Definições internas da Política do Azure para o Banco de Dados SQL do Azure & Instância Gerenciada SQL
Aplica-se a:
Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics
Esta página é um índice das definições de política internas da Política do Azure para o Banco de Dados SQL do Azure e a Instância Gerenciada do SQL. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Banco de Dados SQL do Azure & Instância Gerenciada SQL
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desabilitar, Negar | 2.0.0 |
| O Banco de Dados SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada | Desabilitar métodos de autenticação local e permitir apenas a Autenticação do Ative Directory do Azure melhora a segurança, garantindo que os Bancos de Dados SQL do Azure possam ser acessados exclusivamente pelas identidades do Azure Ative Directory. Saiba mais em: aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada | Desabilitar métodos de autenticação local e permitir apenas a Autenticação do Ative Directory do Azure melhora a segurança, garantindo que as Instâncias Gerenciadas SQL do Azure possam ser acessadas exclusivamente pelas identidades do Azure Ative Directory. Saiba mais em: aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar o Azure Defender para ser habilitado em instâncias gerenciadas SQL | Habilite o Azure Defender em suas Instâncias Gerenciadas SQL do Azure para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar o Azure Defender para ser habilitado em servidores SQL | Habilite o Azure Defender em seus SQL Servers do Azure para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists | 2.1.0 |
| Definir configurações de diagnóstico de servidores de banco de dados SQL do Azure para o espaço de trabalho do Log Analytics | Habilita os logs de auditoria para o servidor do Banco de Dados SQL do Azure e transmite os logs para um espaço de trabalho do Log Analytics quando qualquer SQL Server que esteja faltando essa auditoria é criado ou atualizado | DeployIfNotExists, desativado | 1.0.2 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública desliga a conectividade pública de forma que o SQL Server do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privadas | Uma conexão de ponto de extremidade privada habilita a conectividade privada com seu Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Esta configuração melhora a sua postura de segurança e suporta ferramentas e cenários de rede do Azure. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar servidores SQL para que a auditoria esteja habilitada | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Isso às vezes é necessário para a conformidade com as normas regulamentares. | DeployIfNotExists, desativado | 3.0.0 |
| Configurar servidores SQL para que a auditoria seja habilitada para o espaço de trabalho do Log Analytics | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Se a auditoria não estiver habilitada, essa política configurará os eventos de auditoria para fluir para o espaço de trabalho especificado do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Definir configurações de diagnóstico para bancos de dados SQL para o espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Bancos de Dados SQL para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Banco de Dados SQL que esteja faltando nessa configuração de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 4.0.0 |
| Implantar segurança avançada de dados em servidores SQL | Essa política habilita a Segurança Avançada de Dados em SQL Servers. Isso inclui ativar a Deteção de Ameaças e a Avaliação de Vulnerabilidade. Ele criará automaticamente uma conta de armazenamento na mesma região e grupo de recursos que o servidor SQL para armazenar os resultados da verificação, com um prefixo 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Implantar configurações de diagnóstico do Banco de Dados SQL do Azure em Hubs de Eventos | Implanta as configurações de diagnóstico do Banco de Dados SQL do Azure para transmitir para um hub de eventos regional em qualquer Banco de Dados SQL do Azure que esteja faltando, essa configuração de diagnóstico é criada ou atualizada. | DeployIfNotExists | 1.2.0 |
| Implantar criptografia de dados transparente do Banco de Dados SQL | Permite a criptografia de dados transparente em bancos de dados SQL | DeployIfNotExists, desativado | 2.2.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) em Hubs de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos para bancos de dados SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para bancos de dados SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para bancos de dados SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) em Hubs de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos para instâncias gerenciadas do SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para instâncias gerenciadas SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para instâncias gerenciadas SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| As configurações de Auditoria SQL devem ter Grupos de Ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir um log de auditoria completo | AuditIfNotExists, desativado | 1.0.0 |
| O Banco de dados SQL deve evitar o uso de redundância de backup GRS | Os bancos de dados devem evitar usar o armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.0.0 |
| A Instância Gerenciada SQL deve ter a versão TLS mínima da 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que sua Instância Gerenciada SQL só possa ser acessada a partir de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, Desativado | 1.0.1 |
| As instâncias gerenciadas pelo SQL devem evitar o uso da redundância de backup GRS | As instâncias gerenciadas devem evitar o uso do armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer SQL Server não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure, garantindo que o tráfego permaneça dentro do limite do Azure. | AuditIfNotExists | 1.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Limitações
- A Política do Azure aplicável ao Banco de Dados SQL do Azure e à criação de Instância Gerenciada SQL não é imposta ao usar T-SQL ou SSMS.
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários