数据安全建议
本文列出了 Microsoft Defender for Cloud 中可能会显示的所有数据安全建议。
环境中显示的建议基于要保护的资源和自定义配置。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
提示
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅用于基本建议可简化策略管理。
Azure 数据建议
(必要时启用)Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/cosmosdb-cmk,了解有关 CMK 加密的详细信息。 (相关策略:Azure Cosmos DB 帐户应使用客户管理的密钥对数据进行静态加密)。
严重性:低
(必要时启用)Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥 (CMK) 管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/azureml-workspaces-cmk,了解有关 CMK 加密的详细信息。 (相关策略:应使用客户管理的密钥 (CMK) 对 Azure 机器学习工作区进行加密)。
严重性:低
(必要时启用)MySQL 服务器应使用客户管理的密钥来加密静态数据
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 (相关策略:应为 MySQL 服务器启用自带密钥数据保护)。
严重性:低
(必要时启用)PostgreSQL 服务器应使用客户管理的密钥来加密静态数据
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 (相关策略:应为 PostgreSQL 服务器启用自带密钥数据保护)。
严重性:低
(必要时启用)SQL 托管实例应使用客户管理的密钥来加密静态数据
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 (相关策略:SQL 托管实例应使用客户管理的密钥对数据进行静态加密)。
严重性:低
(必要时启用)SQL 服务器应使用客户管理的密钥来加密静态数据
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 (相关策略:SQL Server 应使用客户管理的密钥对数据进行静态加密)。
严重性:低
(必要时启用)存储帐户应使用客户管理的密钥 (CMK) 进行加密
说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥 (CMK) 更灵活地保护存储帐户。 指定 CMK 时,该密钥会用于保护和控制对加密数据的密钥的访问。 使用 CMK 可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 (相关策略:存储帐户应使用客户管理的密钥 (CMK) 进行加密)。
严重性:低
应在 SQL 托管实例的高级数据安全设置中启用所有高级威胁防护类型
说明:建议在 SQL 托管实例上启用所有高级威胁防护类型。 启用所有类型可以防范 SQL 注入、数据库漏洞和任何其他异常活动。 (无相关策略)
严重性:中等
应在 SQL Server 的高级数据安全设置中启用所有高级威胁防护类型
说明:建议在 SQL 服务器上启用所有高级威胁防护类型。 启用所有类型可以防范 SQL 注入、数据库漏洞和任何其他异常活动。 (无相关策略)
严重性:中等
API 管理服务应使用虚拟网络
说明:Azure 虚拟网络部署提供了增强的安全性和隔离性,并允许将 API 管理服务放置在控制访问权限的非 Internet 可路由的网络中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 (相关策略:API 管理服务应使用虚拟网络)。
严重性:中等
应用程序配置应使用专用链接
说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 (相关策略:应用程序配置应使用专用链接)。
严重性:中等
应将 SQL Server 的审核保留设置为至少 90 天
说明:审核配置的审核保持期少于 90 天的 SQL 服务器。 (相关策略:SQL Server 应配置有 90 天或更长时间的审核保留期。)
严重性:低
应启用 SQL 服务器上的审核
说明:在 SQL Server 上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 (相关策略:应启用 SQL Server 上的审核)。
严重性:低
订阅应启用 Log Analytics 代理自动预配
说明:若要监视安全漏洞和威胁,Microsoft Defender for Cloud 会从 Azure 虚拟机 (VM) 收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 (相关策略:应为订阅启用自动预配 Log Analytics 代理)。
严重性:低
Azure Cache for Redis 应驻留在虚拟网络中
说明:Azure 虚拟网络 (VNet) 部署为 Azure Cache for Redis 缓存以及子网、访问控制策略和其他功能提供增强的安全性和隔离,以进一步限制访问。 为 Azure Redis 缓存实例配置了 VNet 后,该实例不可公开寻址,而只能从 VNet 中的虚拟机和应用程序进行访问。 (相关策略:Azure Cache for Redis 应驻留在虚拟网络中)。
严重性:中等
Azure Database for MySQL 应预配 Azure Active Directory 管理员
说明:为 Azure Database for MySQL 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 Azure AD 身份验证可简化权限管理和数据库用户和其他 Microsoft 服务的集中标识管理(相关策略:应为 MySQL 服务器预配 Azure Active Directory 管理员)。
