとツールは、仮想ネットワーク間接続または ExpressRoute 回線ピアリングを使用して接続を確立できます。お客様は、ネットワーク セキュリティ グループ (NSG) と最終的には内部ファイアウォールを使用して、ポート 1433 経由のアクセスをマネージド インスタンスへのアクセスを必要とするリソースのみに制限する必要があります。",
|
||||
"guid": "18123ef4-a0a6-45e3-87fe-7f454f65d975",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "プライベートアクセス",
|
||||
"text": "ネットワーク セキュリティ グループ (NSG) とファイアウォール規則を適用して、Azure SQL マネージド インスタンスの内部サブネットへのアクセスを制限する"
|
||||
|
|
@ -409,7 +409,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "Azure 仮想ネットワーク サービス エンドポイントは、リダイレクト ポリシーを使用して Azure SQL Database バックエンド ノードへの直接接続を確立する場合に推奨されるソリューションです。これにより、高パフォーマンス モードでのアクセスが可能になり、パフォーマンスの観点から推奨されるアプローチです。",
|
||||
"guid": "55187443-6852-4fbd-99c6-ce303597ca7f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"severity": "高い",
|
||||
"subcategory": "パブリックアクセス",
|
||||
"text": "パブリック アクセス接続が使用されている場合は、サービス エンドポイントを利用して、選択した Azure 仮想ネットワークからのアクセスを制限します。"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "Azure SQL データベース ファイアウォールでは、通信を受け入れる IP アドレス範囲を指定できます。この方法は、Azure プライベート ネットワークの外部にある安定した IP アドレスに適しています。",
|
||||
"guid": "a73e32da-b3f4-4960-b5ec-2f42a557bf31",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "中程度",
|
||||
"subcategory": "パブリックアクセス",
|
||||
"text": "パブリック アクセス接続を使用する場合は、特定の既知の IP のみがファイアウォールに追加されていることを確認します。"
|
||||
|
|
@ -427,7 +427,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "可能な限り、データベース レベルの IP ファイアウォール規則を使用することをお勧めします。これにより、セキュリティが強化され、データベースの移植性が向上します。管理者にはサーバー レベルの IP ファイアウォール規則を使用します。また、同じアクセス要件を持つデータベースが多数あり、各データベースを個別に構成したくない場合にも使用します。",
|
||||
"guid": "e0f31ac9-35c8-4bfd-9865-edb60ffc6768",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/firewall-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/firewall-configure",
|
||||
"severity": "低い",
|
||||
"subcategory": "パブリックアクセス",
|
||||
"text": "パブリック アクセス接続が Azure SQL Database のファイアウォール規則によって使用および制御されている場合は、サーバー レベルの IP 規則よりもデータベース レベルの IP 規則を使用します。"
|
||||
|
|
@ -436,7 +436,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "マネージド インスタンス (SQL MI) を仮想ネットワーク内に分離して、外部アクセスを防ぐことができます。マネージド インスタンスのパブリック エンドポイントは既定では有効になっていないため、厳密に必要な場合にのみ明示的に有効にする必要があります。会社のポリシーでパブリック エンドポイントの使用が許可されていない場合は、Azure Policy を使用して、最初にパブリック エンドポイントを有効にしないようにします。",
|
||||
"guid": "b8435656-143e-41a8-9922-61d34edb751a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "高い",
|
||||
"subcategory": "パブリックアクセス",
|
||||
"text": "Azure SQL マネージド インスタンスのパブリック エンドポイントを有効にしない"
|
||||
|
|
@ -445,7 +445,7 @@
|
|||
"category": "ネットワーキング",
|
||||
"description": "マネージド インスタンス (SQL MI) パブリック エンドポイントは既定では有効にならず、厳密に必要な場合にのみ明示的に有効にする必要があります。この場合、ネットワーク セキュリティ グループ (NSG) を適用して、ポート 3342 へのアクセスを信頼できるソース IP アドレスのみに制限することをお勧めします。",
|
||||
"guid": "057dd298-8726-4aa6-b590-1f81d2e30421",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "高い",
|
||||
"subcategory": "パブリックアクセス",
|
||||
"text": "Azure SQL マネージド インスタンスのパブリック エンドポイントが必要な場合にアクセスを制限する"
|
||||
|
|
@ -454,7 +454,7 @@
|
|||
"category": "特権アクセス",
|
||||
"description": "Microsoft の担当者と副処理者が実行するほとんどの操作、サポート、およびトラブルシューティングでは、顧客データにアクセスする必要はありません。このようなアクセスが必要なまれな状況では、Microsoft Azure のカスタマー ロックボックスは、顧客が顧客データ アクセス要求を確認して承認または拒否するためのインターフェイスを提供します。 Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、Azure SQL Database はカスタマー ロックボックスをサポートし、顧客データ アクセス要求を確認して承認または拒否するためのインターフェイスを提供します。",
|
||||
"guid": "37b6eb0f-553d-488f-8a8a-cb9bf97388ff",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"link": "https://learn.microsoft.com/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"severity": "低い",
|
||||
"subcategory": "貸金庫",
|
||||
"text": "マイクロソフトの担当者による Azure SQL データベース アクセスのカスタマー ロックボックスを確認して有効にする"
|
||||
|
|
@ -463,7 +463,7 @@
|
|||
"category": "特権アクセス",
|
||||
"description": "最小特権の原則では、ユーザーはタスクを完了するために必要な以上の特権を持つべきではないと規定されています。高い特権を持つデータベースとサーバー ユーザーは、データベースに対して多くの構成およびメンテナンス アクティビティを実行でき、Azure SQL インスタンス内のデータベースを削除することもできます。データベース所有者と特権アカウントを追跡することは、過剰なアクセス許可を持たないようにするために重要です。",
|
||||
"guid": "5fe5281f-f0f9-4842-a682-8baf18bd8316",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"severity": "中程度",
|
||||
"subcategory": "権限",
|
||||
"text": "ユーザーには、職務を完了するために最低限のアクセスレベルが割り当てられていることを確認します。"
|
||||
|
|
@ -472,7 +472,7 @@
|
|||
"category": "特権アクセス",
|
||||
"description": "ID (ユーザーと SPN の両方) は、機能を実行するために必要な最小限のアクセス量にスコープを設定する必要があります。 関連性のないアクセス許可の複数のセットを持つ 1 つの SPN を持つのではなく、スコープが狭い SPN の数を増やす必要があります。たとえば、オンプレミスでホストされている 3 つの外部 Web アプリケーションが Azure SQL Database に対してクエリを実行する場合、すべてのアプリケーションがこれらのアクティビティに同じ SPN を使用するべきではありません。 代わりに、それぞれに独自の厳密なスコープの SPN が必要です。",
|
||||
"guid": "7b5b55e5-4750-4920-be97-eb726c256a5c",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"severity": "低い",
|
||||
"subcategory": "権限",
|
||||
"text": "個別のアプリケーションには、Azure SQL データベースにアクセスするための最小限のアクセス許可を持つ異なる資格情報が割り当てられるようにする"
|
||||
|
|
|
|||
|
|
@ -40,7 +40,7 @@
|
|||
"category": "증권 시세 표시기",
|
||||
"description": "백업이 공격으로부터 보호되는지 확인합니다. 여기에는 기밀성 손실을 방지하기 위한 백업 암호화가 포함되어야 합니다. 정기적인 Azure 서비스 백업의 경우 백업 데이터는 Azure 플랫폼 관리형 키를 사용하여 자동으로 암호화됩니다. 고객 관리형 키를 사용하여 백업을 암호화하도록 선택할 수도 있습니다. 이 경우 키 자격 증명 모음의 이 고객 관리형 키도 백업 범위에 있는지 확인합니다.",
|
||||
"guid": "676f6951-0368-49e9-808d-c33a692c9a64",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"severity": "보통",
|
||||
"subcategory": "Azure Key Vault",
|
||||
"text": "암호화를 사용하여 백업 데이터를 보호하고 Azure 키 자격 증명 모음에 안전하게 키를 저장합니다."
|
||||
|
|
@ -49,7 +49,7 @@
|
|||
"category": "증권 시세 표시기",
|
||||
"description": "Azure SQL 데이터베이스는 SQL Server 기술을 사용하여 매주 전체 백업, 12-24시간마다 차등 백업 및 5-10분마다 트랜잭션 로그 백업을 만듭니다. 기본적으로 SQL 데이터베이스는 쌍을 이루는 지역에 복제되는 지역 중복 저장소 Blob에 데이터를 저장합니다.",
|
||||
"guid": "e2518261-b3bc-4bd1-b331-637fb2df833f",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"severity": "보통",
|
||||
"subcategory": "백업",
|
||||
"text": "Azure SQL 데이터베이스 자동 백업 구성"
|
||||
|
|
@ -58,7 +58,7 @@
|
|||
"category": "증권 시세 표시기",
|
||||
"description": "기본적으로 SQL 데이터베이스는 쌍을 이루는 지역에 복제되는 지역 중복 저장소 Blob에 데이터를 저장합니다. SQL Database의 경우 데이터베이스를 만들 때 백업 저장소 중복성을 구성하거나 기존 데이터베이스에 대해 업데이트할 수 있습니다. 기존 데이터베이스에 대한 변경 내용은 이후 백업에만 적용됩니다.",
|
||||
"guid": "f8c7cda2-3ed7-43fb-a100-85dcd12a0ee4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"severity": "낮다",
|
||||
"subcategory": "백업",
|
||||
"text": "지역 중복 백업 스토리지를 사용하도록 설정하여 단일 지역 오류 및 데이터 손실로부터 보호"
|
||||
|
|
@ -67,7 +67,7 @@
|
|||
"category": "코드",
|
||||
"description": "악성 코드는 잠재적으로 보안 제어를 우회할 수 있습니다. 사용자 지정 코드를 프로덕션에 배포하기 전에 배포 중인 코드를 검토하는 것이 중요합니다. 소스 제어를 지원하는 Azure 데이터 스튜디오와 같은 데이터베이스 도구를 사용합니다. 코드 분석, 취약성 및 자격 증명 검사를 위한 도구와 논리를 구현합니다.",
|
||||
"guid": "7ca9f006-d2a9-4652-951c-de8e4ac5e76e",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "보통",
|
||||
"subcategory": "소스 제어 및 코드 검토",
|
||||
"text": "소스 제어 시스템을 사용하여 Azure SQLDB 데이터베이스 내에 배포된 애플리케이션 코드를 저장, 유지 관리 및 검토합니다."
