Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: 
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Esta página é um índice das definições de políticas incorporadas na Azure Policy para Azure SQL Database e SQL Managed Instance. Para definições pré-definidas adicionais da Política do Azure para outros serviços, consulte Definições pré-definidas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub do Azure Policy.
Azure SQL Database & SQL Managed Instance
| Nome (Azure portal) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: As bases de dados SQL devem ser redundantes em zona | As bases de dados SQL podem ser configuradas para serem redundantes em zona ou não. Bases de dados com a definição 'zoneRedundant' definida para 'false' não estão configuradas para redundância de zonas. Esta política ajuda a identificar bases de dados SQL que necessitam de configuração de redundância de zonas para melhorar a disponibilidade e resiliência dentro do Azure. | Auditar, Negar, Desativar | 1.0.0-preview |
| [Pré-visualização]: Os pools de bases de dados SQL Elastic devem ser Redundantes de Zona | Os pools de bases de dados SQL Elastic podem ser configurados para serem redundantes de zona ou não. Os pools de bases de dados SQL Elastic são Redundantes de Zona se a propriedade 'zoneRedundant' estiver definida como 'true'. A aplicação dessa política ajuda a garantir que os Hubs de Eventos sejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditar, Negar, Desativar | 1.0.0-preview |
| [Pré-visualização]: As Instâncias Geridas SQL devem ser Redundantes de Zona | As Instâncias Geridas SQL podem ser configuradas para serem Redundantes de Zona ou não. As instâncias com a definição 'zoneRedundant' definida para 'false' não estão configuradas para redundância de zonas. Esta política ajuda a identificar SQL managedInstances que necessitam de configuração de redundância de zonas para aumentar a disponibilidade e resiliência dentro do Azure. | Auditar, Negar, Desativar | 1.0.0-preview |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Azure Active Directory para o seu servidor SQL de modo a habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão TLS para 1.2 ou mais recente melhora a segurança ao garantir que o seu Azure SQL Database só pode ser acedido a partir de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desativar, Recusar | 2.0.0 |
| A Base de Dados SQL do Azure deve ter a autenticação exclusiva do Microsoft Entra habilitada | Exigir que os servidores lógicos Azure SQL usem autenticação apenas Microsoft Entra. Esta política não impede que os servidores sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditar, Negar, Desativar | 1.0.0 |
| A Base de Dados SQL do Azure deve ter a autenticação apenas Microsoft Entra habilitada durante a criação | Exigir que servidores lógicos Azure SQL sejam criados com autenticação apenas Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditar, Negar, Desativar | 1.2.0 |
| A Instância Gerida do SQL do Azure deve ter a autenticação exclusiva do Microsoft Entra ativada | Exigir que o Azure SQL Managed Instance utilize autenticação apenas com Microsoft Entra. Esta política não impede a criação de instâncias Azure SQL Managed com autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditar, Negar, Desativar | 1.0.0 |
| As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditar, Negar, Desativar | 1.0.0 |
| As Instâncias Geridas SQL do Azure devem ter apenas a autenticação Microsoft Entra ativada durante a criação | Exigir que o Azure SQL Managed Instance seja criado com autenticação exclusiva do Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'autenticação apenas Microsoft Entra' para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditar, Negar, Desativar | 1.2.0 |
| Configure o Azure Defender para estar ativado em instâncias geridas por SQL | Ative o Azure Defender nas suas Instâncias Geridas de SQL Azure para detetar atividades anómalas que indiquem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | DeployIfNotExists, desativado | 2.0.0 |
| Configure o Azure Defender para estar ativado em servidores SQL | Ative o Azure Defender nos seus servidores SQL Azure para detetar atividades anómalas que indicem tentativas invulgares e potencialmente prejudiciais de aceder ou explorar bases de dados. | DeployIfNotExists | 2.1.0 |
| Configure as definições de diagnóstico dos servidores de base de dados Azure SQL para o espaço de trabalho Log Analytics | Permite auditar logs para o Azure SQL Database Server e transmitir os logs para um espaço de trabalho Log Analytics quando qualquer SQL Server que não tenha esta auditoria for criado ou atualizado | DeployIfNotExists, desativado | 1.0.2 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | Desativar a propriedade de acesso à rede pública desliga a conectividade pública, de modo que o Azure SQL Server só pode ser acedido a partir de um endpoint privado. Esta configuração desativa o acesso público à rede para todas as bases de dados no Azure SQL Server. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para ativar conexões de endpoints privadas | Uma ligação privada ao endpoint permite conectividade privada à sua base de dados Azure SQL através de um endereço IP privado dentro de uma rede virtual. Esta configuração melhora a sua postura de segurança e suporta ferramentas e cenários de rede Azure. | DeployIfNotExists, desativado | 1.0.0 |
| Configure servidores SQL para ter a auditoria ativada | Para garantir que as operações realizadas contra os seus ativos SQL são capturadas, os servidores SQL devem ter a auditoria ativada. Isso às vezes é necessário para a conformidade com as normas regulamentares. | DeployIfNotExists, desativado | 3.0.0 |
| Configure servidores SQL para terem a auditoria ativada no espaço de trabalho de Log Analytics | Para garantir que as operações realizadas contra os seus ativos SQL são capturadas, os servidores SQL devem ter a auditoria ativada. Se a auditoria não estiver ativada, esta política configurará os eventos de auditoria para fluírem para o espaço de trabalho especificado de Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Definir configurações de diagnóstico para bancos de dados SQL para o espaço de trabalho do Log Analytics | Implementa as definições de diagnóstico para bases de dados SQL para transmitir registos de recursos para um espaço de trabalho de Log Analytics quando qualquer base de dados SQL que não tenha estas definições de diagnóstico for criada ou atualizada. | DeployIfNotExists, desativado | 4.0.0 |
