Inbyggda Azure Policy-definitioner för Azure SQL Database och SQL Managed Instance
Gäller för:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure SQL Database och SQL Managed Instance. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure SQL Database och SQL Managed Instance
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure SQL Database ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granska, inaktiverad, Neka | 2.0.0 |
| Azure SQL Database bör ha Azure Active Directory Only Authentication aktiverat | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory-autentisering förbättras säkerheten genom att säkerställa att Azure SQL Databases endast kan nås av Azure Active Directory-identiteter. Läs mer på: aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Managed Instance ska ha Azure Active Directory Only Authentication aktiverat | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory-autentisering förbättras säkerheten genom att säkerställa att Azure SQL Managed Instances endast kan nås av Azure Active Directory-identiteter. Läs mer på: aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Att Azure Defender ska aktiveras på SQL-hanterade instanser | Aktivera Azure Defender på dina Azure SQL Managed Instances för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Att Azure Defender ska aktiveras på SQL-servrar | Aktivera Azure Defender på dina Azure SQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists | 2.1.0 |
| Konfigurera diagnostikinställningar för Azure SQL-databasservrar till Log Analytics-arbetsytan | Aktiverar granskningsloggar för Azure SQL Database-servern och strömmar loggarna till en Log Analytics-arbetsyta när en SQL Server som saknar den här granskningen skapas eller uppdateras | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera Azure SQL Server för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen stängs den offentliga anslutningen så att Azure SQL Server endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomsten till det offentliga nätverket för alla databaser under Azure SQL Server. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure SQL Server för att aktivera privata slutpunktsanslutningar | En privat slutpunktsanslutning möjliggör privat anslutning till din Azure SQL Database via en privat IP-adress i ett virtuellt nätverk. Den här konfigurationen förbättrar din säkerhetsstatus och stöder Azure-nätverksverktyg och -scenarier. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera SQL-servrar så att granskning är aktiverat | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör SQL-servrarna ha granskning aktiverat. Detta krävs ibland för efterlevnad av regelstandarder. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Konfigurera SQL-servrar så att granskning är aktiverat på Log Analytics-arbetsytan | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör SQL-servrarna ha granskning aktiverat. Om granskning inte är aktiverat konfigurerar den här principen granskningshändelser så att de flödar till den angivna Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera diagnostikinställningar för SQL-databaser till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för SQL-databaser för att strömma resursloggar till en Log Analytics-arbetsyta när en SQL Database som saknar den här diagnostikinställningen skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 4.0.0 |
| Distribuera Advanced Data Security på SQL-servrar | Den här principen aktiverar Advanced Data Security på SQL-servrar. Detta omfattar aktivering av hotidentifiering och sårbarhetsbedömning. Det skapar automatiskt ett lagringskonto i samma region och resursgrupp som SQL-servern för att lagra genomsökningsresultat med prefixet "sqlva". | DeployIfNotExists | 1.3.0 |
| Distribuera diagnostik Inställningar för Azure SQL Database till Event Hubs | Distribuerar diagnostikinställningarna för Azure SQL Database för att strömma till en regional händelsehubb på valfri Azure SQL Database som saknar den här diagnostikinställningen skapas eller uppdateras. | DeployIfNotExists | 1.2.0 |
| Distribuera transparent datakryptering i SQL DB | Möjliggör transparent datakryptering på SQL-databaser | DeployIfNotExists, inaktiverad | 2.2.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servers/databases) till Event Hubs | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för SQL-databaser (microsoft.sql/servers/databaser). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servers/databases) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SQL-databaser (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servers/databases) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SQL-databaser (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Event Hubs | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| SQL-granskningsinställningar bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter | Egenskapen AuditActionsAndGroups bör innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL Database bör undvika att använda GRS-säkerhetskopieringsredundans | Databaser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopior, om regler för datahemvist kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. | Neka, inaktiverad | 2.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| SQL Managed Instance bör ha den lägsta TLS-versionen av 1.2 | Om du ställer in minimal TLS-version på 1.2 förbättras säkerheten genom att se till att din SQL Managed Instance endast kan nås från klienter med TLS 1.2. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granskning, inaktiverad | 1.0.1 |
| SQL Managed Instances bör undvika att använda GRS-säkerhetskopieringsredundans | Hanterade instanser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopior, om regler för datahemvist kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. | Neka, inaktiverad | 2.0.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL Server bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla SQL Server-servrar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Brandväggsregeln för virtuellt nätverk i Azure SQL Database ska vara aktiverad för att tillåta trafik från det angivna undernätet | Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett specifikt undernät till Azure SQL Database samtidigt som trafiken hålls inom Azure-gränsen. | AuditIfNotExists | 1.0.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Begränsningar
- Azure Policy som gäller för skapande av Azure SQL Database och SQL Managed Instance tillämpas inte när du använder T-SQL eller SSMS.
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.