Встроенные определения в Политике Azure для Базы данных SQL Azure и Управляемого экземпляра SQL
Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Базы данных SQL Azure и Управляемого экземпляра SQL. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
База данных SQL Azure и Управляемый экземпляр SQL
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[предварительная версия]: База данных SQL должны быть избыточными по зонам | База данных SQL можно настроить для избыточности зоны или нет. Базы данных с параметром zoneRedundant, равным false, не настроены для избыточности зоны. Эта политика помогает определить базы данных SQL, которые нуждаются в конфигурации избыточности зоны для повышения доступности и устойчивости в Azure. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
[предварительная версия]: пулы эластичных баз данных SQL должны быть избыточными по зонам | Пулы эластичных баз данных SQL можно настроить как избыточные зоны или нет. Пулы эластичных баз данных SQL являются избыточными по зонам, если для свойства zoneRedundant задано значение true. Применение этой политики помогает обеспечить соответствующую настройку центров событий для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
[предварительная версия]: Управляемый экземпляр SQL должны быть избыточными по зонам | Управляемый экземпляр SQL можно настроить для избыточности зоны или нет. Экземпляры с параметром zoneRedundant, равным false, не настроены для избыточности зоны. Эта политика помогает определить управляемые экземпляры SQL, которые нуждаются в конфигурации избыточности зоны для повышения доступности и устойчивости в Azure. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Audit, Disabled, Deny | 2.0.0 |
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать, чтобы логические серверы SQL Azure использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra во время создания | Требовать, чтобы логические серверы SQL Azure создавались с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать Управляемый экземпляр SQL Azure для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров SQL Azure с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
во время создания Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать создания Управляемый экземпляр SQL Azure с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Настройка включения Azure Defender на управляемых экземплярах SQL | Включение Azure Defender на ваших управляемых экземплярах SQL Azure позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или их эксплойта. | DeployIfNotExists, Disabled | 2.0.0 |
Настройка включения Azure Defender на серверах SQL | Включение Azure Defender на серверах Azure SQL позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или их эксплойта. | Развернуть, если не существует | 2.1.0 |
Настройка параметров диагностики для серверов Базы данных SQL Azure в рабочей области Log Analytics | Включает журналы аудита для сервера Базы данных SQL Azure и передает их в рабочую область Log Analytics при создании или изменении сервера SQL Server, на котором отсутствует аудит | DeployIfNotExists, Disabled | 1.0.2 |
Настройка отключения доступа к общедоступной сети для Azure SQL Server | Отключение доступа к общедоступной сети завершает работу общедоступного подключения, после чего доступ к Azure SQL Server можно получить только из частной конечной точки. Эта конфигурация предусматривает отключение доступа к общедоступной сети для всех баз данных в Azure SQL Server. | Modify, Disabled | 1.0.0 |
Настройка Azure SQL Server для обеспечения подключений к частным конечным точкам | Подключение к частной конечной точке обеспечивает возможность частного подключения к Базе данных SQL Azure через частный IP-адрес в виртуальной сети. Эта конфигурация повышает состояние безопасности и поддерживает средства и сценарии работы с сетью Azure. | DeployIfNotExists, Disabled | 1.0.0 |
Для серверов SQL необходимо включить аудит | Чтобы обеспечить сбор данных об операциях с ресурсами SQL, для серверов SQL необходимо включить аудит. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | DeployIfNotExists, Disabled | 3.0.0 |
Настройте серверы SQL для включения аудита в рабочей области Log Analytics | Чтобы обеспечить сбор данных об операциях с ресурсами SQL, для серверов SQL необходимо включить аудит. Если аудит не включен, эта политика настроит события аудита, чтобы направить их потоки в указанную рабочую область Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
Развертывание. Настройка параметров диагностики для Баз данных SQL в рабочей области Log Analytics | Развертывает параметры диагностики для Баз данных SQL для потоковой передачи журналов ресурсов в рабочую область Log Analytics при создании или изменении любой Базы данных SQL, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 4.0.0 |
Развертывание Расширенной защиты данных на серверах SQL Server | Эта политика активирует Расширенную защиту данных на серверах SQL Server. Сюда входит включение обнаружения угроз и оценки уязвимостей. При этом автоматически создастся учетная запись хранения с префиксом "sqlva" в одном регионе и одной группе ресурсов с SQL Server для хранения результатов проверки. | Развернуть, если не существует | 1.3.0 |
Развернуть параметры диагностики для Базы данных SQL Azure в концентраторе событий | Развертывает параметры диагностики для Базы данных SQL Azure для потоковой передачи в региональный концентратор событий при создании или изменении любой Базы данных SQL Azure, где эти параметры диагностики отсутствуют. | Развернуть, если не существует | 1.2.0 |
Развернуть прозрачное шифрование базы данных SQL | Включает прозрачное шифрование данных в базах данных SQL | DeployIfNotExists, Disabled | 2.2.0 |
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов или баз данных) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для баз данных SQL (microsoft.sql/серверов или баз данных). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов и баз данных) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для баз данных SQL (microsoft.sql/серверов или баз данных). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов или баз данных) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для баз данных SQL (microsoft.sql/серверов или баз данных). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/managedinstances) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/managedinstances) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для управляемых экземпляров SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, Disabled | 2.0.0 |
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
В параметрах аудита SQL необходимо настроить группы действий для записи критических действий | Для подробного ведения журнала аудита свойство AuditActionsAndGroups должно включать как минимум следующие значения: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. | AuditIfNotExists, Disabled | 1.0.0 |
База данных SQL не должна использовать избыточность GRS для резервных копий | Базы данных не должны использовать геоизбыточное хранилище для резервного копирования, если правила относительно места расположения данных требуют, чтобы данные оставались в определенном регионе. Примечание. Политика Azure не применяется при создании базы данных с помощью T-SQL. Если явно не указано иное, база данных с геоизбыточным хранилищем резервных копий создается с помощью T-SQL. | Deny, Disabled | 2.0.0 |
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 | Задав в качестве минимальной версию TLS 1.2, вы усилите защиту, сделав Управляемый экземпляр SQL доступным только с клиентов, использующих TLS 1.2. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Audit, Disabled | 1.0.1 |
Управляемые экземпляры SQL не должны использовать избыточность GRS для резервных копий | Управляемые экземпляры не должны использовать геоизбыточное хранилище по умолчанию для резервных копий, если правила относительно места расположения данных требуют, чтобы данные оставались в определенном регионе. Примечание. Политика Azure не применяется при создании базы данных с помощью T-SQL. Если явно не указано иное, база данных с геоизбыточным хранилищем резервных копий создается с помощью T-SQL. | Deny, Disabled | 2.0.0 |
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
Служба SQL Server должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех SQL Server, не настроенных на использование конечной точки службы виртуальной сети. | AuditIfNotExists, Disabled | 1.0.0 |
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Правило брандмауэра на основе виртуальной сети для Базы данных SQL Azure должно быть включено, чтобы разрешить трафик из указанной подсети | Правила брандмауэра на основе виртуальной сети используются для разрешения трафика к Базе данных SQL Azure из определенной подсети, при этом трафик остается в пределах границ Azure. | Проверить, если не существует | 1.0.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Ограничения
- Политика Azure применимо к База данных SQL Azure и созданию Управляемый экземпляр SQL не применяется при использовании T-SQL или SSMS.
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.