|
||||
|
|
@ -76,7 +76,7 @@
|
|||
"category": "데이터 검색 및 분류",
|
||||
"description": "분류 요구 사항의 경우 Purview가 선호되는 옵션입니다. Purview가 옵션이 아닌 경우에만 SQL 데이터 검색 및 분류를 사용합니다. 중요한 데이터가 포함될 가능성이 있는 열을 검색합니다. 민감한 데이터로 간주되는 것은 고객, 규정 준수 규정 등에 따라 크게 달라지며 해당 데이터를 담당하는 사용자가 평가해야 합니다. 열을 분류하여 고급 민감도 기반 감사 및 보호 시나리오를 사용합니다. 자동화된 검색 결과를 검토하고 필요한 경우 분류를 완료합니다.",
|
||||
"guid": "d401509b-2629-4484-9a7f-af0d29a7778f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"severity": "낮다",
|
||||
"subcategory": "데이터 검색 및 분류",
|
||||
"text": "중요한 데이터를 보호하기 위한 데이터 검색 및 분류 계획 및 구성"
|
||||
|
|
@ -85,7 +85,7 @@
|
|||
"category": "데이터 마스킹",
|
||||
"description": "이 기능은 열 암호화가 옵션이 아니며 데이터 형식 및 형식을 보존해야 하는 특정 요구 사항이 있는 경우에만 사용하는 것이 좋습니다. 동적 데이터 마스킹은 권한이 없는 사용자에게 마스킹하여 중요한 데이터 노출을 제한합니다. 동적 데이터 마스킹은 고객이 애플리케이션 계층에 미치는 영향을 최소화하면서 표시할 중요한 데이터의 양을 지정할 수 있도록 하여 중요한 데이터에 대한 무단 액세스를 방지하는 데 도움이 됩니다.",
|
||||
"guid": "9391fd50-135e-453e-90a7-c1a23f88cc13",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"severity": "낮다",
|
||||
"subcategory": "데이터 마스킹",
|
||||
"text": "데이터 마스킹을 사용하여 암호화가 불가능한 경우 관리자가 아닌 무단 사용자의 데이터 액세스 방지"
|
||||
|
|
@ -94,7 +94,7 @@
|
|||
"category": "방어자",
|
||||
"description": "SQL ATP(고급 위협 감지)는 SQL 삽입 공격 및 비정상적인 동작 패턴과 같은 데이터베이스에서 잠재적인 취약성 및 비정상적인 활동을 검색하는 보안 계층을 제공합니다. 잠재적 위협이 감지되면 위협 감지는 특정 위협에 대한 명확한 조사 및 수정 단계를 포함하는 전자 메일 및 클라우드용 Microsoft Defender에서 실행 가능한 실시간 경고를 보냅니다.",
|
||||
"guid": "4e52d73f-5d37-428f-b3a2-e6997e835979",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "높다",
|
||||
"subcategory": "지능형 위협 보호",
|
||||
"text": "ATP(고급 위협 보호) 구성 검토 및 완료"
|
||||
|
|
@ -103,7 +103,7 @@
|
|||
"category": "방어자",
|
||||
"description": "구독 수준에서 Azure SQL용 Microsoft Defender를 사용하도록 설정하여 기존 및 미래의 모든 서버와 데이터베이스를 자동으로 온보딩하고 보호합니다. 구독 수준에서 사용하도록 설정하면 Azure SQL 데이터베이스 및 Azure SQL 관리되는 인스턴스의 모든 데이터베이스가 보호됩니다. 그런 다음 원하는 경우 개별적으로 비활성화할 수 있습니다. 보호되는 데이터베이스를 수동으로 관리하려면 구독 수준에서 사용하지 않도록 설정하고 보호할 각 데이터베이스를 사용하도록 설정합니다.",
|
||||
"guid": "dff87489-9edb-4cef-bdda-86e8212b2aa1",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"severity": "높다",
|
||||
"subcategory": "Defender for Azure SQL",
|
||||
"text": "Enable Microsoft Defender for Azure SQL"
|
||||
|
|
@ -112,7 +112,7 @@
|
|||
"category": "방어자",
|
||||
"description": "Azure SQL ATP용 Microsoft Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. 경고를 구성하고 생성할 수 있으며 콘솔용 Defender에 보고됩니다.",
|
||||
"guid": "ca342fdf-d25a-4427-b105-fcd50ff8a0ea",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "높다",
|
||||
"subcategory": "Defender for Azure SQL",
|
||||
"text": "Azure SQL 경고에 대한 Microsoft Defender에 즉시 대응하기 위한 보안 대응 계획 준비"
|
||||
|
|
@ -121,7 +121,7 @@
|
|||
"category": "방어자",
|
||||
"description": "Azure SQLDB 취약성 평가는 보안 상태에 대한 가시성을 제공하는 서비스입니다. 취약성 평가에는 보안 문제를 해결하고 데이터베이스 보안을 강화하기 위한 실행 가능한 단계가 포함됩니다. 변경 사항을 추적하기 어려운 동적 데이터베이스 환경을 모니터링하고 SQL 보안 상태를 개선하는 데 도움이 될 수 있습니다.",
|
||||
"guid": "a6101ae7-534c-45ab-86fd-b34c55ea21ca",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"severity": "높다",
|
||||
"subcategory": "취약성 평가",
|
||||
"text": "취약성 평가(VA) 결과 구성 및 권장 사항 검토"
|
||||
|
|
@ -130,7 +130,7 @@
|
|||
"category": "방어자",
|
||||
"description": "Microsoft Defender for Cloud는 Azure SQL Database에 대한 취약성 평가를 제공합니다. 취약성 평가는 데이터베이스에서 소프트웨어 취약성을 검색하고 결과 목록을 제공합니다. 결과를 사용하여 소프트웨어 취약성을 수정하고 결과를 사용하지 않도록 설정할 수 있습니다.",
|
||||
"guid": "c8c5f112-1e50-4f77-9264-8195b4cd61ac",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"severity": "높다",
|
||||
"subcategory": "취약성 평가",
|
||||
"text": "취약성 평가(VA) 결과 및 권장 사항을 정기적으로 검토하고 수정 계획을 준비합니다."
|
||||
|
|
@ -139,7 +139,7 @@
|
|||
"category": "암호화",
|
||||
"description": "보안 엔클레이브를 사용한 상시 암호화는 현재 위치 암호화 및 보다 풍부한 기밀 쿼리를 활성화하여 상시 암호화의 기밀 컴퓨팅 기능을 확장합니다. 보안 엔클레이브로 항상 암호화는 서버 측의 보안 엔클레이브 내에서 일반 텍스트 데이터에 대한 일부 계산을 허용하여 이러한 제한 사항을 해결합니다. 이 기능은 관리자 액세스를 제한해야 하고 쿼리가 암호화된 열의 동일성 일치 이상을 지원해야 하는 경우에 사용하는 것이 좋습니다.",
|
||||
"guid": "65d7e54a-10a6-4094-b673-9ff3809c9277",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"severity": "보통",
|
||||
"subcategory": "상시 암호화",
|
||||
"text": "관리자로부터 중요한 PII 데이터를 보호하는 것이 핵심 요구 사항이지만 열 암호화 제한을 허용할 수 없는 경우 보안 엔클레이브를 사용하여 상시 암호화 채택을 고려하십시오."
|
||||
|
|
@ -148,7 +148,7 @@
|
|||
"category": "암호화",
|
||||
"description": "Azure SQL 데이터베이스에서는 Transact-SQL을 사용하여 데이터 열에 대칭 암호화를 적용할 수 있습니다. 이 방법을 열 암호화라고 하는데, 이는 서로 다른 암호화 키를 사용하여 특정 열을 암호화하는 데 사용할 수 있기 때문입니다. 이렇게 하면 페이지의 데이터를 암호화하는 TDE보다 더 세분화된 암호화 기능이 제공됩니다. 상시 암호화를 사용하여 메모리/사용 중인 경우에도 Azure SQL 데이터베이스 또는 SQL 관리되는 인스턴스에서 중요한 데이터가 일반 텍스트로 노출되지 않도록 합니다. 상시 암호화는 DBA(데이터베이스 관리자) 및 클라우드 관리자(또는 권한이 높지만 권한이 없는 사용자를 가장할 수 있는 악의적인 행위자)로부터 데이터를 보호하고 데이터에 액세스할 수 있는 사용자를 더 잘 제어할 수 있도록 합니다.",
|
||||
"guid": "c03ce136-e3d5-4e17-bf25-ed955ee480d3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"severity": "낮다",
|
||||
"subcategory": "열 암호화",
|
||||
"text": "특정 테이블 열에서 관리자가 아닌 사용자로부터 중요한 PII 데이터를 보호하려면 열 암호화를 사용하는 것이 좋습니다."
|
||||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "암호화",
|
||||
"description": "기본적으로 사용하도록 설정된 TDE(투명한 데이터 암호화)는 응용 프로그램을 변경할 필요 없이 데이터베이스, 연결된 백업 및 '미사용 상태' 트랜잭션 로그 파일의 실시간 암호화 및 암호 해독을 수행하여 정보 유출로부터 데이터베이스 파일을 보호하는 데 도움이 됩니다.",
|
||||
"guid": "c614ac47-bebf-4061-b0a1-43e0c6b5e00d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "높다",
|
||||
"subcategory": "투명한 데이터 암호화",
|
||||
"text": "TDE(투명한 데이터 암호화)가 사용하도록 설정된 상태로 유지되는지 확인"
|
||||
|
|
@ -166,7 +166,7 @@
|
|||
"category": "암호화",
|
||||
"description": "조직 내에서 키 및 데이터 관리에서 업무를 분리해야 하는 경우 Azure SQLDB에 대한 TDE(투명한 데이터 암호화)에 CMK(고객 관리형 키)를 활용하고 Azure 키 자격 증명 모음을 사용하여 저장합니다(검사 목록 참조). 관리 서비스 키로 충족할 수 없는 엄격한 보안 요구 사항이 있는 경우 이 기능을 활용합니다.",
|
||||
"guid": "2edb4165-4f54-47cc-a891-5c82c2f21e25",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "투명한 데이터 암호화",
|
||||
"text": "TDE 보호에 대한 투명성과 세분화된 제어가 필요한 경우 AKV(Azure 키 자격 증명 모음)에서 CMK(고객 관리형 키)를 사용합니다."
