Beépített Azure Policy-definíciók az Azure SQL Database-hez és felügyelt SQL-példányhoz
A következőre vonatkozik:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure SQL Database-hez és a felügyelt SQL-példányhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure SQL Database > FELÜGYELT SQL-példány
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a csak Azure Active Directory-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak Az Azure Active Directory-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database-adatbázisok kizárólag Azure Active Directory-identitásokkal érhetők el. További információ: aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példánynak engedélyeznie kell a csak Azure Active Directory-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak Az Azure Active Directory-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a felügyelt Azure SQL-példányokat kizárólag Az Azure Active Directory-identitások érhessék el. További információ: aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést | Ha letiltja a nyilvános hálózati hozzáférést (nyilvános végpontot) a felügyelt Azure SQL-példányokon, azzal javítja a biztonságot, hogy azok csak a virtuális hálózatokon belülről vagy privát végpontokon keresztül érhetők el. A nyilvános hálózati hozzáféréssel kapcsolatos további információkért látogasson el https://aka.ms/mi-public-endpointide. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Defender konfigurálása felügyelt SQL-példányokon való engedélyezésre | Engedélyezze az Azure Defendert a felügyelt Azure SQL-példányokon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender konfigurálása az SQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Azure Defendert az Azure SQL Serveren, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists | 2.1.0 |
| Az Azure SQL-adatbáziskiszolgálók diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Naplók naplózását teszi lehetővé az Azure SQL Database-kiszolgálóhoz, és a naplókat egy Log Analytics-munkaterületre streameli, amikor a naplózást hiányzó SQL Servert létrehozták vagy frissítették | DeployIfNotExists, Disabled | 1.0.2 |
| Az Azure SQL Server konfigurálása a nyilvános hálózati hozzáférés letiltására | A nyilvános hálózati hozzáférési tulajdonság letiltása leállítja a nyilvános kapcsolatot, így az Azure SQL Server csak privát végpontról érhető el. Ez a konfiguráció letiltja a nyilvános hálózati hozzáférést az Azure SQL Server összes adatbázisához. | Módosítás, letiltva | 1.0.0 |
| Az Azure SQL Server konfigurálása privát végpontkapcsolatok engedélyezéséhez | A privát végpontkapcsolatok lehetővé teszik az Azure SQL Database-hez való privát kapcsolatot egy virtuális hálózaton belüli privát IP-címen keresztül. Ez a konfiguráció javítja a biztonsági helyzetet, és támogatja az Azure hálózati eszközeit és forgatókönyveit. | DeployIfNotExists, Disabled | 1.0.0 |
| Sql-kiszolgálók konfigurálása naplózás engedélyezésére | Annak érdekében, hogy az SQL-objektumokon végrehajtott műveletek rögzítve legyenek, az SQL-kiszolgálóknak engedélyezve kell lennie a naplózásnak. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | DeployIfNotExists, Disabled | 3.0.0 |
| SQL-kiszolgálók konfigurálása a Log Analytics-munkaterület naplózásának engedélyezésére | Annak érdekében, hogy az SQL-objektumokon végrehajtott műveletek rögzítve legyenek, az SQL-kiszolgálóknak engedélyezve kell lennie a naplózásnak. Ha a naplózás nincs engedélyezve, ez a szabályzat úgy konfigurálja a naplózási eseményeket, hogy a megadott Log Analytics-munkaterületre áramoljanak. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az SQL Database diagnosztikai beállításainak konfigurálása a Log Analytics-munkaterületre | Üzembe helyezi az SQL Database diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításból hiányzó SQL Database-adatbázis létrejön vagy frissül. | DeployIfNotExists, Disabled | 4.0.0 |
| Advanced Data Security üzembe helyezése SQL-kiszolgálókon | Ez a szabályzat lehetővé teszi az Advanced Data Security használatát az SQL Serveren. Ez magában foglalja a fenyegetésészlelés és a biztonságirés-felmérés bekapcsolását. Automatikusan létrehoz egy tárfiókot az SQL Serverrel azonos régióban és erőforráscsoportban a vizsgálati eredmények tárolásához egy "sqlva" előtaggal. | DeployIfNotExists | 1.3.0 |