| Implementar Segurança Avançada de Dados em servidores SQL | Esta política permite Segurança Avançada de Dados em SQL Servers. Isto inclui ativar a Deteção de Ameaças e a Avaliação de Vulnerabilidades. Criará automaticamente uma conta de armazenamento na mesma região e grupo de recursos do servidor SQL para armazenar os resultados da varredura, com o prefixo 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Implementar as Definições de Diagnóstico para Azure SQL Database no Event Hub | Implementa as definições de diagnóstico da Azure SQL Database para transmitir para um Event Hub regional em qualquer Azure SQL Database que esteja em falta, estas definições de diagnóstico são criadas ou atualizadas. | DeployIfNotExists | 1.2.0 |
| Implementar encriptação de dados transparente em SQL DB | Permite encriptação de dados transparentes em bases de dados SQL | DeployIfNotExists, desativado | 2.2.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para bancos de dados SQL (microsoft.sql/servidores/bancos de dados). | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.1.0 |
| Ative o registo por grupo de categorias para bases de dados SQL (microsoft.sql/servidores/bases de dados) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para bases de dados SQL (microsoft.sql/servidores/bases de dados). | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para bancos de dados SQL (microsoft.sql/servidores/bancos de dados). | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para instâncias gerenciadas do SQL (microsoft.sql/managedinstances). | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.1.0 |
| Ative o registo por grupo de categorias para instâncias geridas SQL (microsoft.sql/geridas) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para instâncias geridas SQL (microsoft.sql/geridas. | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para instâncias gerenciadas SQL (microsoft.sql/managedinstances). | ImplementarSeNãoExistir, AuditarSeNãoExistir, Desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer base de dados Azure SQL com backup geo-redundante de longo prazo não ativado. | AuditIfNotExists, desativado | 2.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As ligações privadas aos endpoints garantem comunicação segura ao permitir a conectividade privada ao Azure SQL Database. | Modo de Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desativar a propriedade de acesso à rede pública melhora a segurança ao garantir que a sua Azure SQL Database só pode ser acedida a partir de um endpoint privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditar, Negar, Desativar | 1.1.0 |
| As configurações de Auditoria SQL devem ter Grupos de Ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP para garantir um registo de auditoria completo | AuditIfNotExists, desativado | 1.0.0 |
| O Banco de dados SQL deve evitar o uso de redundância de backup GRS | As bases de dados devem evitar usar o armazenamento geo-redundante por defeito para backups, caso as regras de residência de dados exijam que os dados permaneçam numa região específica. Nota: A Política Azure não é aplicada ao criar uma base de dados usando T-SQL. Se não for especificado explicitamente, a base de dados com armazenamento de backup geo-redundante é criada via T-SQL. | Negar, Inativo | 2.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| A Instância Gerenciada SQL deve ter a versão TLS mínima da 1.2 | Definir a versão mínima do TLS para 1.2 melhora a segurança ao garantir que a sua SQL Managed Instance só pode ser acedida a partir de clientes que utilizam TLS 1.2. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Modo de Auditoria, Desativado | 1.0.1 |
| As instâncias gerenciadas pelo SQL devem evitar o uso da redundância de backup GRS | As Instâncias Geridas devem evitar usar o armazenamento geo-redundante por defeito para backups, se as regras de residência de dados exigirem que os dados permaneçam dentro de uma região específica. Nota: A Política Azure não é aplicada ao criar uma base de dados usando T-SQL. Se não for especificado explicitamente, a base de dados com armazenamento de backup geo-redundante é criada via T-SQL. | Negar, Inativo | 2.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditar, Negar, Desativar | 2.0.0 |
| O SQL Server deve usar um endpoint de serviço de rede virtual | Esta política audita qualquer SQL Server que não esteja configurado para usar um endpoint de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Implementar o Transparent Data Encryption (TDE) com a sua própria chave proporciona maior transparência e controlo sobre o TDE Protector, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditar, Negar, Desativar | 2.0.1 |
| Os servidores SQL cuja auditoria é direcionada para uma conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para efeitos de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do seu SQL Server ao destino da conta de armazenamento em pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser ativada para proteger os dados armazenados e atender aos requisitos de conformidade. | AuditIfNotExists, desativado | 2.0.0 |
| A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada | Regras de firewall baseadas em rede virtual são usadas para permitir o tráfego de uma sub-rede específica para a Azure SQL Database, garantindo que o tráfego se mantém dentro do limite Azure. | AuditIfNotExists | 1.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada SQL Managed Instance que não tenha as análises recorrentes de vulnerabilidades ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite servidores Azure SQL que não tenham a avaliação de vulnerabilidades devidamente configurada. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Limitações
- A Política Azure aplicável à criação de Bases de Dados SQL Azure e SQL Managed Instance não é aplicada ao usar T-SQL ou SSMS.
Passos seguintes
- Consulte as funcionalidades embutidas no repositório GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos da política.