Freigeben über


Integrierte Azure Policy-Richtliniendefinitionen für Azure SQL-Datenbank und SQL Managed Instance

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Diese Seite ist ein Index von integrierten Azure Policy-Richtliniendefinitionen für Azure SQL-Datenbank und verwaltete SQL-Instanzen. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.

Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.

Azure SQL-Datenbank und verwaltete SQL-Instanzen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: SQL-Datenbanken sollten zonenredundant sein SQL-Datenbanken können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Datenbanken bei denen die Einstellung "zoneRedundant" auf "falsch" festgelegt ist, sind nicht für Zonenredundanz konfiguriert. Diese Richtlinie hilft bei der Identifizierung von SQL-Datenbanken, die eine Zonenredundanzkonfiguration benötigen, um die Verfügbarkeit und Resilienz in Azure zu verbessern. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: SQL-Pools für elastische Datenbanken sollten zonenredundant sein SQL-Pools für elastische Datenbanken können so konfiguriert werden, dass sie entweder zonenredundant sind oder nicht. SQL-Pools für elastische Datenbanken sind zonenredundant, wenn die Eigenschaft "zoneRedundant" auf "wahr" festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Event Hubs korrekt für Zonenresilienz konfiguriert sind, wodurch das Risiko von Ausfallzeiten während Zonenausfällen verringert wird. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: SQL Managed Instances sollten zonenredundant sein SQL Managed Instances können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Instanzen bei denen die Einstellung "zoneRedundant" auf "falsch" festgelegt ist, sind nicht für Zonenredundanz konfiguriert. Diese Richtlinie hilft bei der Identifizierung von verwalteten SQL-Datenbanken, die eine Zonenredundanzkonfiguration benötigen, um die Verfügbarkeit und Resilienz in Azure zu verbessern. Audit, Deny, Disabled 1.0.0-preview
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. Audit, Disabled, Deny 2.0.0
Für Azure SQL-Datenbank darf nur die Microsoft Entra-Authentifizierung aktiviert sein Erfordert, dass logische Azure SQL-Server die Microsoft Entra-only-Authentifizierung verwenden. Diese Richtlinie verhindert nicht, dass Server mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Für Azure SQL-Datenbank muss die Microsoft Entra-only-Authentifizierung aktiviert sein Fordern Sie die Erstellung logischer Azure SQL-Server mit der Microsoft Entra-only-Authentifizierung an. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.2.0
Für Azure SQL Managed Instance darf nur die Microsoft Entra-Authentifizierung aktiviert sein Azure SQL Managed Instance ist für die Verwendung der Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Azure SQL Managed Instance mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. Audit, Deny, Disabled 1.0.0
Für Azure SQL Managed Instance muss die Microsoft Entra-only-Authentifizierung aktiviert sein Erfordert, dass Azure SQL Managed Instance mit Microsoft Entra-only-Authentifizierung erstellt wird. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.2.0
Konfigurieren von Azure Defender für die Aktivierung auf verwalteten SQL-Instanzen Aktivieren Sie Azure Defender für Azure SQL Managed Instance-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. DeployIfNotExists, Disabled 2.0.0
Konfigurieren von Azure Defender für die Aktivierung auf SQL-Servern Aktivieren Sie Azure Defender für Azure SQL Server-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. Auswirkung „DeployIfNotExists“ 2.1.0
Azure SQL-Datenbank-Serverdiagnoseeinstellungen für Log Analytics-Arbeitsbereich konfigurieren Aktiviert Überwachungsprotokolle für Azure SQL-Datenbank-Server und streamt die Protokolle an einen Log Analytics-Arbeitsbereich, wenn eine beliebige SQL Server-Instanz erstellt oder aktualisiert wird, für die diese Überwachung fehlt. DeployIfNotExists, Disabled 1.0.2