| Diagnosztikai Gépház üzembe helyezése az Azure SQL Database-hez az Event Hubsban | Üzembe helyezi az Azure SQL Database diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen bármely olyan Azure SQL Database-en, amelyből hiányzik ez a diagnosztikai beállítás, létrejön vagy frissítve lesz. | DeployIfNotExists | 1.2.0 |
| Az SQL DB transzparens adattitkosításának üzembe helyezése | Transzparens adattitkosítás engedélyezése SQL-adatbázisokon | DeployIfNotExists, Disabled | 2.2.0 |
| Az SQL-adatbázisok (microsoft.sql/servers/databases) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubsba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók SQL-adatbázisokhoz (microsoft.sql/servers/databases) tartozó eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Az SQL-adatbázisok (microsoft.sql/servers/databases) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók SQL-adatbázisokhoz (microsoft.sql/servers/databases) tartozó Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-adatbázisok (microsoft.sql/servers/databases) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók SQL-adatbázisok (microsoft.sql/servers/databases) tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A felügyelt SQL-példányok (microsoft.sql/managedinstances) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubsba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy eseményközpontba felügyelt SQL-példányokhoz (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt SQL-példányokhoz (microsoft.sql/managedinstances) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a felügyelt SQL-példányok (microsoft.sql/managedinstances) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Felügyelt SQL-példányok (microsoft.sql/managedinstances) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a felügyelt SQL-példányok (microsoft.sql/managedinstances) tárfiókjába. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az SQL-naplózási beállításoknak konfigurálniuk kell a kritikus tevékenységek rögzítésére szolgáló műveletcsoportokat | Az AuditActionsAndGroups tulajdonságnak legalább SUCCESSFUL_DATABAStandard kiadás_AUTHENTICATION_GROUP, FAILED_DATABAStandard kiadás_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP kell tartalmaznia az alapos naplózás biztosítása érdekében | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL Database-nek kerülnie kell a GRS biztonsági mentési redundanciáinak használatát | Az adatbázisoknak kerülnie kell az alapértelmezett georedundáns tárolás használatát a biztonsági mentésekhez, ha az adattárolási szabályok megkövetelik, hogy az adatok egy adott régión belül maradjanak. Megjegyzés: Az Azure Policy nem lesz kényszerítve adatbázis T-SQL használatával történő létrehozásakor. Ha nincs explicit módon megadva, a georedundáns biztonsági mentési tárterülettel rendelkező adatbázis a T-SQL-en keresztül jön létre. | Megtagadás, letiltva | 2.0.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.0.0 |
| A felügyelt SQL-példánynak rendelkeznie kell az 1.2 minimális TLS-verziójával | A minimális TLS-verzió 1.2-es verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy a felügyelt SQL-példány csak a TLS 1.2-es verzióját használó ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, letiltva | 1.0.1 |
| A felügyelt SQL-példányoknak kerülnie kell a GRS biztonsági mentési redundanciáinak használatát | A felügyelt példányoknak kerülnie kell az alapértelmezett georedundáns tárolás használatát a biztonsági mentésekhez, ha az adattárolási szabályok megkövetelik, hogy az adatok egy adott régión belül maradjanak. Megjegyzés: Az Azure Policy nem lesz kényszerítve adatbázis T-SQL használatával történő létrehozásakor. Ha nincs explicit módon megadva, a georedundáns biztonsági mentési tárterülettel rendelkező adatbázis a T-SQL-en keresztül jön létre. | Megtagadás, letiltva | 2.0.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL Servernek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan SQL Servert, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure SQL Database virtuális hálózati tűzfalszabályát engedélyezni kell a megadott alhálózatról érkező forgalom engedélyezéséhez | A virtuális hálózatokon alapuló tűzfalszabályok lehetővé teszik egy adott alhálózatról az Azure SQL Database-be irányuló forgalmat, miközben biztosítják, hogy a forgalom az Azure határain belül maradjon. | AuditIfNotExists | 1.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Korlátozások
- Az Azure SQL Database-hez és a felügyelt SQL-példányok létrehozásához alkalmazható Azure Policy nem kényszeríthető ki T-SQL vagy SSMS használatakor.
További lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: