Definisi bawaan Azure Policy untuk Azure SQL Database & SQL Managed Instance
Berlaku untuk:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure SQL Database dan SQL Managed Instance. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure SQL Database & SQL Managed Instance
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Database SQL harus Zona Redundan | SQL Database dapat dikonfigurasi menjadi Zona Redundan atau tidak. Database dengan pengaturan 'zoneRedundant' yang diatur ke 'false' tidak dikonfigurasi untuk redundansi zona. Kebijakan ini membantu mengidentifikasi database SQL yang memerlukan konfigurasi redundansi zona untuk meningkatkan ketersediaan dan ketahanan dalam Azure. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kumpulan database Elastis SQL harus Zona Redundan | Kumpulan database Elastis SQL dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kumpulan database SQL Elastic adalah Zona Redundan jika properti 'zoneRedundant' diatur ke 'true'. Memberlakukan kebijakan ini membantu memastikan bahwa Azure Event Hubs dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: SQL Managed Instances harus Zona Redundan | SQL Managed Instances dapat dikonfigurasi menjadi Zona Redundan atau tidak. Instans dengan pengaturan 'zoneRedundant' yang diatur ke 'false' tidak dikonfigurasi untuk redundansi zona. Kebijakan ini membantu mengidentifikasi SQL managedInstances yang memerlukan konfigurasi redundansi zona untuk meningkatkan ketersediaan dan ketahanan dalam Azure. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru | Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Azure SQL Database harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan server logis Azure SQL menggunakan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir server agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Database harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan server logis Azure SQL dibuat dengan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Azure SQL Managed Instance harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan Azure SQL Managed Instance menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir instans Terkelola Azure SQL agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Managed Instance harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instance meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Untuk mempelajari selengkapnya akses jaringan publik, kunjungi https://aka.ms/mi-public-endpoint. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Managed Instances harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan Azure SQL Managed Instance dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Mengonfigurasi Azure Defender untuk diaktifkan pada instans terkelola SQL | Aktifkan Azure Defender pada Azure SQL Managed Instance Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi Azure Defender untuk diaktifkan di server SQL | Aktifkan Azure Defender di Azure SQL Server Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists | 2.1.0 |
| Konfigurasikan pengaturan diagnostik server database Azure SQL ke ruang kerja Analitik Log | Mengaktifkan log audit untuk server Azure SQL Database dan mengalirkan log ke ruang kerja Analitik Log ketika SQL Server apa pun yang kehilangan audit ini dibuat atau diperbarui | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasi Azure SQL Server untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik mematikan konektivitas publik sehingga Azure SQL Server hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses jaringan publik untuk semua database di bawah Azure SQL Server. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan Azure SQL Server untuk mengaktifkan koneksi titik akhir privat | Koneksi titik akhir privat memungkinkan konektivitas privat ke Azure SQL Database Anda melalui alamat IP privat di dalam jaringan virtual. Konfigurasi ini meningkatkan postur keamanan Anda dan mendukung alat dan skenario jaringan Azure. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi server SQL agar audit diaktifkan | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda ditangkap, server SQL harus mengaktifkan audit. Ini terkadang diperlukan untuk memenuhi standar peraturan. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Mengonfigurasikan server SQL untuk mengaktifkan audit ke ruang kerja Analitik Log | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda ditangkap, server SQL harus mengaktifkan audit. Jika audit tidak diaktifkan, kebijakan ini akan mengonfigurasi peristiwa audit agar mengalir ke ruang kerja Analitik Log yang ditentukan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan - Mengonfigurasi pengaturan diagnostik untuk SQL Database ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure SQL Database guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Azure SQL Database yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 4.0.0 |
| Menyebarkan Advanced Data Security di server SQL | Kebijakan ini mengaktifkan Advanced Data Security di SQL Server. Ini termasuk mengaktifkan Deteksi Ancaman dan Penilaian Kerentanan. Kebijakan ini akan secara otomatis membuat akun penyimpanan di wilayah dan grup sumber daya yang sama dengan server SQL untuk menyimpan hasil pemindaian, dengan awalan 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure SQL Database ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure SQL Database untuk mengalirkan ke Hub Kejadian regional pada Azure SQL Database mana pun yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists | 1.2.0 |
| Menyebarkan enkripsi data transparan SQL DB | Mengaktifkan enkripsi data transparan di database SQL | DeployIfNotExists, Nonaktif | 2.2.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk instans terkelola SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk instans terkelola SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk instans terkelola SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database | Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Setelan Audit SQL harus memiliki Grup Tindakan yang dikonfigurasi untuk menangkap aktivitas penting | Properti AuditActionsAndGroups harus berisi setidaknya SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP untuk memastikan pencatatan audit yang menyeluruh | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| SQL Database harus menghindari penggunaan redundansi cadangan GRS | Database harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. | Tolak, Dinonaktifkan | 2.0.0 |
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| SQL Managed Instance harus memiliki versi TLS minimal 1.2 | Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Managed Instance Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Dinonaktifkan | 1.0.1 |
| SQL Managed Instances harus menghindari penggunaan redundansi cadangan GRS | Instans Terkelola harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. | Tolak, Dinonaktifkan | 2.0.0 |
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| SQL Server harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit SQL Server yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aturan firewall jaringan virtual pada Azure SQL Database harus diaktifkan untuk memperbolehkan lalu lintas dari subnet yang ditentukan | Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure SQL Database sambil memastikan lalu lintas tetap berada dalam batas Azure. | AuditIfNotExists | 1.0.0 |
| Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Batasan
- Azure Policy yang berlaku untuk Pembuatan Azure SQL Database dan SQL Managed Instance tidak diberlakukan saat menggunakan T-SQL atau SQL SQL.
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk