Aracılığıyla paylaş


Azure SQL Veritabanı ve SQL Yönetilen Örneği için yerleşik tanımları Azure İlkesi

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu sayfa, Azure SQL Veritabanı ve SQL Yönetilen Örneği için yerleşik Azure İlkesi ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.

Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.

Azure SQL Veritabanı &SQL Yönetilen Örneği

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: SQL Veritabanı Alanlar Arası Yedekli olmalıdır SQL Veritabanı Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' ayarı 'false' olarak ayarlanmış veritabanları, alanlar arası yedeklilik için yapılandırılmaz. Bu ilke, Azure'da kullanılabilirliği ve dayanıklılığı geliştirmek için alanlar arası yedeklilik yapılandırması gerektiren SQL veritabanlarının tanımlanmasına yardımcı olur. Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
[Önizleme]: SQL Elastik veritabanı havuzları Alanlar Arası Yedekli olmalıdır SQL Elastik veritabanı havuzları Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' özelliği 'true' olarak ayarlandıysa SQL Elastik veritabanı havuzları Alanlar Arası Yedeklidir. Bu ilkenin zorunlu tutulması, Event Hubs'ın bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak ve bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
[Önizleme]: SQL Yönetilen Örneği Alanlar Arası Yedekli olmalıdır SQL Yönetilen Örneği Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' ayarı 'false' olarak ayarlanmış örnekler, alanlar arası yedeklilik için yapılandırılmaz. Bu ilke, Azure'da kullanılabilirliği ve dayanıklılığı geliştirmek için alanlar arası yedeklilik yapılandırması gerektiren SQL managedInstance'ların tanımlanmasına yardımcı olur. Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. Denetim, Devre Dışı, Reddet 2.0.0
Azure SQL Veritabanı Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasını kullanmasını zorunlu kılar. Bu ilke, sunucuların yerel kimlik doğrulaması etkin olarak oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. Denetim, Reddetme, Devre Dışı 1.0.0
Azure SQL Veritabanı oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. Denetim, Reddetme, Devre Dışı 1.2.0
Azure SQL Yönetilen Örneği Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir Microsoft Entra-only kimlik doğrulamasını kullanmak için Azure SQL Yönetilen Örneği gerektir. Bu ilke, Yerel kimlik doğrulaması etkinken Azure SQL Yönetilen örneklerinin oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. Denetim, Reddetme, Devre Dışı 1.0.0
Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/mi-public-endpoint. Denetim, Reddetme, Devre Dışı 1.0.0
Azure SQL Yönetilen Örneği oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir Microsoft Entra-only kimlik doğrulaması ile Azure SQL Yönetilen Örneği oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. Denetim, Reddetme, Devre Dışı 1.2.0
Azure Defender'ı SQL yönetilen örneklerinde etkinleştirilecek şekilde yapılandırma Veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure SQL Yönetilen Örneği'lerinizde Azure Defender'ı etkinleştirin. DeployIfNotExists, Devre Dışı 2.0.0
Azure Defender'ı SQL sunucularında etkinleştirilecek şekilde yapılandırma Veritabanlarına erişmeye veya veritabanlarını kötüye kullanma girişimlerine yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure SQL Sunucularınızda Azure Defender'ı etkinleştirin. DeployIfNotExists 2.1.0
Azure SQL veritabanı sunucuları tanılama ayarlarını Log Analytics çalışma alanında yapılandırma Azure SQL Veritabanı sunucusu için denetim günlüklerini etkinleştirir ve bu denetimin eksik olduğu herhangi bir SQL Server oluşturulduğunda veya güncelleştirildiğinde günlükleri Log Analytics çalışma alanına akışla aktarır DeployIfNotExists, Devre Dışı 1.0.2
Azure SQL Server'ı genel ağ erişimini devre dışı bırakmak için yapılandırma Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Server'a yalnızca özel bir uç noktadan erişilebileceği şekilde genel bağlantıyı kapatır. Bu yapılandırma, Azure SQL Server altındaki tüm veritabanları için genel ağ erişimini devre dışı bırakır. Değiştir, Devre Dışı 1.0.0
Azure SQL Server'ı özel uç nokta bağlantılarını etkinleştirecek şekilde yapılandırma Özel uç nokta bağlantısı, sanal ağın içindeki özel IP adresi aracılığıyla Azure SQL Veritabanı özel bağlantı sağlar. Bu yapılandırma, güvenlik duruşunuzu geliştirir ve Azure ağ araçlarını ve senaryolarını destekler. DeployIfNotExists, Devre Dışı 1.0.0
