Předdefinované definice služby Azure Policy pro službu Azure SQL Database a SQL Managed Instance
Platí pro: Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure SQL Database a spravovanou instanci SQL. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure SQL Database a spravovaná instance SQL
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Databáze SQL by měly být zónově redundantní | Databáze SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Databáze s nastavením zoneRedundant nastaveným na false nejsou nakonfigurované pro redundanci zón. Tato zásada pomáhá identifikovat databáze SQL, které potřebují konfiguraci redundance zón, aby se zlepšila dostupnost a odolnost v rámci Azure. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
[Preview]: Fondy elastické databáze SQL by měly být zónově redundantní | Fondy elastické databáze SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Fondy elastické databáze SQL jsou zónově redundantní, pokud je vlastnost zoneRedundant nastavená na true. Vynucování této zásady pomáhá zajistit, aby služba Event Hubs byla správně nakonfigurovaná pro odolnost zóny a snížila riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
[Preview]: Spravované instance SQL by měly být zónově redundantní. | Spravované instance SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Instance s nastavením zoneRedundant nastaveným na false nejsou nakonfigurované pro redundanci zóny. Tato zásada pomáhá identifikovat instance SQL ManagedInstance, které potřebují konfiguraci redundance zón, aby se zlepšila dostupnost a odolnost v rámci Azure. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Zakázáno, Odepřít | 2.0.0 |
Azure SQL Database by měl mít povolené ověřování pouze Microsoft Entra-only | Vyžadovat, aby logické servery Azure SQL používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření serverů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure SQL Database by při vytváření mělo mít povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se logické servery Azure SQL vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
Spravovaná instance Azure SQL by měla mít povolené ověřování microsoft Entra-only | Vyžadovat, aby spravovaná instance Azure SQL používala ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření spravovaných instancí Azure SQL s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
Spravované instance Azure SQL by měly zakázat přístup k veřejné síti. | Zakázání veřejného síťového přístupu (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze z virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete v tématu https://aka.ms/mi-public-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
Při vytváření by měly mít spravované instance Azure SQL povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se vytvořila spravovaná instance Azure SQL s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
Konfigurace azure Defenderu pro povolení ve spravovaných instancích SQL | Povolte azure Defender ve službě Azure SQL Managed Instances, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 2.0.0 |
Konfigurace azure Defenderu tak, aby byla povolená na SQL Serverech | Povolte Azure Defender na vašich SQL Serverech Azure, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists | 2.1.0 |
Konfigurace nastavení diagnostiky databázových serverů Azure SQL pro pracovní prostor služby Log Analytics | Povolí protokoly auditování pro server služby Azure SQL Database a streamuje protokoly do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli SQL Server, u kterého chybí toto auditování. | DeployIfNotExists, zakázáno | 1.0.2 |
Konfigurace Azure SQL Serveru pro zakázání přístupu k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti vypne veřejné připojení, aby k Azure SQL Serveru bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup k veřejné síti pro všechny databáze v rámci Azure SQL Serveru. | Upravit, zakázáno | 1.0.0 |
Konfigurace Azure SQL Serveru pro povolení připojení privátního koncového bodu | Připojení privátního koncového bodu umožňuje privátní připojení ke službě Azure SQL Database prostřednictvím privátní IP adresy ve virtuální síti. Tato konfigurace zlepšuje stav zabezpečení a podporuje síťové nástroje a scénáře Azure. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace SQL serverů tak, aby měly povolené auditování | Aby se zajistilo, že se zachytí operace prováděné s vašimi prostředky SQL, měly by mít servery SQL povolené auditování. To se někdy vyžaduje pro dodržování regulačních standardů. | DeployIfNotExists, zakázáno | 3.0.0 |
Konfigurace SQL serverů tak, aby měly povolené auditování v pracovním prostoru služby Log Analytics | Aby se zajistilo, že se zachytí operace prováděné s vašimi prostředky SQL, měly by mít servery SQL povolené auditování. Pokud auditování není povolené, tato zásada nakonfiguruje události auditování tak, aby proudily do zadaného pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
Nasazení – Konfigurace nastavení diagnostiky pro databáze SQL do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro služby SQL Database pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba SQL Database, která neobsahuje toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 4.0.0 |
Nasazení Advanced Data Security na SQL serverech | Tato zásada umožňuje rozšířené zabezpečení dat na SQL Serverech. To zahrnuje zapnutí detekce hrozeb a posouzení ohrožení zabezpečení. Automaticky vytvoří účet úložiště ve stejné oblasti a skupině prostředků jako SQL Server pro ukládání výsledků kontroly s předponou sqlva. | DeployIfNotExists | 1.3.0 |
Nasazení nastavení diagnostiky pro Azure SQL Database do centra událostí | Nasadí nastavení diagnostiky pro Azure SQL Database pro streamování do místního centra událostí v jakékoli službě Azure SQL Database, ve které chybí toto nastavení diagnostiky, se vytvoří nebo aktualizuje. | DeployIfNotExists | 1.2.0 |
Nasazení transparentního šifrování dat databáze SQL | Umožňuje transparentní šifrování dat v databázích SQL. | DeployIfNotExists, zakázáno | 2.2.0 |
Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql, servery nebo databáze) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql, servery nebo databáze) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql/servery/databáze) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstances) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstances) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstance) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
Nastavení auditování SQL by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | Vlastnost AuditActionsAndGroups by měla obsahovat alespoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP, aby se zajistilo důkladné protokolování auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
Sql Database by se měla vyhnout použití redundance zálohování GRS | Databáze by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. | Odepřít, zakázáno | 2.0.0 |
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
Spravovaná instance SQL by měla mít minimální verzi protokolu TLS verze 1.2. | Nastavení minimální verze protokolu TLS na verzi 1.2 zlepšuje zabezpečení tím, že zajišťuje, aby ke službě SQL Managed Instance bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, zakázáno | 1.0.1 |
Spravované instance SQL by se měly vyhnout použití redundance zálohování GRS | Spravované instance by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. | Odepřít, zakázáno | 2.0.0 |
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
SQL Server by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakýkoli SQL Server, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
Pravidlo brány firewall virtuální sítě ve službě Azure SQL Database by mělo být povolené pro povolení provozu ze zadané podsítě. | Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure SQL Database a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. | AuditIfNotExists | 1.0.0 |
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Omezení
- Při použití T-SQL nebo SSMS se nevynucuje azure Policy vztahující se na vytváření služby Azure SQL Database a SQL Managed Instance.
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.