تعريفات مضمنة لنهج Azure لقاعدة بيانات Azure SQL & المثيل المدار لـ SQL

ينطبق على:قاعدة بيانات Azure SQL مثيل Azure SQL المُدار Azure Synapse Analytics

هذه الصفحة عبارة عن فهرس من Azure Policy من تعريفات السياسة المضمنة لقاعدة بيانات Azure SQL والمثيل المدار لـ SQL. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.

يرتبط اسم كل تعريف سياسة مضمن بتعريف السياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.

قاعدة بيانات Azure SQL & المثيل المدار SQL

الاسم
(مدخل Microsoft Azure)
الوصف التأثيرات إصدار
(GitHub)
يجب توفير مسؤول Microsoft Azure Active Directory لخوادم SQL تحقق من توفير مسؤول Microsoft Azure Active Directory لخادم SQL لتمكين مصادقة Microsoft Azure Active Directory. تتيح مصادقة Microsoft Azure Active Directory الإدارة المبسطة للأذونات وإدارة الهوية لمركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft AuditIfNotExists، معطل 1.0.0
يجب تمكين التدقيق على خادم SQL يجب تمكين التدقيق على خادم SQL لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات على الخادم وحفظها في سجل التدقيق. AuditIfNotExists، معطل 2.0.0
يجرى تمكين Azure Defender لخادم SQL لاستيعاب خوادم SQL غير المحمية تدقيق خوادم SQL من دون أمان البيانات المتقدم AuditIfNotExists، معطل 2.0.1
يجب تمكين Azure Defender لنظام SQL لاستيعاب واجهات SQL المدارة دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. AuditIfNotExists، معطل 1.0.2
يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إلى Azure SQL Database إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. التدقيق، التعطيل، الرفض 2.0.0
يجب أن تقوم Azure SQL Database بتمكين مصادقة Azure Active Directory فقط يؤدي تعطيل أساليب المصادقة المحلية والسماح لمصادقة Azure Active Directory فقط إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قواعد بيانات Azure SQL بشكل حصري بواسطة هويات Azure Active Directory. تعرف على المزيد على: aka.ms/adonlycreate. تدقيق، رفض، مُعطل 1.0.0
يجب أن تقوم Azure SQL Managed Instance بتمكين مصادقة Azure Active Directory فقط إذ يؤدي تعطيل أساليب المصادقة المحلية والسماح لمصادقة Azure Active Directory فقط إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Managed Instance بشكل حصري بواسطة هويات Azure Active Directory. تعرف على المزيد على: aka.ms/adonlycreate. تدقيق، رفض، مُعطل 1.0.0
تكوين Azure Defender لتمكينه في مثيلات SQL المُدارة قم بتمكين Azure Defender في Azure SQL Managed Instances لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. DeployIfNotExists، معطل 2.0.0
تكوين Azure Defender ليتم تمكينه على خوادم SQL قم بتمكين Azure Defender في خوادم Azure SQL Servers لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. DeployIfNotExists 2.1.0
تكوين إعدادات تشخيص خوادم قاعدة بيانات Azure SQL إلى مساحة عمل Log Analytics لتمكين سجلات التدقيق لخادم قاعدة بيانات Azure SQL وبث السجلات إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي SQL Server يفتقد هذا التدقيق DeployIfNotExists، معطل 1.0.2
يجب أن يعطل Azure SQL Server الوصول إلى الشبكة العامة إذ يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى إيقاف تشغيل الاتصال العام حتى لا يمكن الوصول إلى Azure SQL Server إلا من نقطة نهاية خاصة. ويعمل هذا التكوين على تعطيل الوصول إلى شبكة الاتصال العامة لكل قواعد البيانات ضمن SQL Server Azure. تعديل، معطل 1.0.0
تكوين SQL Server Azure لتمكين اتصالات نقطة النهاية الخاصة يتيح اتصال نقطة النهاية الخاصة إمكانية الاتصال الخاص بـ Azure SQL Database عبر عنوان IP خاص داخل إحدى الشبكات الظاهرية. يعمل هذا التكوين على تحسين وضع الأمان ودعم أدوات شبكات Azure وسيناريوهاتها. DeployIfNotExists، معطل 1.0.0
تكوين خوادم SQL لتمكين التدقيق لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم خوادم SQL بتمكين التدقيق. وهذا مطلوب في بعض الأحيان للامتثال للمعايير التنظيمية. DeployIfNotExists، معطل 3.0.0
نشر - تكوين إعدادات التشخيص لـ SQL Databases إلى مساحة عمل Log Analytics نشر إعدادات التشخيص لـ SQL Databases لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي SQL Databases تفتقد إعدادات التشخيص هذه. DeployIfNotExists، معطل 3.0.0
نشر أمان البيانات المتقدمة على خوادم SQL يتيح هذا النهج أمان البيانات المتقدمة على خوادم SQL Servers. ويشمل ذلك تشغيل كشف التهديدات "Threat Detection" وتقييم مدى التأثر "Vulnerability Assessment". إذ سيقوم تلقائياً بإنشاء حساب تخزين في المنطقة نفسها ومجموعة موارد مثل خادم SQL لتخزين نتائج المسح الضوئي، مع البادئة "sqlva". DeployIfNotExists 1.2.0
