Udostępnij za pośrednictwem


Wbudowane definicje usługi Azure Policy dla usługi Azure SQL Database i wystąpienia zarządzanego SQL

Dotyczy: Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics

Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usług Azure SQL Database i SQL Managed Instance. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.

Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Usługa Azure SQL Database i wystąpienie zarządzane SQL

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: Bazy danych SQL powinny być strefowo nadmiarowe Bazy danych SQL można skonfigurować jako strefowo nadmiarowe lub nie. Bazy danych z ustawieniem "zoneRedundant" ustawionym na wartość "false" nie są skonfigurowane pod kątem nadmiarowości strefy. Te zasady pomagają zidentyfikować bazy danych SQL, które wymagają konfiguracji nadmiarowości strefy w celu zwiększenia dostępności i odporności na platformie Azure. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: Pule elastycznych baz danych SQL powinny być strefowo nadmiarowe Pule elastycznych baz danych SQL można skonfigurować jako strefowo nadmiarowe lub nie. Pule elastycznych baz danych SQL są strefowo nadmiarowe, jeśli właściwość "zoneRedundant" jest ustawiona na wartość "true". Wymuszanie tych zasad pomaga zagwarantować, że usługa Event Hubs jest odpowiednio skonfigurowana pod kątem odporności strefy, co zmniejsza ryzyko przestojów podczas przestojów w strefie. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: Wystąpienia zarządzane SQL powinny być strefowo nadmiarowe Usługę SQL Managed Instances można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Wystąpienia z ustawieniem "zoneRedundant" ustawione na wartość "false" nie są skonfigurowane na potrzeby nadmiarowości strefy. Te zasady pomagają zidentyfikować wystąpienia zarządzane SQL, które wymagają konfiguracji nadmiarowości strefy w celu zwiększenia dostępności i odporności na platformie Azure. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Inspekcja na serwerze SQL powinna być włączona Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej Ustawienie protokołu TLS w wersji 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database może być dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. Inspekcja, Wyłączone, Odmowa 2.0.0
Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft Wymagaj, aby serwery logiczne Usługi Azure SQL używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia serwerów z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia Wymagaj utworzenia serwerów logicznych usługi Azure SQL przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. Inspekcja, Odmowa, Wyłączone 1.2.0
Usługa Azure SQL Managed Instance powinna mieć włączone uwierzytelnianie tylko firmy Microsoft Wymagaj, aby usługa Azure SQL Managed Instance korzystała z uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia wystąpień zarządzanych usługi Azure SQL z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Aby dowiedzieć się więcej o dostępie do sieci publicznej, odwiedź stronę https://aka.ms/mi-public-endpoint. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure SQL Managed Instances powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia Wymagaj utworzenia usługi Azure SQL Managed Instance przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. Inspekcja, Odmowa, Wyłączone 1.2.0
Konfigurowanie usługi Azure Defender do włączenia w wystąpieniach zarządzanych SQL Włącz usługę Azure Defender w usłudze Azure SQL Managed Instances, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. DeployIfNotExists, Disabled 2.0.0
Konfigurowanie usługi Azure Defender do włączenia na serwerach SQL Włącz usługę Azure Defender na serwerach Azure SQL Server, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. DeployIfNotExists 2.1.0
Konfigurowanie ustawień diagnostycznych serwerów bazy danych Azure SQL Database w obszarze roboczym usługi Log Analytics Włącza dzienniki inspekcji dla serwera usługi Azure SQL Database i przesyła strumieniowo dzienniki do obszaru roboczego usługi Log Analytics, gdy w dowolnym programie SQL Server, który nie ma tej inspekcji, został utworzony lub zaktualizowany DeployIfNotExists, Disabled 1.0.2
