Server- en databasecontrole verkennen
Met Azure SQL-controle worden databasegebeurtenissen bijgehouden en naar een auditlogboek in uw Azure Storage-account, Log Analytics-werkruimte of Event Hubs geschreven. Het helpt bij het onderhouden van naleving van regelgeving, het analyseren van activiteitspatronen en het identificeren van afwijkingen die kunnen duiden op schendingen van de beveiliging.
U kunt beleidsregels op server- en databaseniveau definiƫren. Serverbeleid omvat automatisch nieuwe en bestaande databases in Azure.
- Als servercontrole is ingeschakeld, wordt de database gecontroleerd, ongeacht de instellingen voor databasecontrole.
- Naast het inschakelen van controle op de server, kunt u deze ook inschakelen in de database. Hierdoor kunnen beide controles tegelijk bestaan; het serverbeleid en het databasebeleid.
Het is raadzaam om servercontrole en databasecontrole niet samen in te schakelen, tenzij:
- Er wordt een ander opslagaccount, een retentieperiode of Log Analytics-werkruimte gebruikt voor een specifieke database.
- Er is een controle nodig voor een specifieke database die verschilt van de rest op de server, zoals verschillende gebeurtenistypen of categorieƫn.
Voor alle andere gevallen is het raadzaam om alleen controle op serverniveau in te schakelen en de controle op databaseniveau uitgeschakeld te laten voor alle databases.
Het standaardcontrolebeleid voor SQL Database bevat de volgende set actiegroepen:
| Actiegroep | Definitie |
|---|---|
| BATCH_COMPLETED_GROUP | Controleert alle query's en opgeslagen procedures die worden uitgevoerd op de database. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Dit geeft aan dat een principal is geslaagd om zich aan te melden bij de database. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Dit geeft aan dat een principal zich niet kan aanmelden bij de database. |
Als u controle wilt inschakelen voor alle databases op een Azure SQL-server, selecteert u Controle in de sectie Beveiliging van de hoofdblade voor uw server. Met de controlepagina kunt u de bestemming van het auditlogboek instellen.
De controleservices voor SQL Database en SQL Managed Instance zijn geoptimaliseerd voor beschikbaarheid en prestaties. Sql Database en SQL Managed Instance registreren mogelijk geen gecontroleerde gebeurtenissen wanneer er sprake is van een hoge activiteit of een hoge netwerkbelasting.
Notitie
Controle op alleen-lezen replica's wordt automatisch ingeschakeld.
Gevoelige labels controleren
In combinatie met gegevensclassificatie kunt u ook de toegang tot gevoelige gegevens bewaken. Azure SQL Auditing is verbeterd om een nieuw veld op te nemen in het auditlogboek met de naam data_sensitivity_information.
Door de vertrouwelijkheidslabels van de gegevens die door een query worden geretourneerd, te registreren, biedt dit veld een eenvoudigere manier om de toegang tot geclassificeerde kolommen bij te houden.
Controle bestaat uit het bijhouden en vastleggen van gebeurtenissen die plaatsvinden in de database-engine. Azure SQL-controle vereenvoudigt de configuratiestappen die nodig zijn om deze in te schakelen, waardoor het eenvoudiger is om databaseactiviteiten voor SQL Database en SQL Managed Instance bij te houden.