|
||||
|
|
@ -175,7 +175,7 @@
|
|||
"category": "암호화",
|
||||
"description": "최소 TLS(전송 계층 보안) 버전 설정을 통해 고객은 SQL 데이터베이스에서 사용하는 TLS 버전을 선택할 수 있습니다. Azure Portal, Azure PowerShell 및 Azure CLI를 사용하여 최소 TLS 버전을 변경할 수 있습니다.",
|
||||
"guid": "7754b605-57fd-4bcb-8213-52c39d8e8225",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"severity": "높다",
|
||||
"subcategory": "전송 계층 보안",
|
||||
"text": "최소 TLS 버전을 사용 가능한 최신 버전으로 적용"
|
||||
|
|
@ -184,7 +184,7 @@
|
|||
"category": "신원",
|
||||
"description": "중앙 집중식 ID 관리를 위해 Azure AD(Azure Active Directory) 인증을 사용합니다. 실제로 필요한 경우에만 SQL 인증을 사용하고 예외로 문서화하십시오.",
|
||||
"guid": "c9b8b6bf-2c6b-453d-b400-de9a43a549d7",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Azure SQL 데이터베이스에 대한 연결을 위해 Azure AD 인증 활용"
|
||||
|
|
@ -193,7 +193,7 @@
|
|||
"category": "신원",
|
||||
"description": "Azure AD 그룹을 사용하면 권한 관리가 간소화되고 그룹 소유자와 리소스 소유자 모두 그룹에서 구성원을 추가/제거할 수 있습니다. 각 논리 서버에 대해 Azure AD 관리자에 대한 별도의 그룹을 만듭니다. Azure AD 감사 활동 보고서를 사용하여 Azure AD 그룹 멤버 자격 변경을 모니터링합니다.",
|
||||
"guid": "29820254-1d14-4778-ae90-ff4aeba504a3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"severity": "보통",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "각 Azure SQL 데이터베이스 논리 서버에 대해 두 개의 관리자 계정이 있는 별도의 Azure AD 그룹 만들기"
|
||||
|
|
@ -202,7 +202,7 @@
|
|||
"category": "신원",
|
||||
"description": "최소 권한이 할당된 함수 전용인 고유한 시스템 및 사용자 할당 관리 ID가 Azure 서비스 및 애플리케이션에서 Azure SQLDB 데이터베이스로의 통신에 사용되는지 확인합니다.",
|
||||
"guid": "df3a09ee-03bb-4198-8637-d141acf5f289",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"severity": "보통",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "응용 프로그램에 대한 암호 기반 인증 사용 최소화"
|
||||
|
|
@ -211,7 +211,7 @@
|
|||
"category": "신원",
|
||||
"description": "시스템 또는 사용자 할당 관리 ID를 사용하면 Azure SQLDB가 코드에 자격 증명을 저장하지 않고도 다른 클라우드 서비스(예: Azure 키 자격 증명 모음)에 인증할 수 있습니다. 사용하도록 설정되면 Azure 역할 기반 액세스 제어를 통해 특정 Azure SQLDB 인스턴스에 필요한 모든 권한을 부여할 수 있습니다. 엄격하게 필요하지 않은 경우 여러 서비스에서 사용자 할당 관리 ID를 공유하지 마세요.",
|
||||
"guid": "69891194-5074-4e30-8f69-4efc3c580900",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"severity": "낮다",
|
||||
"subcategory": "관리 ID",
|
||||
"text": "Azure SQL 데이터베이스에 아웃바운드 리소스 액세스를 위한 관리 ID 할당"
|
||||
|
|
@ -220,7 +220,7 @@
|
|||
"category": "신원",
|
||||
"description": "암호 사용을 제거하는 Azure AD 통합 인증을 사용합니다. 암호 기반 인증 방법은 더 약한 인증 형식입니다. 자격 증명이 손상되거나 실수로 제공될 수 있습니다. Windows 자격 증명을 사용한 싱글 사인온 인증을 사용합니다. 온-프레미스 AD 도메인을 Azure AD와 페더레이션하고 Windows 통합 인증을 사용합니다(Azure AD를 사용하여 도메인에 가입된 컴퓨터의 경우).",
|
||||
"guid": "88287d4a-8bb8-4640-ad78-03f51354d003",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"severity": "보통",
|
||||
"subcategory": "암호",
|
||||
"text": "사용자에 대한 암호 기반 인증 사용 최소화"
|
||||
|
|
@ -229,7 +229,7 @@
|
|||
"category": "원장",
|
||||
"description": "데이터베이스 원장에 있는 최신 블록의 해시를 데이터베이스 다이제스트라고 합니다. 블록이 생성된 시점에 데이터베이스에 있는 모든 원장 테이블의 상태를 나타냅니다. 데이터베이스 다이제스트 생성은 최근에 추가된 블록의 해시만 계산하기 때문에 효율적입니다. Azure 기밀 원장은 지원되는 저장소 중 하나이며 데이터베이스 다이제스트의 자동 생성 및 저장을 지원하고 사용할 수 있습니다. Azure Ledger는 블록체인 원장 증명 및 기밀 하드웨어 엔클레이브와 같은 고급 보안 기능을 제공합니다. 고급 보안 기능이 필요한 경우에만 사용하고, 그렇지 않으면 Azure 저장소로 되돌립니다.",
|
||||
"guid": "0e853380-50ba-4bce-b2fd-5c7391c85ecc",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"severity": "보통",
|
||||
"subcategory": "데이터베이스 다이제스트",
|
||||
"text": "Azure 기밀 원장을 사용하여 고급 보안 기능이 필요한 경우에만 데이터베이스 다이제스트 저장"
|
||||
|
|
@ -238,7 +238,7 @@
|
|||
"category": "원장",
|
||||
"description": "데이터베이스 원장에 있는 최신 블록의 해시를 데이터베이스 다이제스트라고 합니다. 블록이 생성된 시점에 데이터베이스에 있는 모든 원장 테이블의 상태를 나타냅니다. 데이터베이스 다이제스트 생성은 최근에 추가된 블록의 해시만 계산하기 때문에 효율적입니다. 변경할 수 없는 저장소 기능이 있는 Azure Blob 저장소를 사용할 수 있으며 데이터베이스 다이제스트의 자동 생성 및 저장소를 지원합니다. 다이제스트 파일의 변조를 방지하려면 컨테이너에 대한 보존 정책을 구성하고 잠급니다.",
|
||||
"guid": "afefb2d3-95da-4ac9-acf5-33d18b32ef9a",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"severity": "보통",
|
||||
"subcategory": "데이터베이스 다이제스트",
|
||||
"text": "Azure 저장소 계정을 사용하여 데이터베이스 다이제스트를 저장하는 경우 보안이 올바르게 구성되었는지 확인합니다."
|
||||
|
|
@ -247,7 +247,7 @@
|
|||
"category": "원장",
|
||||
"description": "Ledger는 원장 테이블의 데이터에 대한 데이터 변조의 증거를 제공하는 정방향 무결성이라는 데이터 무결성 형식을 제공합니다. 데이터베이스 검증 프로세스는 이전에 생성된 하나 이상의 데이터베이스 다이제스트를 입력으로 사용합니다. 그런 다음 원장 테이블의 현재 상태를 기반으로 데이터베이스 원장에 저장된 해시를 다시 계산합니다. 계산된 해시가 입력 다이제스트와 일치하지 않으면 확인이 실패합니다. 이 오류는 데이터가 변조되었음을 나타냅니다. 확인 프로세스는 감지된 모든 불일치를 보고합니다.",
|
||||
"guid": "f8d4ffda-8aac-4cc6-b72b-c81cb8625420",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"severity": "보통",
|
||||
"subcategory": "무결성",
|
||||
"text": "데이터 무결성을 확인하기 위해 Ledger 확인 프로세스를 정기적으로 예약합니다."
|
||||
|
|
@ -256,7 +256,7 @@
|
|||
"category": "원장",
|
||||
"description": "Ledger 기능은 데이터베이스에서 변조 증거 기능을 제공합니다. 감사자 또는 다른 비즈니스 당사자와 같은 다른 당사자에게 데이터가 변조되지 않았음을 암호로 증명할 수 있습니다. Ledger는 데이터베이스 관리자(DBA), 시스템 관리자, 클라우드 관리자를 포함한 모든 공격자 또는 권한이 높은 사용자로부터 데이터를 보호하는 데 도움이 됩니다.",
|
||||
"guid": "2563f498-e2d3-42ea-9e7b-5517881a06a2",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "원장",
|
||||
"text": "데이터 무결성에 대한 암호화 증명이 중요한 요구 사항인 경우 Ledger 기능을 고려해야 합니다."
|
||||
|
|
@ -265,7 +265,7 @@
|
|||
"category": "원장",
|
||||
"description": "변조 유형에 따라 데이터 손실 없이 원장을 복구할 수 있는 경우가 있습니다. --추가 정보-- 열에 포함된 문서에서는 다양한 시나리오와 복구 기술에 대해 설명합니다.",
|
||||
"guid": "804fc554-6554-4842-91c1-713b32f99902",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"severity": "보통",
|
||||
"subcategory": "복구",
|
||||
"text": "변조 이벤트 후 데이터베이스를 조사하고 복구하기 위한 대응 계획 준비"
|
||||
|
|
@ -274,7 +274,7 @@
|
|||
"category": "로깅",
|
||||
"description": "Azure SQL 데이터베이스 감사는 데이터베이스 이벤트를 추적하여 Azure 저장소 계정의 감사 로그에 씁니다. 감사는 데이터베이스 작업을 이해하고 비즈니스 문제 또는 의심되는 보안 위반을 나타낼 수 있는 불일치 및 변칙에 대한 통찰력을 얻는 데 도움이 될 뿐만 아니라 규정 준수를 충족하는 데 도움이 됩니다. 기본적으로 감사 정책에는 데이터베이스에 대한 모든 작업(쿼리, 저장 프로시저, 성공 및 실패한 로그인)이 포함되며, 이로 인해 많은 양의 감사 로그가 발생할 수 있습니다. 고객은 PowerShell을 사용하여 다양한 유형의 작업 및 작업 그룹에 대한 감사를 구성하는 것이 좋습니다.",
|
||||
"guid": "4082e31d-35f4-4a49-8507-d3172cc930a6",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "감사",
|
||||
"text": "Azure SQL 데이터베이스 감사가 서버 수준에서 사용하도록 설정되어 있는지 확인"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "로깅",
|
||||
"description": "Azure SQL 데이터베이스 감사 로그는 외부 저장소 계정, 로그 분석 작업 영역 또는 이벤트 허브에 쓸 수 있습니다. 백업 및 보안 구성을 사용하여 대상 저장소를 보호해야 합니다. Azure SQL 데이터베이스 관리 ID를 사용하여 스토리지에 액세스하고 명시적 보존 기간을 설정합니다. 관리자에게 감사 로그 저장소에 대한 권한을 부여하지 마십시오. --Microsoft 지원 작업의 감사 사용에 다른 대상 저장소를 사용합니다--. ",
|
||||
"guid": "9b64bc50-b60f-4035-bf7a-28c4806dfb46",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "낮다",
|
||||
"subcategory": "감사",
|
||||
"text": "Azure SQL 데이터베이스 감사 로그가 선택한 리포지토리 유형에서 백업 및 보호되는지 확인"
|
||||
|
|
@ -292,7 +292,7 @@
|
|||
"category": "로깅",
|
||||
"description": "Azure 모니터 활동 로그는 구독 수준 이벤트에 대한 인사이트를 제공하는 Azure의 플랫폼 로그입니다. 활동 로그에는 리소스가 수정된 시기와 같은 정보가 포함됩니다. 이 활동 로그를 Azure SQL 데이터베이스 감사 로그(저장소 계정, 로그 분석 작업 영역, 이벤트 허브)와 동일한 외부 저장소 리포지토리로 보내는 것이 좋습니다.",
|
||||
"guid": "fcd34708-87ac-4efc-aaf6-57a47f76644a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "보통",
|
||||
"subcategory": "감사",
|
||||
"text": "Azure SQL 데이터베이스 활동 로그가 수집되고 감사 로그와 통합되었는지 확인"
|
||||
|
|
@ -301,7 +301,7 @@
|
|||
"category": "로깅",
|
||||
"description": "Azure SQL의 모든 로그를 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 및 응답)로 전달합니다. 잠재적인 위협 및 변칙에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 분석가가 분류해야 하는 가양성을 줄이기 위해 고품질 경고를 받는 데 집중합니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터에서 가져올 수 있습니다.",
|
||||
"guid": "f96e127e-9572-453a-b325-ff89ae9f6b44",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Azure SQL 데이터베이스 감사 로그가 조직에 제공되는지 확인 SIEM/SOAR"
|
||||
|
|
@ -310,7 +310,7 @@
|
|||
"category": "로깅",
|
||||
"description": "Azure SQL의 모든 로그를 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 및 대응)로 전달하여 사용자 지정 위협 검색을 설정하는 데 사용할 수 있습니다. 잠재적인 위협 및 변칙에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 분석가가 분류해야 하는 가양성을 줄이기 위해 고품질 경고를 받는 데 집중합니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터에서 가져올 수 있습니다.",
|
||||
"guid": "41503bf8-73da-4a10-af9f-5f7fceb5456f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "보통",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Azure SQL 데이터베이스 활동 로그 데이터가 SIEM/SOAR에 표시되는지 확인합니다."
|
||||
|
|
@ -319,7 +319,7 @@
|
|||
"category": "로깅",
|
||||
"description": "SOC(보안 운영 센터) 팀은 인시던트 대응 계획(플레이북 또는 수동 응답)을 만들어 변조, 악의적인 활동 및 기타 비정상적인 동작을 조사하고 완화해야 합니다.",
|
||||
"guid": "19ec7c97-c563-4e1d-82f0-54d6ec12e754",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "보통",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "악의적이거나 비정상적인 감사 로깅 이벤트에 대한 대응 계획이 있는지 확인"
|
||||
|
|
@ -328,7 +328,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "Azure SQL 데이터베이스용 Azure 포털에서 논리 서버를 만들면 공용 네트워크(공용 액세스)를 통해 표시되고 연결할 수 있는 공용 끝점이 생성됩니다. 그런 다음 방화벽 규칙 및 서비스 엔드포인트에 따라 연결을 제한할 수 있습니다. 프라이빗 엔드포인트(프라이빗 액세스)를 사용하여 내부 네트워크에 대한 연결만 제한하는 프라이빗 연결을 구성할 수도 있습니다. 프라이빗 엔드포인트를 사용하는 프라이빗 액세스는 지원할 수 없는 비즈니스 사례 또는 성능/기술적 이유가 적용되지 않는 한 기본값이어야 합니다. 프라이빗 엔드포인트의 사용에는 고려하고 평가해야 하는 성능 영향이 있습니다.",
|
||||
"guid": "2c6d356a-1784-475b-a42c-ec187dc8c925",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "높다",
|
||||
"subcategory": "인터넷",
|
||||
"text": "공용 및 개인 액세스 연결 방법을 검토하고 워크로드에 적합한 방법을 선택합니다."
|
||||
|
|
@ -337,7 +337,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "중요: 프라이빗 엔드포인트에 대한 연결은 프록시만 연결 정책으로 지원합니다. 프라이빗 엔드포인트를 사용하는 경우 연결은 Azure SQL 데이터베이스 게이트웨이를 통해 데이터베이스 노드로 프록시됩니다. 클라이언트는 직접 연결되지 않습니다.",
|
||||
"guid": "557b3ce5-bada-4296-8d52-a2d447bc1718",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-architecture",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-architecture",
|
||||
"severity": "낮다",
|
||||
"subcategory": "인터넷",
|
||||
"text": "다르게 필요하고 정당화되지 않는 경우 기본 Azure SQL 데이터베이스 연결 정책을 유지합니다."
|
||||
|
|
@ -346,7 +346,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "이 옵션은 다른 고객의 구독에서 연결을 포함하여 Azure의 모든 연결을 허용하도록 방화벽을 구성합니다. 이 옵션을 선택하는 경우 로그인 및 사용자 권한이 권한이 있는 사용자로만 액세스를 제한하는지 확인합니다. 꼭 필요한 것이 아닌 경우 이 설정을 OFF로 유지합니다.",
|
||||
"guid": "f48efacf-4405-4e8d-9dd0-16c5302ed082",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "높다",
|
||||
"subcategory": "인터넷",
|
||||
"text": "Azure SQL 데이터베이스 방화벽에서 Azure 서비스 및 리소스가 이 서버에 액세스하도록 허용 설정이 비활성화되어 있는지 확인합니다."
|
||||
|
|
@ -355,7 +355,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "Azure SQL 데이터베이스에는 외부 REST 엔드포인트와의 기본 통합을 허용하는 새로운 기본 제공 기능이 있습니다. 즉, Azure SQL 데이터베이스를 Azure 함수, Azure 논리 앱, 인지 서비스, 이벤트 허브, 이벤트 그리드, Azure 컨테이너, API 관리 및 일반적으로 모든 REST 또는 GraphQL 끝점과 통합합니다. 적절하게 제한되지 않으면 Azure SQL 데이터베이스 데이터베이스 내의 코드에서 이 메커니즘을 활용하여 데이터를 반출할 수 있습니다. 반드시 필요하지 않은 경우 아웃바운드 방화벽 규칙을 사용하여 이 기능을 차단하거나 제한하는 것이 좋습니다.",
|
||||
"guid": "cb3274a7-e36d-46f6-8de5-46d30c8dde8e",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"severity": "보통",
|
||||
"subcategory": "아웃바운드 제어",
|
||||
"text": "외부 엔드포인트에 대한 아웃바운드 REST API 호출 차단 또는 제한"
|
||||
|
|
@ -364,7 +364,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "아웃바운드 방화벽 규칙은 Azure SQL 데이터베이스 논리 서버의 네트워크 트래픽을 Azure 저장소 계정 및 Azure SQL 데이터베이스 논리 서버의 고객 정의 목록으로 제한합니다. 이 목록에 없는 저장소 계정 또는 데이터베이스에 액세스하려는 모든 시도는 거부됩니다.",
|
||||
"guid": "a566dd3d-314e-4a94-9378-102c42d82b38",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "아웃바운드 제어",
|
||||
"text": "아웃바운드 네트워크 액세스가 필요한 경우 기본 제공 Azure SQL Database 제어 기능을 사용하여 아웃바운드 네트워킹 제한을 구성하는 것이 좋습니다."
|
||||
|
|
@ -373,7 +373,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "프라이빗 엔드포인트는 Azure 가상 네트워크의 서브넷 내에 만들어집니다. NSG/ASG, UDR, 방화벽, 모니터링 및 감사를 포함하여 포함하는 네트워크 환경에도 적절한 보안 구성을 적용해야 합니다.",
|
||||
"guid": "246cd832-f550-4af0-9c74-ca9baeeb8860",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "보통",
|
||||
"subcategory": "비공개 액세스",
|
||||
"text": "프라이빗 액세스 연결을 사용하는 경우 프라이빗 엔드포인트, Azure 가상 네트워크, Azure 방화벽 및 Azure 네트워크 보안 그룹 검사 목록을 사용하고 있는지 확인합니다."
|
||||
|
|
@ -382,7 +382,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "프라이빗 엔드포인트 연결을 추가할 때 논리 서버에 대한 퍼블릭 라우팅은 기본적으로 차단되지 않습니다. --방화벽 및 가상 네트워크-- 창에서 --공용 네트워크 액세스 거부-- 설정은 기본적으로 선택되어 있지 않습니다. 공용 네트워크 액세스를 사용하지 않도록 설정하려면 --공용 네트워크 액세스 거부를 선택해야 합니다--.",
|
||||
"guid": "3a0808ee-ea7a-47ab-bdce-920a6a2b3881",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "높다",
|
||||
"subcategory": "비공개 액세스",
|
||||
"text": "프라이빗 엔드포인트(프라이빗 액세스)를 사용하는 경우 퍼블릭 액세스 연결을 사용하지 않도록 설정하는 것이 좋습니다."
|
||||
|
|
@ -391,7 +391,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "이제 NSG(네트워크 보안 그룹) 및 ASG(애플리케이션 보안 그룹)를 프라이빗 엔드포인트가 포함된 서브넷에 적용하여 내부 원본 IP 범위에 따라 Azure SQLDB에 대한 연결을 제한할 수 있습니다.",
|
||||
"guid": "8600527e-e8c4-4424-90ef-1f0dca0224f2",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"link": "https://learn.microsoft.com/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"severity": "보통",
|
||||
"subcategory": "비공개 액세스",
|
||||
"text": "프라이빗 엔드포인트(프라이빗 액세스)를 사용하는 경우 NSG 및 최종적으로 ASG를 적용하여 들어오는 원본 IP 주소 범위를 제한합니다."
|
||||
|
|
@ -400,7 +400,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "관리되는 인스턴스(SQL MI)는 외부 액세스를 방지하기 위해 가상 네트워크 내에서 격리될 수 있습니다. 동일한 지역의 동일하거나 피어링된 가상 네트워크에 있는 애플리케이션 및 도구는 직접 액세스할 수 있습니다. 다른 지역에 있는 응용 프로그램 및 도구는 가상 네트워크 간 연결 또는 ExpressRoute 회로 피어링을 사용하여 연결을 설정할 수 있습니다. 고객은 NSG(네트워크 보안 그룹)와 결국 내부 방화벽을 사용하여 포트 1433을 통한 액세스를 관리되는 인스턴스에 액세스해야 하는 리소스로만 제한해야 합니다.",
|
||||
"guid": "18123ef4-a0a6-45e3-87fe-7f454f65d975",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "비공개 액세스",
|
||||
"text": "NSG(네트워크 보안 그룹) 및 방화벽 규칙을 적용하여 Azure SQL 관리되는 인스턴스 내부 서브넷에 대한 액세스를 제한합니다."
|
||||
|
|
@ -409,7 +409,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "Azure 가상 네트워크 서비스 엔드포인트는 리디렉션 정책을 사용하여 Azure SQL 데이터베이스 백 엔드 노드에 직접 연결하려는 경우 기본 솔루션입니다. 이렇게 하면 고성능 모드에서 액세스할 수 있으며 성능 관점에서 권장되는 접근 방식입니다.",
|
||||
"guid": "55187443-6852-4fbd-99c6-ce303597ca7f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"severity": "높다",
|
||||
"subcategory": "공개 액세스",
|
||||
"text": "공용 액세스 연결을 사용하는 경우 서비스 엔드포인트를 활용하여 선택한 Azure 가상 네트워크의 액세스를 제한합니다."
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "Azure SQL 데이터베이스 방화벽을 사용하면 통신이 허용되는 IP 주소 범위를 지정할 수 있습니다. 이 방법은 Azure 개인 네트워크 외부에 있는 안정적인 IP 주소에 적합합니다.",
|
||||
"guid": "a73e32da-b3f4-4960-b5ec-2f42a557bf31",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "보통",
|
||||
"subcategory": "공개 액세스",
|
||||
"text": "공용 액세스 연결을 사용하는 경우 알려진 특정 IP만 방화벽에 추가되었는지 확인합니다."
|
||||
|
|
@ -427,7 +427,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "가능하면 데이터베이스 수준 IP 방화벽 규칙을 사용하는 것이 좋습니다. 이렇게 하면 보안이 강화되고 데이터베이스의 이식성이 향상됩니다. 관리자에 대해 서버 수준 IP 방화벽 규칙을 사용합니다. 또한 액세스 요구 사항이 동일한 데이터베이스가 많고 각 데이터베이스를 개별적으로 구성하지 않으려는 경우에도 사용합니다.",
|
||||
"guid": "e0f31ac9-35c8-4bfd-9865-edb60ffc6768",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/firewall-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/firewall-configure",
|
||||
"severity": "낮다",
|
||||
"subcategory": "공개 액세스",
|
||||
"text": "공용 액세스 연결이 Azure SQL 데이터베이스 방화벽 규칙에 의해 사용되고 제어되는 경우 서버 수준 IP 규칙보다 데이터베이스 수준 사용"
|
||||
|
|
@ -436,7 +436,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "관리되는 인스턴스(SQL MI)는 외부 액세스를 방지하기 위해 가상 네트워크 내에서 격리될 수 있습니다. 관리되는 인스턴스 퍼블릭 엔드포인트는 기본적으로 사용하도록 설정되지 않으며, 엄격하게 필요한 경우에만 명시적으로 사용하도록 설정해야 합니다. 회사 정책에서 퍼블릭 엔드포인트 사용을 허용하지 않는 경우 Azure Policy를 사용하여 퍼블릭 엔드포인트를 처음부터 사용하도록 설정하지 않도록 합니다.",
|
||||
"guid": "b8435656-143e-41a8-9922-61d34edb751a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "높다",
|
||||
"subcategory": "공개 액세스",
|
||||
"text": "Azure SQL 관리 되는 인스턴스 공용 끝점을 사용 하도록 설정 하지 마십시오."
|
||||
|
|
@ -445,7 +445,7 @@
|
|||
"category": "네트워킹",
|
||||
"description": "관리되는 인스턴스(SQL MI) 퍼블릭 엔드포인트는 기본적으로 사용하도록 설정되지 않으며, 엄격하게 필요한 경우에만 명시적으로 사용하도록 설정해야 합니다. 이 경우 NSG(네트워크 보안 그룹)를 적용하여 포트 3342에 대한 액세스를 신뢰할 수 있는 원본 IP 주소로만 제한하는 것이 좋습니다.",
|
||||
"guid": "057dd298-8726-4aa6-b590-1f81d2e30421",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "높다",
|
||||
"subcategory": "공개 액세스",
|
||||
"text": "Azure SQL 관리되는 인스턴스 퍼블릭 엔드포인트가 필요한 경우 액세스 제한"
|
||||
|
|
@ -454,7 +454,7 @@
|
|||
"category": "권한 있는 액세스",
|
||||
"description": "Microsoft 직원 및 하위 프로세서가 수행하는 대부분의 작업, 지원 및 문제 해결에는 고객 데이터에 액세스할 필요가 없습니다. 이러한 액세스가 필요한 드문 상황에서 Microsoft Azure용 고객 Lockbox는 고객이 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공합니다. Microsoft가 고객 데이터에 액세스해야 하는 지원 시나리오에서 Azure SQL 데이터베이스는 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공하기 위해 고객 Lockbox를 지원합니다.",
|
||||
"guid": "37b6eb0f-553d-488f-8a8a-cb9bf97388ff",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"link": "https://learn.microsoft.com/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"severity": "낮다",
|
||||
"subcategory": "사물함",
|
||||
"text": "Microsoft 직원의 Azure SQL 데이터베이스 액세스에 대한 고객 Lockbox를 검토하고 사용하도록 설정"
|
||||
|
|
@ -463,7 +463,7 @@
|
|||
"category": "권한 있는 액세스",
|
||||
"description": "최소 권한의 원칙에 따르면 사용자는 작업을 완료하는 데 필요한 것보다 더 많은 권한을 가질 수 없습니다. 권한이 높은 데이터베이스 및 서버 사용자는 데이터베이스에서 많은 구성 및 유지 관리 작업을 수행할 수 있으며 Azure SQL 인스턴스에서 데이터베이스를 삭제할 수도 있습니다. 데이터베이스 소유자 및 권한 있는 계정을 추적하는 것은 과도한 권한을 갖지 않도록 하는 데 중요합니다.",
|
||||
"guid": "5fe5281f-f0f9-4842-a682-8baf18bd8316",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"severity": "보통",
|
||||
"subcategory": "권한을",
|
||||
"text": "사용자에게 작업 기능을 완료하기 위해 필요한 최소 수준의 액세스 권한이 할당되었는지 확인"
|
||||
|
|
@ -472,7 +472,7 @@
|
|||
"category": "권한 있는 액세스",
|
||||
"description": "ID(사용자 및 SPN 모두)는 기능을 수행하는 데 필요한 최소 액세스 권한으로 범위를 지정해야 합니다. 관련이 없는 여러 사용 권한 집합이 있는 하나의 SPN을 사용하는 대신 더 많은 수의 엄격한 범위의 SPN을 사용해야 합니다. 예를 들어 온-프레미스에서 Azure SQL 데이터베이스에 대한 쿼리를 수행하는 세 개의 외부 웹 응용 프로그램이 있는 경우 이러한 작업에 모두 동일한 SPN을 사용해서는 안 됩니다. 대신 각각 범위가 엄격하게 지정된 SPN이 있어야 합니다.",
|
||||
"guid": "7b5b55e5-4750-4920-be97-eb726c256a5c",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"severity": "낮다",
|
||||
"subcategory": "권한을",
|
||||
"text": "고유한 응용 프로그램에 Azure SQL 데이터베이스에 액세스할 수 있는 최소 권한으로 다른 자격 증명이 할당되는지 확인"
|
||||
|
|
|
|||
|
|
@ -40,7 +40,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "Certifique-se de que seus backups estejam protegidos contra ataques. Isso deve incluir a criptografia dos backups para proteger contra a perda de confidencialidade. Para backup de serviço regular do Azure, os dados de backup são criptografados automaticamente usando chaves gerenciadas pela plataforma do Azure. Você também pode optar por criptografar o backup usando uma chave gerenciada pelo cliente. Nesse caso, verifique se essa chave gerenciada pelo cliente no cofre de chaves também está no escopo de backup.",
|
||||
"guid": "676f6951-0368-49e9-808d-c33a692c9a64",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-2-encrypt-backup-data",
|
||||
"severity": "Média",
|
||||
"subcategory": "Cofre da Chave do Azure",
|
||||
"text": "Proteja seus dados de backup com criptografia e armazene chaves com segurança no Cofre de Chaves do Azure"
|
||||
|
|
@ -49,7 +49,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "O Banco de Dados SQL do Azure usa a tecnologia do SQL Server para criar backups completos a cada semana, backup diferencial a cada 12 a 24 horas e backup de log de transações a cada 5 a 10 minutos. Por padrão, o Banco de dados SQL armazena dados em blobs de armazenamento com redundância geográfica que são replicados para uma região emparelhada.",
|
||||
"guid": "e2518261-b3bc-4bd1-b331-637fb2df833f",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#br-1-ensure-regular-automated-backups",
|
||||
"severity": "Média",
|
||||
"subcategory": "Backup",
|
||||
"text": "Configurar backups automatizados do Banco de Dados SQL do Azure"
|
||||
|
|
@ -58,7 +58,7 @@
|
|||
"category": "BCDR",
|
||||
"description": "Por padrão, o Banco de dados SQL armazena dados em blobs de armazenamento com redundância geográfica que são replicados para uma região emparelhada. Para o Banco de dados SQL, a redundância de armazenamento de backup pode ser configurada no momento da criação do banco de dados ou pode ser atualizada para um banco de dados existente; as alterações feitas em um banco de dados existente se aplicam somente a backups futuros.",
|
||||
"guid": "f8c7cda2-3ed7-43fb-a100-85dcd12a0ee4",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/automated-backups-overview?tabs=single-database&view=azuresql#backup-storage-redundancy",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Backup",
|
||||
"text": "Habilite o armazenamento de backup com redundância geográfica para proteger contra falhas em uma única região e perda de dados"
|
||||
|
|
@ -67,7 +67,7 @@
|
|||
"category": "Código",
|
||||
"description": "O código mal-intencionado pode potencialmente contornar os controles de segurança. Antes de implantar o código personalizado na produção, é essencial revisar o que está sendo implantado. Use uma ferramenta de banco de dados como o Azure Data Studio que dá suporte ao controle do código-fonte. Implementar ferramentas e lógica para análise de código, vulnerabilidade e verificação de credenciais.",
|
||||
"guid": "7ca9f006-d2a9-4652-951c-de8e4ac5e76e",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "Média",
|
||||
"subcategory": "Controle do código-fonte e revisão de código",
|
||||
"text": "Usar sistemas de Controle do Código-Fonte para armazenar, manter e revisar o código do aplicativo implantado no Banco de Dados SQLDB do Azure"
|
||||
|
|
@ -76,7 +76,7 @@
|
|||
"category": "Descoberta e classificação de dados",
|
||||
"description": "Em caso de requisitos de classificação, a Purview é a opção preferida. Use apenas a Descoberta e Classificação de Dados SQL caso o Purview não seja uma opção. Descubra colunas que potencialmente contêm dados confidenciais. O que é considerado dados confidenciais depende muito do cliente, da regulamentação de conformidade, etc., e precisa ser avaliado pelos usuários responsáveis por esses dados. Classifique as colunas para usar cenários avançados de auditoria e proteção baseados em sensibilidade. Revise os resultados da descoberta automatizada e finalize a classificação, se necessário.",
|
||||
"guid": "d401509b-2629-4484-9a7f-af0d29a7778f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/data-discovery-and-classification-overview?view=azuresql#faq---advanced-classification-capabilities",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Descoberta e classificação de dados",
|
||||
"text": "Planejar e configurar a Descoberta e Classificação de Dados para proteger os dados confidenciais"
|
||||
|
|
@ -85,7 +85,7 @@
|
|||
"category": "Mascaramento de dados",
|
||||
"description": "O uso desse recurso é recomendado somente se a criptografia de coluna não for uma opção e houver um requisito específico para preservar tipos e formatos de dados. O mascaramento dinâmico de dados limita a exposição de dados confidenciais, mascarando-os para usuários não privilegiados. O mascaramento dinâmico de dados ajuda a impedir o acesso não autorizado a dados confidenciais, permitindo que os clientes designem a quantidade de dados confidenciais a serem revelados com impacto mínimo na camada de aplicativo.",
|
||||
"guid": "9391fd50-135e-453e-90a7-c1a23f88cc13",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/dynamic-data-masking-overview",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Mascaramento de dados",
|
||||
"text": "Use o mascaramento de dados para impedir o acesso não autorizado a dados de usuários não administradores se nenhuma criptografia for possível"
|
||||
|
|
@ -94,7 +94,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "O SQL Advanced Threat Detection (ATP) fornece uma camada de segurança que detecta possíveis vulnerabilidades e atividades anômalas em bancos de dados, como ataques de injeção de SQL e padrões de comportamento incomuns. Quando uma ameaça potencial é detectada, a Detecção de Ameaças envia um alerta acionável em tempo real por email e no Microsoft Defender para Nuvem, que inclui etapas claras de investigação e correção para a ameaça específica.",
|
||||
"guid": "4e52d73f-5d37-428f-b3a2-e6997e835979",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Proteção Avançada contra Ameaças",
|
||||
"text": "Revise e conclua a configuração da Proteção Avançada contra Ameaças (ATP)"
|
||||
|
|
@ -103,7 +103,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "Habilite o Microsoft Defender para SQL do Azure no nível de assinatura para integrar e proteger automaticamente todos os servidores e bancos de dados existentes e futuros. Quando você habilita no nível de assinatura, todos os bancos de dados no Banco de Dados SQL do Azure e na Instância Gerenciada SQL do Azure são protegidos. Você pode desativá-los individualmente, se desejar. Se você quiser gerenciar manualmente quais bancos de dados estão protegidos, desabilite no nível de assinatura e habilite cada banco de dados que deseja proteger.",
|
||||
"guid": "dff87489-9edb-4cef-bdda-86e8212b2aa1",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/azure-defender-for-sql?view=azuresql#enable-microsoft-defender-for-sql ",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Defender para SQL do Azure",
|
||||
"text": "Habilitar o Microsoft Defender para SQL do Azure"
|
||||
|
|
@ -112,7 +112,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "O Microsoft Defender para Azure SQL ATP detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Os alertas podem ser configurados e gerados e serão relatados no console do Defender for.",
|
||||
"guid": "ca342fdf-d25a-4427-b105-fcd50ff8a0ea",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/threat-detection-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/threat-detection-configure",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Defender para SQL do Azure",
|
||||
"text": "Preparar um plano de resposta de segurança para reagir prontamente aos alertas SQL do Microsoft Defender para Azure"
|
||||
|
|
@ -121,7 +121,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "A avaliação de vulnerabilidade do SQLDB do Azure é um serviço que fornece visibilidade do seu estado de segurança. A avaliação de vulnerabilidades inclui etapas acionáveis para resolver problemas de segurança e aprimorar a segurança do banco de dados. Ele pode ajudá-lo a monitorar um ambiente de banco de dados dinâmico onde as alterações são difíceis de controlar e melhorar sua postura de segurança SQL.",
|
||||
"guid": "a6101ae7-534c-45ab-86fd-b34c55ea21ca",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Avaliação de vulnerabilidade",
|
||||
"text": "Configurar descobertas de Avaliação de Vulnerabilidade (VA) e recomendações de revisão"
|
||||
|
|
@ -130,7 +130,7 @@
|
|||
"category": "Defensor",
|
||||
"description": "O Microsoft Defender para Nuvem fornece avaliação de vulnerabilidade para seus Bancos de Dados SQL do Azure. A avaliação de vulnerabilidades verifica seus bancos de dados em busca de vulnerabilidades de software e fornece uma lista de descobertas. Você pode usar as descobertas para corrigir vulnerabilidades de software e desabilitar as descobertas.",
|
||||
"guid": "c8c5f112-1e50-4f77-9264-8195b4cd61ac",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"link": "https://learn.microsoft.com/azure/defender-for-cloud/sql-azure-vulnerability-assessment-find?view=azuresql",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Avaliação de vulnerabilidade",
|
||||
"text": "Revisar regularmente as descobertas e recomendações da Avaliação de Vulnerabilidade (VA) e preparar um plano para corrigir"
|
||||
|
|
@ -139,7 +139,7 @@
|
|||
"category": "Encriptação",
|
||||
"description": "O Always Encrypted with Secure Enclaves expande os recursos de computação confidencial do Always Encrypted, permitindo criptografia in-loco e consultas confidenciais mais ricas. O Always Encrypted with Secure Enclaves aborda essas limitações, permitindo alguns cálculos em dados de texto sem formatação dentro de um enclave seguro no lado do servidor. O uso desse recurso é recomendado para os casos em que você precisa limitar o acesso de administrador e precisa que suas consultas ofereçam suporte a mais do que a correspondência de igualdade de colunas criptografadas.",
|
||||
"guid": "65d7e54a-10a6-4094-b673-9ff3809c9277",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/encryption/always-encrypted-enclaves",
|
||||
"severity": "Média",
|
||||
"subcategory": "Sempre criptografado",
|
||||
"text": "Se a proteção de dados PII confidenciais de usuários administradores for um requisito fundamental, mas as limitações da Criptografia de Coluna não puderem ser toleradas, considere a adoção do Always Encrypted with Secure Enclaves"
|
||||
|
|
@ -148,7 +148,7 @@
|
|||
"category": "Encriptação",
|
||||
"description": "Com o Banco de Dados SQL do Azure, você pode aplicar criptografia simétrica a uma coluna de dados usando Transact-SQL. Essa abordagem é chamada de criptografia de coluna, porque você pode usá-la para criptografar colunas específicas com chaves de criptografia diferentes. Isso oferece uma capacidade de criptografia mais granular do que o TDE, que criptografa dados em páginas. Usando Sempre Criptografado para garantir que dados confidenciais não sejam expostos em texto sem formatação no Banco de Dados SQL do Azure ou na Instância Gerenciada SQL, mesmo na memória/em uso. O Always Encrypted protege os dados de administradores de banco de dados (DBAs) e administradores de nuvem (ou agentes mal-intencionados que podem se passar por usuários com privilégios altos, mas não autorizados) e oferece mais controle sobre quem pode acessar seus dados.",
|
||||
"guid": "c03ce136-e3d5-4e17-bf25-ed955ee480d3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#control-access-of-application-users-to-sensitive-data-through-encryption",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Criptografia de coluna",
|
||||
"text": "Para proteger dados confidenciais de PII de usuários não administradores em colunas de tabela específicas, considere o uso de Criptografia de Coluna"
|
||||
|
|
@ -157,7 +157,7 @@
|
|||
"category": "Encriptação",
|
||||
"description": "Habilitada por padrão, a TDE (Transparent Data Encryption, criptografia transparente de dados) ajuda a proteger os arquivos de banco de dados contra a divulgação de informações, executando criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações 'em repouso', sem exigir alterações no aplicativo.",
|
||||
"guid": "c614ac47-bebf-4061-b0a1-43e0c6b5e00d",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-create-server",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Criptografia de dados transparente",
|
||||
"text": "Garantir que a Criptografia de Dados Transparente (TDE) seja mantida habilitada"
|
||||
|
|
@ -166,7 +166,7 @@
|
|||
"category": "Encriptação",
|
||||
"description": "Se for necessária a separação de funções no gerenciamento de chaves e dados dentro da organização, aproveite a CMK (Customer Managed Keys) para TDE (Transparent Data Encryption) para seu SQLDB do Azure e use o Cofre de Chaves do Azure para armazenar (consulte sua lista de verificação). Aproveite esse recurso quando você tiver requisitos de segurança rigorosos que não podem ser atendidos pelas chaves de serviço gerenciadas.",
|
||||
"guid": "2edb4165-4f54-47cc-a891-5c82c2f21e25",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/transparent-data-encryption-byok-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Criptografia de dados transparente",
|
||||
"text": "Use chaves gerenciadas pelo cliente (CMK) no Cofre de Chaves do Azure (AKV) se precisar de maior transparência e controle granular sobre a proteção TDE"
|
||||
|
|
@ -175,7 +175,7 @@
|
|||
"category": "Encriptação",
|
||||
"description": "A configuração de versão mínima de TLS (Transport Layer Security) permite que os clientes escolham qual versão do TLS seu banco de dados SQL usa. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.",
|
||||
"guid": "7754b605-57fd-4bcb-8213-52c39d8e8225",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?source=recommendations&view=azuresql&tabs=azure-portal#minimal-tls-version",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Segurança da camada de transporte",
|
||||
"text": "Impor a versão mínima do TLS à versão mais recente disponível"
|
||||
|
|
@ -184,7 +184,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "Use a autenticação do Azure Active Directory (Azure AD) para gerenciamento centralizado de identidades. Use a Autenticação SQL somente se realmente necessário e documente como exceções.",
|
||||
"guid": "c9b8b6bf-2c6b-453d-b400-de9a43a549d7",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Aproveitar a autenticação do Azure AD para conexões com os Bancos de Dados SQL do Azure"
|
||||
|
|
@ -193,7 +193,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "O uso de grupos do Azure AD simplifica o gerenciamento de permissões e tanto o proprietário do grupo quanto o proprietário do recurso podem adicionar/remover membros de/para o grupo. Crie um grupo separado para administradores do Azure AD para cada servidor lógico. Monitore as alterações de associação de grupo do Azure AD usando os relatórios de atividade de auditoria do Azure AD.",
|
||||
"guid": "29820254-1d14-4778-ae90-ff4aeba504a3",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#central-management-for-identities",
|
||||
"severity": "Média",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Criar um grupo separado do Azure AD com duas contas de administrador para cada servidor lógico do Banco de Dados SQL do Azure"
|
||||
|
|
@ -202,7 +202,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "Verifique se identidades gerenciadas atribuídas ao sistema e ao usuário distintas, dedicadas à função, com menos permissões atribuídas, sejam usadas para comunicação de serviços e aplicativos do Azure com os bancos de dados SQLDB do Azure.",
|
||||
"guid": "df3a09ee-03bb-4198-8637-d141acf5f289",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#minimize-the-use-of-password-based-authentication-for-applications",
|
||||
"severity": "Média",
|
||||
"subcategory": "Azure Active Directory",
|
||||
"text": "Minimizar o uso de autenticação baseada em senha para aplicativos"
|
||||
|
|
@ -211,7 +211,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "As identidades gerenciadas atribuídas pelo sistema ou pelo usuário permitem que o SQLDB do Azure se autentique em outros serviços de nuvem (por exemplo, Cofre da Chave do Azure) sem armazenar credenciais no código. Uma vez habilitadas, todas as permissões necessárias podem ser concedidas por meio do controle de acesso baseado em função do Azure para a instância SQLDB específica do Azure. Não compartilhe identidades gerenciadas atribuídas pelo usuário em vários serviços, se não for estritamente necessário.",
|
||||
"guid": "69891194-5074-4e30-8f69-4efc3c580900",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Identidades gerenciadas",
|
||||
"text": "Atribuir ao Banco de Dados SQL do Azure uma identidade gerenciada para acesso a recursos de saída"
|
||||
|
|
@ -220,7 +220,7 @@
|
|||
"category": "Identidade",
|
||||
"description": "Use uma autenticação integrada do Azure AD que elimina o uso de senhas. Os métodos de autenticação baseados em senha são uma forma mais fraca de autenticação. As credenciais podem ser comprometidas ou distribuídas por engano. Use a autenticação de logon único usando credenciais do Windows. Federar o domínio do AD local com o Azure AD e usar a autenticação integrada do Windows (para computadores ingressados no domínio com o Azure AD).",
|
||||
"guid": "88287d4a-8bb8-4640-ad78-03f51354d003",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/authentication-aad-configure?view=azuresql&tabs=azure-powershell#active-directory-integrated-authentication",
|
||||
"severity": "Média",
|
||||
"subcategory": "Senhas",
|
||||
"text": "Minimizar o uso de autenticação baseada em senha para usuários"
|
||||
|
|
@ -229,7 +229,7 @@
|
|||
"category": "Livro-razão",
|
||||
"description": "O hash do bloco mais recente no livro-razão do banco de dados é chamado de resumo do banco de dados. Ele representa o estado de todas as tabelas contábeis no banco de dados no momento em que o bloco foi gerado. Gerar um resumo de banco de dados é eficiente, porque envolve o cálculo apenas dos hashes dos blocos que foram anexados recentemente. O Razão Confidencial do Azure é um dos armazenamentos com suporte, pode ser usado e dá suporte à geração e ao armazenamento automáticos de resumos de banco de dados. O Azure Ledger fornece recursos de segurança avançados, como a Prova de Livro-Razão Blockchain e Enclaves de Hardware Confidenciais. Use-o somente se recursos de segurança avançados forem necessários, caso contrário, reverta para o armazenamento do Azure.",
|
||||
"guid": "0e853380-50ba-4bce-b2fd-5c7391c85ecc",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"link": "https://learn.microsoft.com/azure/architecture/guide/technology-choices/multiparty-computing-service#confidential-ledger-and-azure-blob-storage",
|
||||
"severity": "Média",
|
||||
"subcategory": "Resumo do banco de dados",
|
||||
"text": "Usar o Razão Confidencial do Azure para armazenar resumos de banco de dados somente se recursos de segurança avançados forem necessários"
|
||||
|
|
@ -238,7 +238,7 @@
|
|||
"category": "Livro-razão",
|
||||
"description": "O hash do bloco mais recente no livro-razão do banco de dados é chamado de resumo do banco de dados. Ele representa o estado de todas as tabelas contábeis no banco de dados no momento em que o bloco foi gerado. Gerar um resumo de banco de dados é eficiente, porque envolve o cálculo apenas dos hashes dos blocos que foram anexados recentemente. O recurso Armazenamento de Blobs do Azure com Armazenamento Imutável pode ser usado e dá suporte à geração e ao armazenamento automáticos de resumos de banco de dados. Para evitar a violação de seus arquivos de resumo, configure e bloqueie uma política de retenção para seu contêiner.",
|
||||
"guid": "afefb2d3-95da-4ac9-acf5-33d18b32ef9a",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-digest-management",
|
||||
"severity": "Média",
|
||||
"subcategory": "Resumo do banco de dados",
|
||||
"text": "Se a conta de armazenamento do Azure for usada para armazenar resumos de banco de dados, verifique se a segurança está configurada corretamente"
|
||||
|
|
@ -247,7 +247,7 @@
|
|||
"category": "Livro-razão",
|
||||
"description": "O Ledger fornece uma forma de integridade de dados chamada integridade direta, que fornece evidências de adulteração de dados em dados em suas tabelas contábeis. O processo de verificação do banco de dados leva como entrada um ou mais resumos de banco de dados gerados anteriormente. Em seguida, ele recalcula os hashes armazenados no livro-razão do banco de dados com base no estado atual das tabelas contábeis. Se os hashes computados não corresponderem aos resumos de entrada, a verificação falhará. A falha indica que os dados foram adulterados. O processo de verificação relata todas as inconsistências que detecta.",
|
||||
"guid": "f8d4ffda-8aac-4cc6-b72b-c81cb8625420",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-database-verification",
|
||||
"severity": "Média",
|
||||
"subcategory": "Integridade",
|
||||
"text": "Agende o processo de verificação do Ledger regularmente para verificar a integridade dos dados"
|
||||
|
|
@ -256,7 +256,7 @@
|
|||
"category": "Livro-razão",
|
||||
"description": "O recurso Ledger fornece recursos de evidência de violação em seu banco de dados. Você pode atestar criptograficamente a outras partes, como auditores ou outras partes comerciais, que seus dados não foram adulterados. O Ledger ajuda a proteger os dados de qualquer invasor ou usuário com alto privilégio, incluindo administradores de banco de dados (DBAs), administradores de sistema e administradores de nuvem.",
|
||||
"guid": "2563f498-e2d3-42ea-9e7b-5517881a06a2",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Livro-razão",
|
||||
"text": "Se a prova criptográfica da integridade dos dados for um requisito crítico, o recurso Ledger deve ser considerado"
|
||||
|
|
@ -265,7 +265,7 @@
|
|||
"category": "Livro-razão",
|
||||
"description": "Dependendo do tipo de adulteração, há casos em que você pode reparar o livro-razão sem perder dados. No artigo contido na coluna --Mais informações-, diferentes cenários e técnicas de recuperação são descritos.",
|
||||
"guid": "804fc554-6554-4842-91c1-713b32f99902",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/security/ledger/ledger-how-to-recover-after-tampering",
|
||||
"severity": "Média",
|
||||
"subcategory": "Recuperação",
|
||||
"text": "Preparar um plano de resposta para investigar e reparar um banco de dados após um evento de violação"
|
||||
|
|
@ -274,7 +274,7 @@
|
|||
"category": "Log",
|
||||
"description": "A Auditoria do Banco de Dados SQL do Azure rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure. A auditoria ajuda você a entender a atividade do banco de dados e a obter informações sobre discrepâncias e anomalias que podem indicar preocupações comerciais ou suspeitas de violações de segurança, além de ajudá-lo a atender à conformidade normativa. Por padrão, a diretiva de auditoria inclui todas as ações (consultas, procedimentos armazenados e logons bem-sucedidos e com falha) nos bancos de dados, o que pode resultar em alto volume de logs de auditoria. É recomendável que os clientes configurem a auditoria para diferentes tipos de ações e grupos de ações usando o PowerShell.",
|
||||
"guid": "4082e31d-35f4-4a49-8507-d3172cc930a6",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Auditoria",
|
||||
"text": "Verifique se a Auditoria do Banco de Dados SQL do Azure está habilitada no nível do servidor"
|
||||
|
|
@ -283,7 +283,7 @@
|
|||
"category": "Log",
|
||||
"description": "Os logs de Auditoria do Banco de Dados SQL do Azure podem ser gravados em contas de armazenamento externas, no espaço de trabalho do Log Analytics ou no Hub de Eventos. Certifique-se de proteger o repositório de destino usando backups e configuração segura. Use a Identidade Gerenciada do Banco de Dados SQL do Azure para acessar o armazenamento e definir um período de retenção explícito. Não conceda permissões aos administradores para o repositório de log de auditoria. Use um armazenamento de destino diferente para --Habilitando a auditoria das operações de suporte da Microsoft--. ",
|
||||
"guid": "9b64bc50-b60f-4035-bf7a-28c4806dfb46",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Auditoria",
|
||||
"text": "Verifique se os logs de Auditoria do Banco de Dados SQL do Azure são copiados e protegidos no tipo de repositório selecionado"
|
||||
|
|
@ -292,7 +292,7 @@
|
|||
"category": "Log",
|
||||
"description": "O log de atividades do Azure Monitor é um log de plataforma no Azure que fornece informações sobre eventos de nível de assinatura. O registro de atividades inclui informações como quando um recurso é modificado. É recomendável enviar esse log de atividades para o mesmo repositório de armazenamento externo que o Log de Auditoria do Banco de Dados SQL do Azure (conta de armazenamento, espaço de trabalho Análise de Log, Hub de Eventos).",
|
||||
"guid": "fcd34708-87ac-4efc-aaf6-57a47f76644a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Média",
|
||||
"subcategory": "Auditoria",
|
||||
"text": "Verifique se o Log de Atividades do Banco de Dados SQL do Azure é coletado e integrado aos logs de Auditoria"
|
||||
|
|
@ -301,7 +301,7 @@
|
|||
"category": "Log",
|
||||
"description": "Encaminhe todos os logs do SQL do Azure para o SIEM (Gerenciamento de Informações e Eventos de Segurança) e SOAR (Automação e Resposta de Orquestração de Segurança). Verifique se você está monitorando diferentes tipos de ativos do Azure em busca de possíveis ameaças e anomalias. Concentre-se em receber alertas de alta qualidade para reduzir os falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de log, agentes ou outros dados.",
|
||||
"guid": "f96e127e-9572-453a-b325-ff89ae9f6b44",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/auditing-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/auditing-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Verifique se os logs de Auditoria do Banco de Dados SQL do Azure estão sendo apresentados no SIEM/SOAR de suas organizações"
|
||||
|
|
@ -310,7 +310,7 @@
|
|||
"category": "Log",
|
||||
"description": "Encaminhe todos os logs do SQL do Azure para o SIEM (Gerenciamento de Informações e Eventos de Segurança) e SOAR (Automação e Resposta de Orquestração de Segurança), que podem ser usados para configurar detecções de ameaças personalizadas. Verifique se você está monitorando diferentes tipos de ativos do Azure em busca de possíveis ameaças e anomalias. Concentre-se em receber alertas de alta qualidade para reduzir os falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de log, agentes ou outros dados.",
|
||||
"guid": "41503bf8-73da-4a10-af9f-5f7fceb5456f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Média",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Verifique se os dados do Log de Atividades do Banco de Dados SQL do Azure são apresentados em seu SIEM/SOAR"
|
||||
|
|
@ -319,7 +319,7 @@
|
|||
"category": "Log",
|
||||
"description": "A equipe do Centro de Operações de Segurança (SOC) deve criar um plano de resposta a incidentes (manuais ou respostas manuais) para investigar e mitigar adulterações, atividades maliciosas e outros comportamentos anômalos.",
|
||||
"guid": "19ec7c97-c563-4e1d-82f0-54d6ec12e754",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log",
|
||||
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
|
||||
"severity": "Média",
|
||||
"subcategory": "SIEM/SOAR",
|
||||
"text": "Verifique se você tem planos de resposta para eventos de log de auditoria mal-intencionados ou aberrantes"
|
||||
|
|
@ -328,7 +328,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Quando você cria um servidor lógico a partir do portal do Azure para o Banco de Dados SQL do Azure, o resultado é um ponto de extremidade público que é visível e acessível pela rede pública (Acesso Público). Em seguida, você pode limitar a conectividade com base nas regras de firewall e no Ponto de Extremidade de Serviço. Você também pode configurar a conectividade privada limitando apenas as conexões a redes internas usando o Ponto de Extremidade Privado (Acesso Privado). O Acesso Privado usando o Ponto de Extremidade Privado deve ser o padrão, a menos que se aplique um caso de negócios ou um motivo de desempenho/técnico que não possa suportá-lo. O uso de pontos de extremidade privados tem implicações de desempenho que precisam ser consideradas e avaliadas.",
|
||||
"guid": "2c6d356a-1784-475b-a42c-ec187dc8c925",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Conectividade",
|
||||
"text": "Revise os métodos de conectividade de Acesso Público versus Privado e selecione o apropriado para a carga de trabalho"
|
||||
|
|
@ -337,7 +337,7 @@
|
|||
"category": "Rede",
|
||||
"description": "IMPORTANTE: As conexões com o ponto de extremidade privado oferecem suporte apenas ao Proxy como a política de conexão. Ao usar pontos de extremidade privados, as conexões são intermediadas por proxy por meio do gateway do Banco de Dados SQL do Azure para os nós do banco de dados. Os clientes não terão uma conexão direta.",
|
||||
"guid": "557b3ce5-bada-4296-8d52-a2d447bc1718",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/connectivity-architecture",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/connectivity-architecture",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Conectividade",
|
||||
"text": "Manter a Política de Conexão do Banco de Dados SQL do Azure padrão se não for exigida e justificada de forma diferente"
|
||||
|
|
@ -346,7 +346,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Essa opção configura o firewall para permitir todas as conexões do Azure, incluindo conexões das assinaturas de outros clientes. Se você selecionar essa opção, verifique se as permissões de login e de usuário limitam o acesso somente a usuários autorizados. Se não for estritamente necessário, mantenha essa configuração como OFF.",
|
||||
"guid": "f48efacf-4405-4e8d-9dd0-16c5302ed082",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Conectividade",
|
||||
"text": "Verifique se a configuração Permitir que os Serviços e Recursos do Azure acessem este Servidor está desabilitada no firewall do Banco de Dados SQL do Azure"
|
||||
|
|
@ -355,7 +355,7 @@
|
|||
"category": "Rede",
|
||||
"description": "O Banco de Dados SQL do Azure tem um novo recurso interno que permite a integração nativa com pontos de extremidade REST externos. Isso significa que a integração do Banco de Dados SQL do Azure com o Azure Functions, os Aplicativos Lógicos do Azure, os Serviços Cognitivos, os Hubs de Eventos, a Grade de Eventos, os Contêineres do Azure, o Gerenciamento de API e, em geral, qualquer ponto de extremidade REST ou mesmo GraphQL. Se não for restringido corretamente, o código dentro de um banco de dados do Banco de Dados SQL do Azure poderá aproveitar esse mecanismo para exfiltrar dados. Se não for estritamente necessário, recomenda-se bloquear ou restringir esse recurso usando as Regras de Firewall de Saída.",
|
||||
"guid": "cb3274a7-e36d-46f6-8de5-46d30c8dde8e",
|
||||
"link": "https://learn.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"link": "https://learn.microsoft.com/sql/relational-databases/system-stored-procedures/sp-invoke-external-rest-endpoint-transact-sql",
|
||||
"severity": "Média",
|
||||
"subcategory": "Controle de saída",
|
||||
"text": "Bloquear ou restringir chamadas de API REST de saída para pontos de extremidade externos"
|
||||
|
|
@ -364,7 +364,7 @@
|
|||
"category": "Rede",
|
||||
"description": "As regras de firewall de saída limitam o tráfego de rede do servidor lógico do Banco de Dados SQL do Azure a uma lista definida pelo cliente de contas de Armazenamento do Azure e servidores lógicos do Banco de Dados SQL do Azure. Qualquer tentativa de acessar contas de armazenamento ou bancos de dados que não estejam nessa lista é negada.",
|
||||
"guid": "a566dd3d-314e-4a94-9378-102c42d82b38",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/outbound-firewall-rule-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Controle de saída",
|
||||
"text": "Se o acesso à rede de saída for necessário, é recomendável configurar restrições de rede de saída usando o recurso de controle interno do Banco de Dados SQL do Azure"
|
||||
|
|
@ -373,7 +373,7 @@
|
|||
"category": "Rede",
|
||||
"description": "O Ponto de Extremidade Privado é criado dentro de uma sub-rede em uma Rede Virtual do Azure. A configuração de segurança adequada deve ser aplicada também ao ambiente de rede que o contém, incluindo NSG/ASG, UDR, firewall, monitoramento e auditoria.",
|
||||
"guid": "246cd832-f550-4af0-9c74-ca9baeeb8860",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "Média",
|
||||
"subcategory": "Acesso Privado",
|
||||
"text": "Se a conectividade de Acesso Privado for usada, verifique se você está usando as listas de verificação Ponto de Extremidade Privado, Rede Virtual do Azure, Firewall do Azure e Grupo de Segurança de Rede do Azure"
|
||||
|
|
@ -382,7 +382,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Ao adicionar uma conexão de Ponto de Extremidade Privado, o roteamento público para o servidor lógico não é bloqueado por padrão. No painel --Firewall e redes virtuais-- , a configuração --Negar acesso à rede pública-- não está selecionada por padrão. Para desabilitar o acesso à rede pública, certifique-se de selecionar --Negar acesso à rede pública--.",
|
||||
"guid": "3a0808ee-ea7a-47ab-bdce-920a6a2b3881",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/private-endpoint-overview?view=azuresql#disable-public-access-to-your-logical-server",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acesso Privado",
|
||||
"text": "Se o Ponto de Extremidade Privado (Acesso Privado) for usado, considere desabilitar a conectividade do Acesso Público"
|
||||
|
|
@ -391,7 +391,7 @@
|
|||
"category": "Rede",
|
||||
"description": "O NSG (Grupo de Segurança de Rede) e o ASG (Grupo de Segurança de Aplicativo) agora podem ser aplicados à sub-rede que contém Pontos de Extremidade Privados para restringir as conexões com o SQLDB do Azure com base em intervalos de IP de origem interna.",
|
||||
"guid": "8600527e-e8c4-4424-90ef-1f0dca0224f2",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"link": "https://learn.microsoft.com/azure/private-link/private-endpoint-overview#network-security-of-private-endpoints",
|
||||
"severity": "Média",
|
||||
"subcategory": "Acesso Privado",
|
||||
"text": "Se o Ponto de Extremidade Privado (Acesso Privado) for usado, aplique o NSG e, eventualmente, o ASG para limitar os intervalos de endereços IP de origem de entrada"
|
||||
|
|
@ -400,7 +400,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Uma Instância Gerenciada (SQL MI) pode ser isolada dentro de uma rede virtual para impedir o acesso externo. Aplicativos e ferramentas que estão na mesma rede virtual ou emparelhada na mesma região podem acessá-la diretamente. Aplicativos e ferramentas que estão em regiões diferentes podem usar a conexão de rede virtual para rede virtual ou o emparelhamento de circuitos da Rota Expressa para estabelecer a conexão. O cliente deve usar NSG (Network Security Groups) e, eventualmente, firewalls internos, para restringir o acesso pela porta 1433 apenas a recursos que exijam acesso a uma instância gerenciada.",
|
||||
"guid": "18123ef4-a0a6-45e3-87fe-7f454f65d975",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/connectivity-architecture-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Acesso Privado",
|
||||
"text": "Aplicar NSG (Grupos de Segurança de Rede) e regras de firewall para restringir o acesso à sub-rede interna da Instância Gerenciada SQL do Azure"
|
||||
|
|
@ -409,7 +409,7 @@
|
|||
"category": "Rede",
|
||||
"description": "O Ponto de Extremidade do Serviço de Rede Virtual do Azure é a solução preferida se você quiser estabelecer uma conexão direta com os nós de back-end do Banco de Dados SQL do Azure usando a política de Redireccionamento. Isso permitirá o acesso no modo de alto desempenho e é a abordagem recomendada do ponto de vista do desempenho.",
|
||||
"guid": "55187443-6852-4fbd-99c6-ce303597ca7f",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview?view=azuresql#ip-vs-virtual-network-firewall-rules",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acesso Público",
|
||||
"text": "Se a conectividade de Acesso Público for usada, aproveite o Ponto de Extremidade de Serviço para restringir o acesso de Redes Virtuais do Azure selecionadas"
|
||||
|
|
@ -418,7 +418,7 @@
|
|||
"category": "Rede",
|
||||
"description": "O firewall do Banco de Dados SQL do Azure permite que você especifique intervalos de endereços IP dos quais as comunicações são aceitas. Essa abordagem é adequada para endereços IP estáveis que estão fora da rede privada do Azure.",
|
||||
"guid": "a73e32da-b3f4-4960-b5ec-2f42a557bf31",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/network-access-controls-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/network-access-controls-overview",
|
||||
"severity": "Média",
|
||||
"subcategory": "Acesso Público",
|
||||
"text": "Se a conectividade de Acesso Público for usada, verifique se apenas IPs conhecidos específicos são adicionados ao firewall"
|
||||
|
|
@ -427,7 +427,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Recomendamos que você use regras de firewall IP no nível do banco de dados sempre que possível. Essa prática aumenta a segurança e torna seu banco de dados mais portátil. Use regras de firewall IP no nível do servidor para administradores. Use-os também quando tiver muitos bancos de dados com os mesmos requisitos de acesso e não quiser configurar cada banco de dados individualmente.",
|
||||
"guid": "e0f31ac9-35c8-4bfd-9865-edb60ffc6768",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/firewall-configure",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/firewall-configure",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Acesso Público",
|
||||
"text": "Se a conectividade do Acesso Público for usada e controlada pelas regras de firewall do Banco de Dados SQL do Azure, use regras IP no nível do banco de dados sobre as regras IP no nível do servidor"
|
||||
|
|
@ -436,7 +436,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Uma Instância Gerenciada (SQL MI) pode ser isolada dentro de uma rede virtual para impedir o acesso externo. O ponto de extremidade público da Instância Gerenciada não está habilitado por padrão, deve ser explicitamente habilitado, somente se estritamente necessário. Se a política da empresa não permitir o uso de pontos de extremidade públicos, use a Política do Azure para impedir a habilitação de pontos de extremidade públicos em primeiro lugar.",
|
||||
"guid": "b8435656-143e-41a8-9922-61d34edb751a",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acesso Público",
|
||||
"text": "Não habilitar o ponto de extremidade público da Instância Gerenciada SQL do Azure"
|
||||
|
|
@ -445,7 +445,7 @@
|
|||
"category": "Rede",
|
||||
"description": "Um ponto de extremidade público de Instância Gerenciada (SQL MI) não está habilitado por padrão, deve ser explicitamente habilitado, somente se estritamente necessário. Nesse caso, recomenda-se aplicar um NSG (Network Security Groups) para restringir o acesso à porta 3342 somente a endereços IP de origem confiáveis.",
|
||||
"guid": "057dd298-8726-4aa6-b590-1f81d2e30421",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/managed-instance/public-endpoint-overview",
|
||||
"severity": "Alto",
|
||||
"subcategory": "Acesso Público",
|
||||
"text": "Restringir o acesso se o ponto de extremidade público da Instância Gerenciada SQL do Azure for necessário"
|
||||
|
|
@ -454,7 +454,7 @@
|
|||
"category": "Acesso privilegiado",
|
||||
"description": "A maioria das operações, suporte e solução de problemas executados pelo pessoal e subprocessadores da Microsoft não requer acesso aos dados do cliente. Nas raras circunstâncias em que esse acesso é necessário, o Customer Lockbox para Microsoft Azure fornece uma interface para que os clientes analisem e aprovem ou rejeitem solicitações de acesso a dados de clientes. Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Banco de Dados SQL do Azure dá suporte ao Customer Lockbox para fornecer uma interface para que você revise e aprove ou rejeite solicitações de acesso a dados do cliente.",
|
||||
"guid": "37b6eb0f-553d-488f-8a8a-cb9bf97388ff",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"link": "https://learn.microsoft.com/azure/security/fundamentals/customer-lockbox-overview",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Cofre",
|
||||
"text": "Revisar e habilitar o acesso do Customer Lockbox para o Banco de Dados SQL do Azure pelo pessoal da Microsoft"
|
||||
|
|
@ -463,7 +463,7 @@
|
|||
"category": "Acesso privilegiado",
|
||||
"description": "O princípio do privilégio mínimo afirma que os usuários não devem ter mais privilégios do que o necessário para concluir suas tarefas. Os usuários de banco de dados e servidor com alto privilégio podem executar muitas atividades de configuração e manutenção no banco de dados e também podem descartar bancos de dados na instância SQL do Azure. Rastrear proprietários de bancos de dados e contas privilegiadas é importante para evitar ter permissão excessiva.",
|
||||
"guid": "5fe5281f-f0f9-4842-a682-8baf18bd8316",
|
||||
"link": "https://learn.microsoft.com/en-us/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"link": "https://learn.microsoft.com/azure/azure-sql/database/security-best-practice?view=azuresql#implement-principle-of-least-privilege",
|
||||
"severity": "Média",
|
||||
"subcategory": "Permissões",
|
||||
"text": "Certifique-se de que os usuários recebam o nível mínimo de acesso necessário para concluir suas funções de trabalho"
|
||||
|
|
@ -472,7 +472,7 @@
|
|||
"category": "Acesso privilegiado",
|
||||
"description": "As identidades (Usuários e SPNs) devem ter o escopo da menor quantidade de acesso necessária para executar a função. Um número maior de SPNs com escopo restrito deve ser usado, em vez de ter um SPN com vários conjuntos de permissões não relacionadas. Por exemplo, se houver três aplicativos Web externos hospedados no local que fazem consultas ao Banco de Dados SQL do Azure, nem todos eles devem usar o mesmo SPN para essas atividades. Em vez disso, cada um deles deve ter seu próprio SPN de escopo rígido.",
|
||||
"guid": "7b5b55e5-4750-4920-be97-eb726c256a5c",
|
||||
"link": "https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"link": "https://learn.microsoft.com/security/benchmark/azure/baselines/sql-database-security-baseline#im-3-use-azure-ad-single-sign-on-sso-for-application-access",
|
||||
"severity": "Baixo",
|
||||
"subcategory": "Permissões",
|
||||
"text": "Verifique se aplicativos distintos receberão credenciais diferentes com permissões mínimas para acessar o Banco de Dados SQL do Azure"
|
||||
|
|
|
|||
|
|
@ -11,7 +11,7 @@ The script [checklist_graph.sh](./checklist_graph.sh) can do the automated graph
|
|||
> :warning: ***The `checklist_graph.sh` script must be run from a Bash environment shell. If you are using Azure Cloud Shell be sure to select the correct environment.***
|
||||
|
||||
> Note: In case you are in the context of a private AKS cluster (API server is private), there is no restriction to use Azure Cloud Shell to run the `checklist_graph.sh` script.
|
||||
> Make sure that the identity (the one Azure Cloud Shell uses) used to execute the checklist_graph script, [has appropriate rights in Azure RBAC with at least read access to the resources you want to query](https://learn.microsoft.com/en-us/azure/governance/resource-graph/overview#permissions-in-azure-resource-graph) (in this case AKS cluster(s)).
|
||||
> Make sure that the identity (the one Azure Cloud Shell uses) used to execute the checklist_graph script, [has appropriate rights in Azure RBAC with at least read access to the resources you want to query](https://learn.microsoft.com/azure/governance/resource-graph/overview#permissions-in-azure-resource-graph) (in this case AKS cluster(s)).
|
||||
> Without at least read permissions to the Azure object or object group, results won't be returned.
|
||||
> The script just queries the Azure Resource Graph API and does not communicate with the API Server(s) of your clusters(s).
|
||||
|
||||
|
|
|
|||
|
|
@ -76,9 +76,9 @@ Private Declare Function utc_feof Lib "libc.dylib" Alias "feof" _
|
|||
|
||||
#ElseIf VBA7 Then
|
||||
|
||||
' http://msdn.microsoft.com/en-us/library/windows/desktop/ms724421.aspx
|
||||
' http://msdn.microsoft.com/en-us/library/windows/desktop/ms724949.aspx
|
||||
' http://msdn.microsoft.com/en-us/library/windows/desktop/ms725485.aspx
|
||||
' http://msdn.microsoft.com/library/windows/desktop/ms724421.aspx
|
||||
' http://msdn.microsoft.com/library/windows/desktop/ms724949.aspx
|
||||
' http://msdn.microsoft.com/library/windows/desktop/ms725485.aspx
|
||||
Private Declare PtrSafe Function utc_GetTimeZoneInformation Lib "kernel32" Alias "GetTimeZoneInformation" _
|
||||
(utc_lpTimeZoneInformation As utc_TIME_ZONE_INFORMATION) As Long
|
||||
Private Declare PtrSafe Function utc_SystemTimeToTzSpecificLocalTime Lib "kernel32" Alias "SystemTimeToTzSpecificLocalTime" _
|
||||
|
|
@ -691,7 +691,7 @@ Private Function json_Encode(ByVal json_Text As Variant) As String
|
|||
|
||||
' When AscW returns a negative number, it returns the twos complement form of that number.
|
||||
' To convert the twos complement notation into normal binary notation, add 0xFFF to the return result.
|
||||
' https://support.microsoft.com/en-us/kb/272138
|
||||
' https://support.microsoft.com/kb/272138
|
||||
If json_AscCode < 0 Then
|
||||
json_AscCode = json_AscCode + 65536
|
||||
End If
|
||||
|
|
|
|||
Загрузка…
Ссылка в новой задаче