Criteri di Azure definizioni predefinite per Azure SQL Database & Istanza gestita di SQL

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il database SQL di Azure e Istanza gestita di SQL. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.

Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Azure SQL database & Istanza gestita di SQL

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
Azure Defender per SQL deve essere abilitato per i server di Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure SQL database deve eseguire TLS versione 1.2 o successiva L'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che il database Azure SQL possa essere accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. Audit, Disabled, Deny 2.0.0
Azure SQL Database deve avere l'autenticazione solo di Azure Active Directory abilitata Disabilitando i metodi di autenticazione locale e consentendo solo l'autenticazione di Azure Active Directory migliora la sicurezza garantendo che i database di Azure SQL possano essere accessibili esclusivamente dalle identità di Azure Active Directory. Altre informazioni sono disponibili in: aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Istanza gestita di SQL di Azure deve essere abilitata solo l'autenticazione di Azure Active Directory Disabilitando i metodi di autenticazione locale e consentendo solo l'autenticazione di Azure Active Directory migliora la sicurezza garantendo che le istanze gestite di Azure SQL possano essere accessibili esclusivamente dalle identità di Azure Active Directory. Altre informazioni sono disponibili in: aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Configurare Azure Defender da abilitare nelle istanze gestite da SQL Abilitare Azure Defender nelle istanze gestite di Azure SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. DeployIfNotExists, Disabled 2.0.0
Configurare Azure Defender da abilitare nei server SQL Abilitare Azure Defender nei server di Azure SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. DeployIfNotExists 2.1.0
Configurare le impostazioni di diagnostica dei server di database Azure SQL nell'area di lavoro Log Analytics Abilita i log di controllo per Azure SQL server di database e trasmettere i log a un'area di lavoro Log Analytics quando viene creato o aggiornato qualsiasi SQL Server mancante di questo controllo DeployIfNotExists, Disabled 1.0.2
Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che Azure SQL Server possa essere accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso di rete pubblico per tutti i database nel server Azure SQL. Modifica, disabilitata 1.0.0
Configurare Azure SQL Server per abilitare le connessioni endpoint private Una connessione endpoint privato consente la connettività privata al database Azure SQL tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora il comportamento di sicurezza e supporta strumenti e scenari di rete di Azure. DeployIfNotExists, Disabled 1.0.0
Configurare i server SQL per avere abilitato il controllo Per assicurarsi che le operazioni eseguite rispetto agli asset SQL vengano acquisite, i server SQL devono disporre del controllo abilitato. Questo è talvolta necessario per la conformità con gli standard normativi. DeployIfNotExists, Disabled 3.0.0
Distribuire - Configurare le impostazioni di diagnostica per i database SQL nell'area di lavoro Log Analytics Distribuisce le impostazioni di diagnostica per i database SQL per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando qualsiasi database SQL mancante di queste impostazioni di diagnostica viene creata o aggiornata. DeployIfNotExists, Disabled 3.0.0
Distribuisci Sicurezza dei dati avanzata nei server SQL Questo criterio consente di abilitare Sicurezza dei dati avanzata nei server SQL e attiva Rilevamento minacce e Valutazione della vulnerabilità. Verrà creato automaticamente un account di archiviazione nella stessa area e nello stesso gruppo di risorse del server SQL per archiviare i risultati delle analisi, con un prefisso 'sqlva'. DeployIfNotExists 1.2.0
Distribuisci le impostazioni di diagnostica per il database SQL di Azure nell'hub eventi Distribuisce le impostazioni di diagnostica per il database SQL di Azure per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un database SQL di Azure in cui manca questa impostazione di diagnostica. DeployIfNotExists 1.2.0
Distribuisci Transparent Data Encryption nel database SQL Abilita Transparent Data Encryption nei database SQL DeployIfNotExists 2.0.0
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. AuditIfNotExists, Disabled 2.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata AuditIfNotExists, Disabled 1.0.0
I database SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup I database devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: Criteri di Azure non viene applicato quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. Deny, Disabled 2.0.0
I database SQL devono avere risultati di vulnerabilità risolti Monitorare i risultati e le raccomandazioni per la valutazione della vulnerabilità per risolvere le vulnerabilità del database. AuditIfNotExists, Disabled 4.0.0
Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 Impostando la versione minima di TLS su 1.2 è possibile migliorare la sicurezza e garantire che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. Audit, Disabled 1.0.1
Le istanze gestite di SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup Le istanze gestite devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: Criteri di Azure non viene applicato quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. Deny, Disabled 2.0.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.0
I server SQL devono usare un endpoint servizio di rete virtuale Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. AuditIfNotExists, Disabled 1.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.1
I server SQL con controllo alla destinazione dell'account di archiviazione devono essere configurati con conservazione di 90 giorni o versioni successive Ai fini dell'indagine sugli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo del SQL Server alla destinazione dell'account di archiviazione a almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si esegue il funzionamento. Questo è talvolta necessario per la conformità con gli standard normativi. AuditIfNotExists, Disabled 3.0.0
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
La regola del firewall basata su rete virtuale nel database SQL di Azure deve essere abilitata per consentire il traffico dalla subnet specificata Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database SQL di Azure, garantendo al contempo che il traffico rimanga entro il limite di Azure. AuditIfNotExists 1.0.0
Le impostazioni di Valutazione della vulnerabilità per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi Assicurarsi di aver specificato un indirizzo di posta elettronica nel campo 'Invia report di analisi a' nelle impostazioni di Valutazione della vulnerabilità. Questo indirizzo di posta elettronica riceverà il riepilogo dei risultati dell'analisi dopo l'esecuzione di un'analisi periodica nei server SQL. AuditIfNotExists, Disabled 2.0.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL Controlla i server di Azure SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 2.0.0

Limitazioni

  • Criteri di Azure applicabile a una creazione di database Azure SQL non viene applicata quando si usa T-SQL o SSMS.

Passaggi successivi