Konfigurowanie programu Azure SQL Server w celu wyłączenia dostępu do sieci publicznej Wyłączenie właściwości dostępu do sieci publicznej wyłącza łączność publiczną, tak aby program Azure SQL Server mógł uzyskiwać dostęp tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp do sieci publicznej dla wszystkich baz danych w programie Azure SQL Server. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie programu Azure SQL Server w celu włączenia połączeń prywatnych punktów końcowych Połączenie prywatnego punktu końcowego umożliwia prywatną łączność z usługą Azure SQL Database za pośrednictwem prywatnego adresu IP wewnątrz sieci wirtualnej. Ta konfiguracja poprawia stan zabezpieczeń i obsługuje narzędzia i scenariusze sieciowe platformy Azure. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie serwerów SQL w celu włączenia inspekcji Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, serwery SQL powinny mieć włączoną inspekcję. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. DeployIfNotExists, Disabled 3.0.0
Konfigurowanie serwerów SQL w celu włączenia inspekcji w obszarze roboczym usługi Log Analytics Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, serwery SQL powinny mieć włączoną inspekcję. Jeśli inspekcja nie jest włączona, te zasady skonfigurują zdarzenia inspekcji w celu przepływu do określonego obszaru roboczego usługi Log Analytics. DeployIfNotExists, Disabled 1.0.0
Wdrażanie — konfigurowanie ustawień diagnostycznych dla baz danych SQL w obszarze roboczym usługi Log Analytics Wdraża ustawienia diagnostyczne dla baz danych SQL w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej bazie danych SQL, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. DeployIfNotExists, Disabled 4.0.0
Wdrażanie usługi Advanced Data Security na serwerach SQL Te zasady umożliwiają usługę Advanced Data Security na serwerach SQL. Obejmuje to włączenie funkcji wykrywania zagrożeń i oceny luk w zabezpieczeniach. Spowoduje to automatyczne utworzenie konta magazynu w tym samym regionie i grupie zasobów co serwer SQL do przechowywania wyników skanowania z prefiksem "sqlva". DeployIfNotExists 1.3.0
Wdrażanie ustawień diagnostycznych usługi Azure SQL Database w centrum zdarzeń Wdraża ustawienia diagnostyczne dla usługi Azure SQL Database, aby przesyłać strumieniowo do regionalnego centrum zdarzeń w dowolnej bazie danych Azure SQL Database, która nie ma tych ustawień diagnostycznych, została utworzona lub zaktualizowana. DeployIfNotExists 1.2.0
Wdrażanie przezroczystego szyfrowania danych w bazie danych SQL Umożliwia przezroczyste szyfrowanie danych w bazach danych SQL DeployIfNotExists, Disabled 2.2.0
Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla baz danych SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w usłudze Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla baz danych SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w usłudze Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla baz danych SQL (microsoft.sql/serwerów/baz danych). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) w usłudze Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) do usługi Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. AuditIfNotExists, Disabled 2.0.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.1.0
Ustawienia inspekcji SQL powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań Właściwość AuditActionsAndGroups powinna zawierać co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP w celu zapewnienia dokładnego rejestrowania inspekcji AuditIfNotExists, Disabled 1.0.0
Usługa SQL Database powinna unikać używania nadmiarowości kopii zapasowych GRS Bazy danych powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. Odmów, Wyłączone 2.0.0
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 4.1.0
Wystąpienie zarządzane SQL powinno mieć minimalną wersję protokołu TLS 1.2 Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do usługi SQL Managed Instance tylko od klientów przy użyciu protokołu TLS 1.2. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. Inspekcja, wyłączone 1.0.1
Usługa SQL Managed Instances powinna unikać używania nadmiarowości kopii zapasowych GRS Wystąpienia zarządzane powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. Odmów, Wyłączone 2.0.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Program SQL Server powinien używać punktu końcowego usługi sieci wirtualnej Te zasady sprawdzają, czy żaden program SQL Server nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. AuditIfNotExists, Disabled 1.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.1
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 3.0.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0
Reguła zapory sieci wirtualnej w usłudze Azure SQL Database powinna być włączona, aby zezwalać na ruch z określonej podsieci Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure SQL Database przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. AuditIfNotExists 1.0.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 3.0.0

Ograniczenia

  • Usługa Azure Policy dotyczy usługi Azure SQL Database i tworzenia wystąpienia zarządzanego SQL nie jest wymuszana w przypadku korzystania z języka T-SQL lub programu SSMS.

Następne kroki