Définitions intégrées d’Azure Policy pour Azure SQL Database et SQL Managed Instance
S’applique à :
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Cette page est un index des définitions de stratégie intégrées Azure Policy pour Azure SQL Database et and SQL Managed Instance. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure SQL Database et SQL Managed Instance
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les bases de données SQL doivent être redondantes interzone | Les bases de données SQL peuvent être configurées pour être redondantes interzone ou non. Les bases de données avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les bases de données SQL nécessitant une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les pools de bases de données élastiques SQL doivent être redondants interzone | Les pools de bases de données élastiques SQL peuvent être configurés pour être redondants interzones ou non. Les pools de bases de données élastiques SQL sont redondants interzone si leur propriété « zoneRedundant » est définie sur « true ». L’application de cette stratégie vous permet de vérifier que Event Hubs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les instances managées SQL doivent être redondantes interzone | Les instances managées SQL peuvent être configurées pour être redondantes interzones ou non. Les instances avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les instances managées SQL qui ont besoin d’une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database | Exiger que les serveurs logiques Azure SQL utilisent l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création de serveurs dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database lors de la création | Exiger que les serveurs logiques Azure SQL soient créés avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instance | Exiger qu’Azure SQL Managed Instance utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’instances Azure SQL Managed dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur l’accès au réseau public, consultez https://aka.ms/mi-public-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instances lors de la création | Exiger que Azure SQL Managed Instance soit créé avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| Configurer Azure Defender à activer sur les instances managées SQL | Activez Azure Defender sur vos instances managées Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer Azure Defender à activer sur les serveurs SQL | Activez Azure Defender sur vos serveurs Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | DeployIfNotExists | 2.1.0 |
| Configurer les paramètres de diagnostic des serveurs de base de données Azure SQL dans l’espace de travail Log Analytics | Active les journaux d’audit pour le serveur Azure SQL Database et transmet les journaux en continu à un espace de travail Log Analytics quand un serveur SQL Server auquel il manque cet audit est créé ou mis à jour. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer Azure SQL Server pour désactiver l’accès réseau public | La désactivation de la propriété d’accès au réseau public arrête la connectivité publique, de sorte qu’Azure SQL Server n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès au réseau public pour toutes les bases de données sous l’instance d’Azure SQL Server. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure SQL Server pour activer des connexions de point de terminaison privé | Une connexion de point de terminaison privée permet une connectivité privée à votre instance Azure SQL Database via une adresse IP privée au sein d’un réseau virtuel. Cette configuration améliore votre posture de sécurité et prend en charge les outils et scénarios de mise en réseau d’Azure. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des serveurs SQL pour activer l’audit | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | DeployIfNotExists, Désactivé | 3.0.0 |
| Configurer des serveurs SQL pour que l’audit soit activé pour l’espace de travail Log Analytics | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Si l’audit n’est pas activé, cette stratégie configure les événements d’audit à acheminer vers l’espace de travail Log Analytics spécifié. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer : configurer les paramètres de diagnostic pour les bases de données SQL pour l’envoi à un espace de travail Log Analytics | Déploie les paramètres de diagnostic pour des bases de données SQL afin de diffuser les journaux de ressources vers un espace de travail Log Analytics en cas de création ou de mise à jour de toute base de données SQL n’ayant pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 4.0.0 |
| Déployer Advanced Data Security sur des serveurs SQL | Cette stratégie active Advanced Data Security sur les serveurs SQL. (ce qui entraîne l’activation de la détection des menaces et de l’évaluation des vulnérabilités). Elle crée automatiquement un compte de stockage dans la même région et le même groupe de ressources que le serveur SQL pour stocker les résultats de l’analyse, avec le préfixe « sqlva ». | DeployIfNotExists | 1.3.0 |
| Déployer les paramètres de diagnostic d’Azure SQL Database sur Event Hub | Déploie les paramètres de diagnostic d’Azure SQL Database pour les envoyer en streaming dans un hub d’événements régional sur une base de données Azure SQL nouvelle ou mise à jour pour laquelle les paramètres de diagnostic sont manquants. | DeployIfNotExists | 1.2.0 |
| Déployer le chiffrement transparent des données sur les bases de données SQL | Active Transparent Data Encryption sur les bases de données SQL | DeployIfNotExists, Désactivé | 2.2.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques | La propriété AuditActionsAndGroups doit contenir au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP pour assurer la journalisation totale de l’audit | AuditIfNotExists, Désactivé | 1.0.0 |
| SQL Database doit éviter d’utiliser la redondance de sauvegarde GRS | Les bases de données doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| SQL Managed Instance doit avoir la version TLS minimale 1.2 | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé | 1.0.1 |
| Les instances managées SQL doivent éviter d’utiliser la redondance de sauvegarde GRS | Les instances managées doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| SQL Server doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| La règle de pare-feu de réseau virtuel sur Azure SQL Database doit être activée pour autoriser le trafic à partir du sous-réseau spécifié | Les règles de pare-feu basées sur un réseau virtuel autorisent le trafic à partir d’un sous-réseau spécifique vers Azure SQL Database tout en veillant à ce que ce trafic reste dans la limite Azure. | AuditIfNotExists | 1.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Limites
- La stratégie Azure Policy applicable à la création d’une base de données Azure SQL Database et d’une instance SQL Managed Instance n’est pas appliquée quand T-SQL ou SSMS sont utilisés.
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour