「適用於 PostgreSQL 的 Azure 資料庫」的 Azure 原則法規合規性控制措施
適用於: 適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器即將淘汰。 強烈建議您升級至適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。 如需移轉至適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊,請參閱適用於 PostgreSQL 的 Azure 資料庫單一伺服器會發生什麼情況? (部分機器翻譯)。
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面會列出「適用於 PostgreSQL 的 Azure 資料庫」的合規性網域和安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:適用於 PostgreSQL 的 Azure 資料庫彈性伺服器應該是「區域復原」 | 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器可以設定為「區域對齊」、「區域備援」或兩者皆非。 在相同區域中具有針對高可用性選取之待命伺服器的 PostgreSQL 伺服器,會視為「區域對齊」。 相反地,在不同區域中具有針對高可用性選取之待命伺服器的 PostgreSQL 伺服器,會辨識為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure PostgreSQL 彈性伺服器應已啟用僅限 Microsoft Entra 驗證 | 停用本機驗證方法並僅允許 Microsoft Entra 驗證,可藉由確保 Microsoft Entra 身分識別可以獨佔存取 Azure PostgreSQL 彈性伺服器來改善安全性。 | Audit, Disabled | 1.0.0-preview |
應為 PostgreSQL 彈性伺服器佈建 Microsoft Entra 管理員 | 稽核 PostgreSQL 彈性伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 伺服器佈建 Microsoft Entra 管理員 | 稽核 PostgreSQL 伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.1 |
應針對 PostgreSQL 彈性伺服器啟用 PgAudit 稽核 | 此原則可協助稽核環境中未啟用 pgaudit 的任何 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
設定要在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用的進階威脅防護 | 在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護,以偵測異常活動,進而指出異常且可能有害的嘗試存取或利用資料庫情形。 | DeployIfNotExists, Disabled | 1.1.0 |
設定要在適用於 PostgreSQL 的 Azure 資料庫伺服器上啟用的進階威脅防護 | 在適用於 PostgreSQL 的非基本層 Azure 資料庫伺服器上啟用進階威脅防護,以偵測異常活動,進而指出異常且可能有害的嘗試存取或利用資料庫情形。 | DeployIfNotExists, Disabled | 1.2.0 |
應為 PostgreSQL 資料庫伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 彈性伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 彈性伺服器。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
將 PostgreSQL 彈性伺服器的診斷設定部署至 Log Analytics 工作區 | 針對 PostgreSQL 彈性伺服器部署診斷設定,以在任何缺少此診斷設定的 PostgreSQL 彈性伺服器建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 彈性伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 PostgreSQL 彈性伺服器 (microsoft.dbforpostgresql/flexibleservers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 PostgreSQL 的 Azure 資料庫彈性伺服器 (microsoft.dbforpostgresql/flexibleservers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為 PostgreSQL 彈性伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫彈性伺服器連線至用戶端應用程式。 在您的資料庫彈性伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 PostgreSQL 的 Azure 資料庫彈性伺服器啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.0 |
應為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密 | 為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密,讓資料有更高層級的安全保證。 啟用基礎結構加密時,待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密 | Audit, Deny, Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 彈性伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 彈性伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器啟用記錄持續時間 | 此原則可協助稽核您環境中任何未啟用 log_duration 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
PostgreSQL 彈性伺服器應該執行 TLS 1.2 版或更新版本 | 此原則可協助稽核環境中執行 TLS 1.2 版以下版本的任何 PostgreSQL 彈性伺服器。 | AuditIfNotExists, Disabled | 1.0.0 |
PostgreSQL 彈性伺服器應使用客戶自控密鑰來加密待用數據 | 使用客戶自控金鑰來管理 PostgreSQL 彈性伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.1.0 |
PostgreSQL 伺服器應使用虛擬網路服務端點 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入適用於 PostgreSQL 的 Azure 資料庫,同時確保流量會保持在 Azure 界限內。 此原則可讓您在使用擁有虛擬網路服務端點的適用於 PostgreSQL 的 Azure 資料庫情況下進行稽核。 | AuditIfNotExists, Disabled | 1.0.2 |
PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
PostgreSQL 彈性伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
PostgreSQL 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
應為 PostgreSQL 彈性伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 型防火牆規則的登入。 | Audit, Deny, Disabled | 3.1.0 |
應為 PostgreSQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.1 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。