نشر الإعدادات تشخيصية لـ Azure SQL Database إلى Event Hub لنشر إعدادات التشخيص لـ Azure SQL Database للبث إلى Event Hub إقليمي عند إنشاء أي Azure SQL Database تفتقد لإعدادات التشخيص هذه أو تحديثها. DeployIfNotExists 1.2.0
نشر تشفير البيانات الشفاف SQL DB لتمكين تشفير البيانات الشفاف في قواعد بيانات SQL DeployIfNotExists 2.0.0
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL يقوم هذا النهج بمراجعة أي قاعدة بيانات Azure SQL مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. AuditIfNotExists، معطل 2.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. التدقيق، مُعطل 1.1.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure SQL فقط من نقطة نهاية خاصة. ويرفض هذا التكوين كل تسجيلات الدخول التي تطابق عنوان IP أو قواعد جدار الحماية المستندة إلى شبكة الاتصال الظاهرية. تدقيق، رفض، مُعطل 1.1.0⁧
يجب أن تتضمن إعدادات "SQL Auditing" مجموعات إجراءات تمت تهيئتها لحفظ الأنشطة الأساسية يجب أن تحتوي خاصية AuditActionsAndGroups على SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP وFAILED_DATABASE_AUTHENTICATION_GROUP وBATCH_COMPLETED_GROUP على الأقل لضمان تسجيل تدقيق شامل AuditIfNotExists، معطل 1.0.0
يجب أن تتجنب SQL Database استخدام التكرار الاحتياطي لـ GRS يجب أن تتجنب قواعد البيانات استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. رفض، مُعطل 2.0.0
يجب أن تمتلك قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية تحقق من نتائج فحص تقييم الثغرات الأمنية والتوصيات المتعلقة بكيفية معالجة الثغرات الأمنية في قاعدة البيانات. AuditIfNotExists، معطل 4.0.0
يجب أن يحتوي SQL Managed Instance على أدنى إصدار من تشفير TLS وهو الإصدار 1.2 إذ يؤدي تعيين الحد الأدنى من إصدار TLS إلى 1.2 إلى تحسين الأمان عن طريق التأكد من أنه لا يمكن الوصول إلى SQL Managed Instance إلا من خلال العملاء الذين يستخدمون TLS 1.2. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. التدقيق، مُعطل 1.0.1
يجب أن تتجنب SQL Managed Instance استخدام التكرار الاحتياطي لـ GRS يجب أن تتجنب Managed Instances استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. رفض، مُعطل 2.0.0
يجب أن تستخدم خدمة SQL managed instances المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام مفتاحك الخاص مزيداً من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. تدقيق، رفض، مُعطل ⁩2.0.0⁧
⁩يجب أن يستخدم خادم SQL Server نقطة نهاية خدمة شبكة اتصال افتراضية⁧ يقوم هذا النهج بمراجعة أي SQL Server لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. AuditIfNotExists، معطل 1.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام مفتاحك الخاص مزيداً من الشفافية والتحكم في TDE Protector، وزيادة الأمان من خلال خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. تدقيق، رفض، مُعطل 2.0.1
تجب تهيئة خوادم SQL المزودة بميزة تدقيق وجهة حساب التخزين بفترة استبقاء تبلغ 90 يوماً أو أكثر لأغراض التحقيق في الحوادث، نوصي بتعيين استبقاء البيانات لتخضع لتدقيق وجهة حساب التخزين الخاص بـ SQL Server لمدة 90 يوماً على الأقل. وتأكد من أنك تفي بقواعد الاستبقاء الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للامتثال للمعايير التنظيمية. AuditIfNotExists، معطل 3.0.0
يجب تمكين تشفير البيانات الشفاف في قواعد بيانات SQL يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال AuditIfNotExists، معطل 2.0.0
يجب تمكين قاعدة جدار حماية الشبكة الظاهرية في Azure SQL Database للسماح بحركة المرور من الشبكة الفرعية المحددة تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure SQL Database مع ضمان بقاء حركة المرور داخل حدود Azure. AuditIfNotExists 1.0.0
يجب أن تحتوي إعدادات تقييم الثغرات الأمنية لخادم SQL على عنوان بريد إلكتروني لتلقي تقارير الفحص تأكد من توفير عنوان بريد إلكتروني للحقل "Send scan reports to" في إعدادات تقييم الثغرات الأمنية. يتلقى عنوان البريد الإلكتروني هذا ملخص نتائج الفحص بعد تشغيل فحص دوري على خوادم SQL. AuditIfNotExists، معطل 2.0.0
يجب تمكين تقييم الثغرات الأمنية على المثيل المدار من قبل SQL راجع كل مثيل مدار من SQL لا يحتوي على عمليات تمكين لفحص تقييم الثغرات الأمنية المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. AuditIfNotExists، معطل 1.0.1
يجب تمكين تقييم الثغرات الأمنية على خوادم SQL راجع خوادم Azure SQL التي لم يتم تمكين عمليات فحص تقييم الثغرات الأمنية المتكررة بها. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. AuditIfNotExists، معطل 2.0.0

التقييدات

  • لا يتم فرض سياسة Azure القابل للتطبيق على إنشاء قاعدة بيانات Azure SQL عند استخدام T-SQL أو SSMS.

الخطوات التالية