Definiciones integradas de Azure Policy para Azure SQL Database e Instancia administrada de SQL
Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure SQL Database e Instancia administrada de SQL. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure SQL Database e Instancia administrada de SQL
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: las bases de datos SQL deben tener redundancia de zona | Las bases de datos SQL pueden configurarse para que tengan redundancia de zona o no. Las bases de datos con el valor "zoneRedundant" establecido en "false" no están configurados para la redundancia de zona. Esta directiva ayuda a identificar las bases de datos SQL que necesitan una configuración de redundancia de zona para mejorar la disponibilidad y la resistencia en Azure. | Audit, Deny, Disabled | 1.0.0-preview |
[Versión preliminar]: los grupos de bases de datos elásticas de SQL deben tener redundancia de zona | Los grupos de bases de datos elásticas de SQL se pueden configurar para que tengan redundancia de zona o no. Los grupo de bases de datos elásticas de SQL tienen redundancia de zona si la propiedad "zoneRedundant" está establecida en "true". La aplicación de esta directiva ayuda a garantizar que Event Hubs está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
[Versión preliminar]: las instancias administradas de SQL deben tener redundancia de zona | Las instancias administradas de SQL se pueden configurar para que tengan redundancia de zona. Las instancias con el valor "zoneRedundant" establecido en "false" no están configurados para la redundancia de zona. Esta directiva ayuda a identificar las instancias administradas de SQL que necesitan una configuración de redundancia de zona para mejorar la disponibilidad y la resistencia en Azure. | Audit, Deny, Disabled | 1.0.0-preview |
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
Azure SQL Database should be running TLS version 1.2 or newer | Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso a Azure SQL Database desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Disabled, Deny | 2.0.0 |
Azure SQL Database debe tener habilitada solo la autenticación de Microsoft Entra | Requerir que los servidores lógicos de Azure SQL usen solo autenticación de Microsoft Entra. Esta directiva no impide que los servidores se creen con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Azure SQL Database debe tener habilitada la autenticación solo de Microsoft Entra durante la creación | Requerir que los servidores lógicos de Azure SQL se creen con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Azure SQL Managed Instance debe tener habilitada solo la autenticación de Microsoft Entra | Requerir que Azure SQL Managed Instance use la autenticación solo de Microsoft Entra. Esta directiva no impide que las instancias administradas de Azure SQL se creen con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
Las instancias administradas de Azure SQL deben tener habilitada la autenticación solo de Microsoft Entra durante la creación | Requerir que Azure SQL Managed Instance se cree con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Configuración de Azure Defender para que se habilite en instancias de SQL Managed Instance | Habilite Azure Defender en las instancias de Azure SQL Managed Instance para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 2.0.0 |
Configuración de Azure Defender para que se habilite en servidores SQL Server | Habilite Azure Defender en los servidores de Azure SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists | 2.1.0 |
Configurar los servidores de Azure SQL Database para el espacio de trabajo de Log Analytics | Permite habilitar los registros de auditoría del servidor de Azure SQL Database y transmitir registros de diagnóstico a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Server en la que falte esta auditoría. | DeployIfNotExists, Disabled | 1.0.2 |
Configurar Azure SQL Server para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública se cierra la conectividad pública, de modo que solo se puede tener acceso a Azure SQL Server desde un punto de conexión privado. Esta configuración deshabilita el acceso a la red pública para todas las bases de datos de Azure SQL Server. | Modificar, Deshabilitado | 1.0.0 |
Configurar Azure SQL Server para habilitar conexiones de punto de conexión privado | Una conexión de punto de conexión privado habilita la conectividad privada con Azure SQL Database a través de una dirección IP privada dentro de una red virtual. Esta configuración mejora su posición de seguridad y admite las herramientas y los escenarios de redes de Azure. | DeployIfNotExists, Disabled | 1.0.0 |
Configurar instancias de SQL Server para habilitar la auditoría | Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. | DeployIfNotExists, Disabled | 3.0.0 |
Configuración de los servidores de SQL Server para que tengan habilitada la auditoría en el área de trabajo de Log Analytics | Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
Implementación: configuración de diagnóstico para instancias de SQL Database en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que las instancias de SQL Database transmitan los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Database en la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 4.0.0 |
Implementar Advanced Data Security en los servidores de SQL Server | Esta directiva habilita Advanced Data Security en los servidores de SQL Server. Esta opción también habilita la detección de amenazas y la evaluación de vulnerabilidades. Asimismo, creará automáticamente una cuenta de almacenamiento en la misma región y grupo de recursos que el servidor de SQL Server, para así almacenar los resultados del análisis con un prefijo "sqlva". | DeployIfNotExists | 1.3.0 |
Implementar la configuración de diagnóstico para Azure SQL Database en el Centro de eventos | Implementa la configuración de diagnóstico para que Azure SQL Database se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Azure SQL Database a la que falte esta configuración de diagnóstico. | DeployIfNotExists | 1.2.0 |
Implementar el cifrado de datos transparente de SQL Database | Habilita el cifrado de datos transparente en bases de datos SQL. | DeployIfNotExists, Disabled | 2.2.0 |
Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas | La propiedad AuditActionsAndGroups debe contener al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantizar un registro de auditoría exhaustivo. | AuditIfNotExists, Disabled | 1.0.0 |
SQL Database debe evitar el uso de la redundancia de copia de seguridad con almacenamiento con redundancia geográfica | Las bases de datos deben evitar el uso del almacenamiento con redundancia geográfica para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. | Deny, Disabled | 2.0.0 |
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
SQL Managed Instance debe tener la versión mínima de TLS 1.2 | Si la versión mínima de TLS se establece en 1.2, la seguridad mejora al garantizar que solo se tenga acceso a SQL Managed Instance desde clientes que utilicen TLS 1.2. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Disabled | 1.0.1 |
Las instancias administradas de SQL deben evitar el uso de redundancia de copia de seguridad con almacenamiento con redundancia geográfica | Las instancias administradas deben evitar el uso del almacenamiento con redundancia geográfica predeterminado para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. | Deny, Disabled | 2.0.0 |
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
SQL Server debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Disabled | 1.0.0 |
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
La regla de firewall de redes virtuales de Azure SQL Database debe estar habilitada para permitir el tráfico de la subred especificada | Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica a Azure SQL Database y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. | AuditIfNotExists | 1.0.0 |
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Limitaciones
- No se aplica la directiva de Azure aplicable a una creación de Azure SQL Database y SQL Managed Instance al usar T-SQL o SSMS.
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.