Definizioni predefinite di Criteri di Azure per Database SQL di Azure e Istanza gestita di SQL
Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il database SQL di Azure e Istanza gestita di SQL. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Database SQL di Azure e Istanza gestita di SQL
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i database SQL devono essere con ridondanza della zona | I database SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I database con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurati per la ridondanza della zona. Questo criterio consente di identificare i database SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: i pool di database elastici SQL devono essere con ridondanza della zona | I pool di database elastici SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I pool di database elastici SQL sono con ridondanza della zona se la proprietà 'zoneRedundant' è impostata su 'true'. L'applicazione di questi criteri consente di garantire che gli Hub eventi siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi inattivi durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: le Istanze gestite di SQL devono essere con ridondanza della zona | Le istanze gestite di SQL possono essere configurate in modo da essere con ridondanza della zona o meno. Le istanze con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurate per la ridondanza della zona. Questo criterio consente di identificare le istanze gestite di SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | Impostando la versione di TLS su 1.2 o successive, è possibile migliorare la sicurezza e garantire che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versioni successive. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled, Deny | 2.0.0 |
Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere ai server logici Azure SQL di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere la creazione di server logici Azure SQL con l'autenticazione solo su Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
L’Istanza gestita di SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere all'Istanza gestita di SQL di Azure di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione di istanze gestite di SQL di Azure con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Istanze gestite di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sull'accesso alla rete pubblica, visitare https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
Le Istanze gestite di SQL di Azure devono avere l'autenticazione solo Microsoft Entra abilitata | Richiedere la creazione dell'Istanza gestita di SQL di Azure con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Configurare Azure Defender affinché sia abilitato nelle Istanze gestite di SQL | Abilitare Azure Defender sulle Istanze gestite di SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists, Disabled | 2.0.0 |
Configurare Azure Defender affinché sia abilitato sui server SQL | Abilitare Azure Defender sui Server SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists | 2.1.0 |
Configurare le impostazioni di diagnostica per i server di database SQL di Azure nell'area di lavoro Log Analytics | Abilitare i log di controllo per i server di database SQL di Azure e trasmettere i log a un'area di lavoro Log Analytics quando viene creato o aggiornato uno dei server SQL mancanti | DeployIfNotExists, Disabled | 1.0.2 |
Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che sia possibile accedere a SQL Server di Azure solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i database in Azure SQL Server. | Modificare, Disabilitata | 1.0.0 |
Configurare Azure SQL Server per abilitare le connessioni dell'endpoint privato | Una connessione all'endpoint privato consente la connettività privata al database SQL di Azure tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora la postura di sicurezza e supporta gli strumenti e gli scenari di rete di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
Configurare i server SQL per l'abilitazione del controllo | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 3.0.0 |
Configurare i server SQL per l'abilitazione del controllo all'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
Distribuisci - Configurare le impostazioni di diagnostica per i database SQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i database SQL per lo streaming di log di risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un database SQL in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 4.0.0 |
Distribuisci Sicurezza dei dati avanzata nei server SQL | Questo criterio abilita Sicurezza dei dati avanzata nei server SQL. Include l'attivazione del rilevamento delle minacce e della valutazione delle vulnerabilità. Verrà creato automaticamente un account di archiviazione nella stessa area e nello stesso gruppo di risorse del server SQL per archiviare i risultati dell'analisi, con prefisso 'sqlva'. | DeployIfNotExists | 1.3.0 |
Distribuisci le impostazioni di diagnostica per il database SQL di Azure nell'hub eventi | Distribuisce le impostazioni di diagnostica per il database SQL di Azure per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un database SQL di Azure in cui manca questa impostazione di diagnostica. | DeployIfNotExists | 1.2.0 |
Distribuisci Transparent Data Encryption nel database SQL | Abilita Transparent Data Encryption nei database SQL | DeployIfNotExists, Disabled | 2.2.0 |
Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata | AuditIfNotExists, Disabled | 1.0.0 |
I database SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | I database devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | Impostando la versione minima di TLS su 1.2 è possibile migliorare la sicurezza e garantire che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled | 1.0.1 |
Le istanze gestite di SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | Le istanze gestite devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
I server SQL devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
La regola del firewall basata su rete virtuale nel database SQL di Azure deve essere abilitata per consentire il traffico dalla subnet specificata | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database SQL di Azure, garantendo al contempo che il traffico rimanga entro il limite di Azure. | AuditIfNotExists | 1.0.0 |
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Limiti
- I Criteri di Azure applicabili a database SQL di Azure e alla creazione di Istanza gestita di SQL non vengono applicati quando si usa T-SQL o SSMS.
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.