严重性:中等
Azure Database for PostgreSQL 应预配 Azure Active Directory 管理员
说明:为 Azure Database for PostgreSQL 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理
(相关策略:应为 PostgreSQL 服务器预配 Azure Active Directory 管理员)。
严重性:中等
Azure Cosmos DB 帐户应有防火墙规则
说明:应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 (相关策略:Azure Cosmos DB 帐户应有防火墙规则)。
严重性:中等
Azure 事件网格域应使用专用链接
说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 (相关策略:Azure 事件网格域应使用专用链接)。
严重性:中等
Azure 事件网格主题应使用专用链接
说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 (相关策略:Azure 事件网格主题应使用专用链接)。
严重性:中等
Azure 机器学习工作区应使用专用链接
说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/azureml-workspaces-privatelink。 (相关策略:Azure 机器学习工作区应使用专用链接)。
严重性:中等
Azure SignalR 服务应使用专用链接
说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 SignalR 资源(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/asrs/privatelink。 (相关策略:Azure SignalR 服务应使用专用链接)。
严重性:中等
Azure Spring Cloud 应使用网络注入
说明:Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1。 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 (相关策略:Azure Spring Cloud 应使用网络注入)。
严重性:中等
应为 SQL Server 预配 Azure Active Directory 管理员
说明:为 SQL Server 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理。 (相关策略:应为 SQL Server 预配 Azure Active Directory 管理员)。
严重性:高
Azure Synapse 工作区身份验证模式应已为仅 Azure Active Directory
说明:Azure Synapse 工作区身份验证模式应为仅限 Azure Active Directory。仅限 Azure Active Directory 身份验证方法通过确保 Synapse 工作区仅要求 Azure AD 标识进行身份验证来提高安全性。 了解详细信息。 (相关策略:Synapse 工作区应仅使用 Azure Active Directory 标识进行身份验证)。
严重性:中等
代码存储库应处理代码扫描结果
说明:Defender for DevOps 在代码存储库中发现了漏洞。 若要改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略)
严重性:中等
代码存储库应处理 Dependabot 扫描结果
说明:Defender for DevOps 在代码存储库中发现了漏洞。 若要改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略)
严重性:中等
与处理代码扫描结果一样,代码存储库应处理基础结构调查结果
说明:Defender for DevOps 发现基础结构是存储库中的代码安全配置问题。 在模板文件中已检测到以下问题。 若要改善相关云资源的安全状况,强烈建议修复这些问题。 (无相关策略)
严重性:中等
代码存储库应处理机密扫描结果
说明:Defender for DevOps 在代码存储库中发现了机密。 应立即修正此问题以防止安全漏洞。 在存储库中发现的机密可能会被泄露或被攻击者发现,导致应用程序或服务遭到入侵。 对于 Azure DevOps,Microsoft Security DevOps CredScan 工具仅扫描它配置为运行的生成。 因此,结果可能无法反映存储库中机密的完整状态。 (无相关策略)
严重性:高
认知服务帐户应启用数据加密
说明:此策略审核未使用数据加密的任何认知服务帐户。 对于具有存储的各个帐户,应启用使用客户管理的密钥或 Microsoft 管理的密钥的数据加密。 (相关策略:认知服务帐户应启用数据加密)。
严重性:低
认知服务帐户应使用客户自有存储或启用数据加密
说明:此策略审核未使用客户自有存储或数据加密的任何认知服务帐户。 对于具有存储的各个认知服务帐户,应使用客户自有存储或启用数据加密。 与 Microsoft 云安全基准保持一致。 (相关策略:认知服务帐户应使用客户自有存储或启用数据加密。)
严重性:低
应启用 Azure Data Lake Store 的诊断日志
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Azure Data Lake Store 中的诊断日志)。
严重性:低
应启用 Data Lake Analytics 的诊断日志
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Data Lake Analytics 中的诊断日志)。
严重性:低
应启用高严重性警报的电子邮件通知
说明:请在 Defender for Cloud 中启用对高严重性警报的电子邮件通知,以确保在其中一个订阅存在潜在安全漏洞时,组织中的相关人员会收到通知。 (相关策略:应启用高严重性警报的电子邮件通知)。
严重性:低
应启用向订阅所有者发送高严重性警报的电子邮件通知
说明:请在 Defender for Cloud 中设置对订阅所有者的高严重性警报的电子邮件通知,以确保在订阅所有者的订阅存在潜在安全漏洞时,向其发出通知。 (相关策略:应启用发送给订阅所有者的高严重性警报的电子邮件通知)。
严重性:中等
应为 MySQL 数据库服务器启用“强制 SSL 连接”
说明:Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 (相关策略:应为 MySQL 数据库服务器启用强制执行 SSL 连接)。
严重性:中等
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”
说明:Azure Database for PostgreSQL 支持使用安全套接字层 (SSL) 将 Azure Database for PostgreSQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 (相关策略:应为 PostgreSQL 数据库服务器启用强制执行 SSL 连接)。
严重性:中等
函数应用应已解决漏洞发现结果
说明:函数运行时漏洞扫描会扫描函数应用是否存在安全漏洞,并公开详细的发现。 修复这些漏洞可以极大地改善无服务器应用程序的安全状况,并保护其不受攻击影响。 (无相关策略)
严重性:高
应为 Azure Database for MariaDB 启用异地冗余备份
说明:通过 Azure Database for MariaDB,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for MariaDB 启用异地冗余备份)。
严重性:低
应为 Azure Database for MySQL 启用异地冗余备份
说明:通过 Azure Database for MySQL,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for MySQL 启用异地冗余备份)。
严重性:低
应为 Azure Database for PostgreSQL 启用异地冗余备份
说明:通过 Azure Database for PostgreSQL,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for PostgreSQL 启用异地冗余备份)。
严重性:低
GitHub 存储库应启用代码扫描
说明:GitHub 使用代码扫描分析代码,以便查找代码中的安全漏洞和错误。 代码扫描可用于查找、会审和优先排列代码中现有问题的修复。 代码扫描还可防止开发人员引入新问题。 扫描可安排在特定的日期和时间,也可以在存储库中发生特定事件(例如推送)时触发。 如果代码扫描发现代码中的潜在漏洞或错误,GitHub 会在存储库中显示警报。 漏洞是项目代码中的问题,可能被人利用来损害项目的机密性、完整性或可用性。 (无相关策略)
严重性:中等
GitHub 存储库应启用 Dependabot 扫描
说明:GitHub 在检测到影响存储库的代码依赖项中的漏洞时发送 Dependabot 警报。 漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。 代码依赖于具有安全性漏洞的包时,这种易受攻击的依赖项会导致一系列问题。 (无相关策略)
严重性:中等
GitHub 存储库应启用机密扫描
说明:GitHub 扫描存储库中已知类型的机密,以防止对意外提交到存储库的机密的欺诈性使用。 机密扫描将扫描 GitHub 存储库中存在的所有分支上的整个 Git 历史记录,以查找任何机密。 机密的示例包括服务提供程序为进行身份验证而颁发的令牌和私钥。 如果将机密签入存储库,任何对存储库具有读取权限的人都可以使用该机密和这些权限访问外部服务。 机密应存储在项目存储库外部的专用、安全位置。 (无相关策略)
严重性:高
应启用适用于 Azure SQL 数据库服务器的 Microsoft Defender
说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它包括以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对数据库产生威胁的异常活动以及发现敏感数据并对其进行分类。
此计划的保护按 Defender 计划页上所示收费。 如果此订阅中没有任何 Azure SQL Database 服务器,则无需付费。 如果以后在此订阅上创建 Azure SQL 数据库服务器,则这些服务器将自动受到保护,并开始计费。 详细了解各区域的定价详细信息。
有关详细信息,请参阅 Microsoft Defender for SQL 简介。 (相关策略:应启用用于 Azure SQL 数据库服务器的 Azure Defender)。
严重性:高
应启用适用于资源管理器的 Microsoft Defender
说明:适用于资源管理器的 Microsoft Defender 会自动监视组织中的资源管理操作。 Defender for Cloud 会检测威胁,并向你发出有关可疑活动的警报。 有关详细信息,请参阅适用于资源管理器的 Microsoft Defender 简介。 启用此 Defender 计划会产生费用。 了解 Defender for Cloud 定价页上每个区域的定价详细信息:Defender for Cloud 定价。 (无相关策略)
严重性:高
应为未受保护的 Azure SQL 服务器启用 Microsoft Defender for SQL
说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它可呈现和减少潜在数据库漏洞,以及检测可能表明数据库有威胁的异常活动。 Microsoft Defender for SQL 按各区域的定价详细信息所示计费。 (相关策略:应在 SQL Server 上启用高级数据安全)。
严重性:高
应为未受保护的 SQL 托管实例启用 Microsoft Defender for SQL
说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它可呈现和减少潜在数据库漏洞,以及检测可能表明数据库有威胁的异常活动。 Microsoft Defender for SQL 按各区域的定价详细信息所示计费。 (相关策略:应在 SQL 托管实例上启用高级数据安全)。
严重性:高
应启用网络观察程序
说明:网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 利用方案级监视,你可以在端到端网络级别视图中诊断问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 (相关策略:应启用网络观察程序)。
严重性:低
应启用 Azure SQL 数据库上的专用终结点连接
说明:专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 (相关策略:应启用 Azure SQL 数据库上的专用终结点连接)。
严重性:中等
应禁用 Azure SQL 数据库上的公用网络访问
说明:禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 (相关策略:应禁用 Azure SQL 数据库上的公用网络访问)。
严重性:中等
应为认知服务帐户禁用公用网络访问
说明:此策略审核启用了公用网络访问的环境中的任何认知服务帐户。 应禁用公用网络访问,仅允许来自专用终结点的连接。 (相关策略:应为认知服务帐户禁用公用网络访问)。
严重性:中等
应为 MariaDB 服务器禁用公用网络访问
说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 MariaDB 服务器禁用公用网络访问)。
严重性:中等
应为 MySQL 服务器禁用公用网络访问
说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 MySQL 服务器禁用公用网络访问)。
严重性:中等
应为 PostgreSQL 服务器禁用公用网络访问
说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 PostgreSQL 服务器禁用公用网络访问)。
严重性:中等
Redis Cache 应仅允许通过 SSL 访问
说明:仅启用通过 SSL 来与 Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击。 (相关策略:应只启用与 Azure Cache for Redis 的安全连接)。
严重性:高
SQL 数据库应已解决漏洞结果
说明:SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 了解详细信息(相关策略:应修正 SQL 数据库上的漏洞)。
严重性:高
SQL 托管实例应配置了漏洞评估
说明:漏洞评估可发现、跟踪和帮助修正潜在数据库漏洞。 (相关策略:应在 SQL 托管实例上启用漏洞评估)。
严重性:高
计算机上的 SQL Server 应已解决漏洞结果
说明:SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 了解详细信息(相关策略:应修正计算机上 SQL 数据库上的漏洞)。
严重性:高
应为 SQL Server 预配 Azure Active Directory 管理员
说明:为 SQL Server 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理。 (相关策略:应为 SQL Server 预配 Azure Active Directory 管理员)。
严重性:高
SQL 服务器应配置了漏洞评估
说明:漏洞评估可发现、跟踪和帮助修正潜在数据库漏洞。 (相关策略:应在 SQL Server 上启用漏洞评估)。
严重性:高
存储帐户应使用专用链接连接
说明:专用链接通过向存储帐户提供专用连接来强制安全通信(相关策略:存储帐户应使用专用链接连接)。
严重性:中等
存储帐户应迁移到新的 Azure 资源管理器资源
说明:若要充分利用 Azure 资源管理器中的新功能,可将现有部署从经典部署模型中迁移出来。 资源管理器启用安全增强功能,例如:更强的访问控制 (RBAC)、更好的审核、基于 ARM 的部署和治理、托管标识访问权限、用于提供机密的密钥保管库的访问权限、基于 Azure AD 的身份验证以及可实现更轻松安全管理的标记和资源组支持。 了解详细信息(相关策略:应将存储帐户迁移到新的 Azure 资源管理器资源)。
严重性:低
存储帐户应阻止共享密钥访问
说明:审核 Azure Active Directory (Azure AD) 的要求,以授权对存储帐户的请求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 (相关策略:策略)
严重性:中等
存储帐户应使用虚拟网络规则来限制网络访问
说明:使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 (相关策略:存储帐户应使用虚拟网络规则来限制网络访问)。
严重性:中等
订阅应有一个联系人电子邮件地址,用于接收安全问题通知
说明:请在 Defender for Cloud 中设置一个用于接收电子邮件通知的安全联系人,以确保在其中一个订阅存在潜在安全漏洞时,组织中的相关人员会收到通知。 (相关策略:订阅应有一个联系人电子邮件地址,用于接收安全问题通知)
严重性:低
应在 SQL 数据库上启用透明数据加密
说明:启用透明数据加密来保护静态数据,并满足合规性要求(相关策略:应启用 SQL 数据库上的透明数据加密)。
严重性:低