Azure SQL Server zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Durch Deaktivieren der Eigenschaft für den Zugriff über öffentliche Netzwerke werden öffentliche Verbindungen blockiert, sodass der Zugriff auf Azure SQL Server nur von einem privaten Endpunkt aus möglich ist. Durch diese Konfiguration wird der Zugriff über öffentliche Netzwerke für alle Azure SQL Server-Datenbanken deaktiviert. Modify, Disabled 1.0.0
Azure SQL Server zum Aktivieren privater Endpunktverbindungen konfigurieren Eine private Endpunktverbindung ermöglicht private Konnektivität mit Ihrer Azure SQL-Datenbank-Instanz über eine private IP-Adresse in einem virtuellen Netzwerk. Diese Konfiguration verbessert Ihren Sicherheitsstatus und unterstützt Tools und Szenarien für den Azure-Netzwerkbetrieb. DeployIfNotExists, Disabled 1.0.0
Für SQL Server-Instanzen muss die Überwachung aktiviert werden Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für SQL Server-Instanzen die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. DeployIfNotExists, Disabled 3.0.0
Konfigurieren von SQL-Servern für die Aktivierung der Überwachung im Log Analytics-Arbeitsbereich Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für SQL Server-Instanzen die Überwachung aktiviert sein. Wenn die Überwachung nicht aktiviert ist, konfiguriert diese Richtlinie Überwachungsereignisse zum angegebenen Log Analytics-Arbeitsbereich. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Diagnoseeinstellungen für SQL-Datenbanken in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für SQL-Datenbanken für das Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine SQL-Datenbank erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 4.0.0
Advanced Data Security auf SQL Server-Instanzen bereitstellen Mit dieser Richtlinie wird Advanced Data Security auf SQL Server-Instanzen aktiviert. Dazu gehört auch die Aktivierung der Bedrohungserkennung und der Sicherheitsrisikobewertung. Es wird automatisch ein Speicherkonto in derselben Region und derselben Ressourcengruppe wie die SQL Server-Instanz erstellt, um Überprüfungsergebnisse mit dem Präfix „sqlva“ zu speichern. Auswirkung „DeployIfNotExists“ 1.3.0
Diagnoseeinstellungen für Azure SQL-Datenbank in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Azure SQL-Datenbank zum Streamen in eine regionale Event Hub-Instanz für alle erstellten oder aktualisierten Azure SQL-Datenbank-Instanzen bereitgestellt, in denen diese Diagnoseeinstellungen fehlen. Auswirkung „DeployIfNotExists“ 1.2.0
Transparente SQL DB-Datenverschlüsselung bereitstellen Ermöglicht die transparente Datenverschlüsselung für SQL-Datenbanken. DeployIfNotExists, Disabled 2.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Für SQL-Überwachungseinstellungen müssen Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein Die AuditActionsAndGroups-Eigenschaft muss mindestens SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP enthalten, um eine umfassende Überwachungsprotokollierung sicherzustellen. AuditIfNotExists, Disabled 1.0.0
Verwendung von GRS-Sicherungsredundanz für SQL-Datenbank vermeiden Datenbanken dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. Verweigern, deaktiviert 2.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.1.0
SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre SQL Managed Instance-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. Audit, Disabled 1.0.1
Verwendung von GRS-Sicherungsredundanz für SQL Managed Instance-Instanzen vermeiden Verwaltete Instanzen dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. Verweigern, deaktiviert 2.0.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.0
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.1
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0
Für Azure SQL-Datenbank muss eine auf virtuellen Netzwerken basierende Firewallregel aktiviert werden, um Datenverkehr aus dem angegebenen Subnetz zuzulassen Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure SQL-Datenbank zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr die Azure-Grenzen nicht verlässt. Auswirkung „AuditIfNotExists“ 1.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 3.0.0

Begrenzungen

  • Azure Policy wird für die Erstellung von Instanzen von Azure SQL-Datenbank und SQL Managed Instance bei Verwendung von T-SQL oder SSMS nicht erzwungen.

Nächste Schritte