Azure SQL Managed Instance のネットワーク セキュリティ構成を計画して実装する
このセキュリティ ベースラインにより、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Azure SQL に適用されます。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 その内容は、セキュリティ制御別にグループ化されています。これは、Microsoft クラウド セキュリティ ベンチマークと、Azure SQL に適用できる関連ガイダンスによって定義されています。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。
Note
Azure SQL に適用できない機能は除外されています。
セキュリティ プロファイル
セキュリティ プロファイルは、セキュリティ上の考慮事項が増加する可能性がある、影響の大きい Azure SQL の動作をまとめたものです。
| サービス動作属性 | Value |
|---|---|
| 製品カテゴリ | データベース |
| 顧客が HOST または OS にアクセスできる | アクセス許可なし |
| サービスを顧客の仮想ネットワークにデプロイできる | True |
| 顧客のコンテンツを保存する | True |
ネットワークのセキュリティ
NS-1: ネットワーク セグメント化の境界を確立する
"1.Virtual Network 統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。
| サポートあり | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: 仮想ネットワークにサービスをデプロイします。 パブリック IP をリソースに直接割り当てる強い理由がない限り、リソースにプライベート IP を割り当てます (該当する場合)。
2. ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。
| サポートあり | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Azure Virtual Network サービス タグを使用して、Azure SQL リソースに対して構成されたネットワーク セキュリティ グループまたは Azure Firewall に対するネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 規則の適切なソースまたはターゲット フィールドにサービス タグ名を指定することで、対応するサービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。 Azure SQL Database 用のサービス エンドポイントを使用している場合は、Azure SQL Database のパブリック IP アドレスへの送信が必要です。ネットワーク セキュリティ グループ (NSG) は、接続を許可するために Azure SQL Database IP に対して開かれている必要があります。 これは、Azure SQL Database 用の NSG サービス タグを使用して行うことができます。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
3. Azure Private Link
[説明]: ネットワーク トラフィックをフィルター処理するための、サービスのネイティブ IP フィルタリング機能 (NSG または Azure Firewall とは異なります)。
| サポートあり | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Private Link 機能をサポートするすべての Azure リソース用にプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
4. パブリック ネットワーク アクセスの無効化
説明: サービスは、サービス レベルの IP アクセス制御リスト (ACL) フィルタリング規則 (NSG または Azure Firewall ではなく) を使用した、または [公衆ネットワーク アクセスを無効にする] トグル スイッチを使用した、公衆ネットワーク アクセスの無効化をサポートします。
| サポートあり | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
5. Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.Sql:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある | 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
6.Azure Policy の推奨事項に従う:
- Azure SQL Managed Instance で公衆ネットワーク アクセスを無効にして、仮想ネットワーク内から、またはプライベート エンドポイント経由でのみ、アクセスが行われるようにします。
- プライベート エンドポイント接続を有効にして、Azure SQL Database とのセキュリティ保護された通信を強化します。
- Azure SQL Database で公衆ネットワーク アクセスのプロパティをオフにして、アクセスをプライベート エンドポイントからのみに強制します。