SQL sunucularını denetimin etkin olması için yapılandırma SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için SQL sunucularında denetim etkinleştirilmelidir. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. DeployIfNotExists, Devre Dışı 3.0.0
SQL sunucularını Log Analytics çalışma alanında denetimi etkinleştirecek şekilde yapılandırma SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için SQL sunucularında denetim etkinleştirilmelidir. Denetim etkinleştirilmemişse, bu ilke denetim olaylarını belirtilen Log Analytics çalışma alanına akacak şekilde yapılandıracaktır. DeployIfNotExists, Devre Dışı 1.0.0
Dağıtma - Log Analytics çalışma alanına SQL Veritabanı tanılama ayarlarını yapılandırma Bu tanılama ayarları eksik SQL Veritabanı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına aktarmak için SQL Veritabanı tanılama ayarlarını dağıtır. DeployIfNotExists, Devre Dışı 4.0.0
SQL sunucularında Gelişmiş Veri Güvenliği dağıtma Bu ilke, SQL Sunucularında Gelişmiş Veri Güvenliği'ni etkinleştirir. Bu, Tehdit Algılama ve Güvenlik Açığı Değerlendirmesi'nin açılmasını içerir. Tarama sonuçlarını depolamak için SQL sunucusuyla aynı bölgede ve kaynak grubunda otomatik olarak bir depolama hesabı oluşturur ve bir 'sqlva' ön eki kullanır. DeployIfNotExists 1.3.0
Azure SQL Veritabanı için Tanılama Ayarlarını Olay Hub'ına Dağıtma Bu tanılama ayarlarının oluşturulduğu veya güncelleştirildiği Azure SQL Veritabanı bölgesel bir Olay Hub'ına akış yapmak üzere Azure SQL Veritabanı tanılama ayarlarını dağıtır. DeployIfNotExists 1.2.0
SQL DB saydam veri şifrelemesi dağıtma SQL veritabanlarında saydam veri şifrelemesini etkinleştirir DeployIfNotExists, Devre Dışı 2.2.0
OLAY Hub'ına SQL veritabanları (microsoft.sql/sunucular/veritabanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
LOG Analytics'e SQL veritabanları (microsoft.sql/sunucular/veritabanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
DEPOLAMA'ya SQL veritabanları (microsoft.sql/sunucular/veritabanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için depolama hesabına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
EVENT Hub'a SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
LOG Analytics'e SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
DEPOLAMA'ya SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için depolama hesabına yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Azure SQL Veritabanı için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanı denetler. AuditIfNotExists, Devre Dışı 2.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
SQL Denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış Eylem Gruplarına sahip olmalıdır AuditActionsAndGroups özelliği, kapsamlı bir denetim günlüğü sağlamak için en az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP içermelidir AuditIfNotExists, Devre Dışı 1.0.0
SQL Veritabanı GRS yedekleme yedekliliğini kullanmaktan kaçınmalı Veri yerleşimi kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa veritabanları yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. Reddet, Devre Dışı 2.0.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.1.0
SQL Yönetilen Örneği en düşük 1.2 TLS sürümüne sahip olmalıdır En düşük TLS sürümünün 1.2 olarak ayarlanması, SQL Yönetilen Örneği yalnızca TLS 1.2 kullanan istemcilerden erişilebilir olmasını sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. Denetim, Devre Dışı 1.0.1
SQL Yönetilen Örneği, GRS yedekleme yedekliliğini kullanmaktan kaçınmalıdır Veri yerleşim kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa, Yönetilen Örnekler yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. Reddet, Devre Dışı 2.0.0
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.0
SQL Server bir sanal ağ hizmet uç noktası kullanmalıdır Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm SQL Server'ları denetler. AuditIfNotExists, Devre Dışı 1.0.0
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0
belirtilen alt ağdan gelen trafiğe izin vermek için Azure SQL Veritabanı sanal ağ güvenlik duvarı kuralı etkinleştirilmelidir Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan Azure SQL Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. AuditIfNotExists 1.0.0
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 1.0.1
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 3.0.0

Sınırlamalar

  • Azure SQL Veritabanı ve SQL Yönetilen Örneği oluşturma için geçerli Azure İlkesi, T-SQL veya SSMS kullanılırken uygulanmaz.

Sonraki adımlar