Ingebouwde Azure Policy-definities voor Azure SQL Database en SQL Managed Instance
Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure SQL Database en SQL Managed Instance. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure SQL Database en SQL Managed Instance
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren | Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Azure SQL Database moet alleen Azure Active Directory-verificatie hebben ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Azure Active Directory-verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL Databases uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten. Meer informatie vindt u op: aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor Azure SQL Managed Instance moet alleen verificatie van Azure Active Directory zijn ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Azure Active Directory-verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL Managed Instances uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten. Meer informatie vindt u op: aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Ga naar https://aka.ms/mi-public-endpointvoor meer informatie over openbare netwerktoegang. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Defender configureren voor ingeschakelde SQL Managed Instances | Schakel Azure Defender in uw Met Azure SQL beheerde exemplaren in om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
Azure Defender configureren voor ingeschakeld op SQL-servers | Schakel Azure Defender in op uw Azure SQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists | 2.1.0 |
Diagnostische instellingen voor Azure SQL-databaseservers configureren voor Log Analytics-werkruimte | Hiermee schakelt u controlelogboeken voor Azure SQL Database-server in en streamt u de logboeken naar een Log Analytics-werkruimte wanneer een SQL Server waarvoor deze controle ontbreekt, wordt gemaakt of bijgewerkt | DeployIfNotExists, uitgeschakeld | 1.0.2 |
Azure SQL Server configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap openbare netwerktoegang uitschakelt, wordt openbare connectiviteit afgesloten, zodat Azure SQL Server alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de openbare netwerktoegang voor alle databases onder Azure SQL Server uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
Azure SQL Server configureren om privé-eindpuntverbindingen in te schakelen | Een privé-eindpuntverbinding maakt privéconnectiviteit met uw Azure SQL Database mogelijk via een privé-IP-adres in een virtueel netwerk. Deze configuratie verbetert uw beveiligingspostuur en ondersteunt Azure-netwerkhulpprogramma's en -scenario's. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
SQL-servers configureren voor controle ingeschakeld | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten sql-servers controle hebben ingeschakeld. Dit is soms vereist voor naleving van regelgevingsstandaarden. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
SQL-servers configureren voor controle ingeschakeld voor Log Analytics-werkruimte | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten sql-servers controle hebben ingeschakeld. Als controle niet is ingeschakeld, configureert dit beleid controlegebeurtenissen om naar de opgegeven Log Analytics-werkruimte te stromen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Implementeren - Diagnostische instellingen configureren voor SQL Databases in Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor SQL Databases geïmplementeerd om resourcelogboeken naar een Log Analytics-werkruimte te streamen wanneer een SQL Database waarvoor deze diagnostische instelling ontbreekt, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
Advanced Data Security implementeren op SQL-servers | Met dit beleid wordt Advanced Data Security op SQL-servers ingeschakeld. Dit omvat het inschakelen van bedreigingsdetectie en evaluatie van beveiligingsproblemen. Er wordt automatisch een opslagaccount in dezelfde regio en resourcegroep gemaakt als de SQL-server voor het opslaan van scanresultaten, met het voorvoegsel ‘sqlva’. | DeployIfNotExists | 1.3.0 |
Diagnostische Instellingen implementeren voor Azure SQL Database in Event Hubs | Hiermee worden de diagnostische instellingen voor Azure SQL Database geïmplementeerd om te streamen naar een regionale Event Hub in een Azure SQL Database waarvoor deze diagnostische instelling ontbreekt, gemaakt of bijgewerkt. | DeployIfNotExists | 1.2.0 |
Transparante gegevensversleuteling in SQL DB implementeren | Hiermee wordt transparante gegevensversleuteling in SQL-databases ingeschakeld | DeployIfNotExists, uitgeschakeld | 2.2.0 |
Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Event Hubs | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Event Hubs | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
In de instellingen van SQL-controle moeten actiegroepen zijn geconfigureerd om kritieke activiteiten te kunnen vastleggen | De eigenschap AuditActionsAndGroups moet ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP bevatten om een grondige logboekregistratie van de controle te garanderen | AuditIfNotExists, uitgeschakeld | 1.0.0 |
SQL Database moet het gebruik van GRS-back-up-redundantie voorkomen | Databases moeten het gebruik van standaard geografisch redundante opslag voor back-ups voorkomen als de regels voor gegevenslocatie vereisen dat gegevens binnen een bepaalde regio blijven. Opmerking: Azure Policy wordt niet afgedwongen bij het maken van een database met behulp van T-SQL. Als het niet expliciet wordt opgegeven, wordt de database met geografisch redundante back-upopslag gemaakt via T-SQL. | Weigeren, Uitgeschakeld | 2.0.0 |
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
Voor SQL Managed Instance moet minimaal TLS-versie 1.2 worden gebruikt | Als u de minimale TLS-versie instelt op 1.2, verbetert u de beveiliging door ervoor te zorgen dat uw SQL Managed Instance alleen toegankelijk is vanaf clients met TLS 1.2. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controle, uitgeschakeld | 1.0.1 |
Door SQL beheerde instanties moeten het gebruik van GRS-back-up-redundantie voorkomen | Beheerde exemplaren moeten het gebruik van standaard geografisch redundante opslag voor back-ups voorkomen als de regels voor gegevenslocatie vereisen dat gegevens binnen een bepaalde regio blijven. Opmerking: Azure Policy wordt niet afgedwongen bij het maken van een database met behulp van T-SQL. Als het niet expliciet wordt opgegeven, wordt de database met geografisch redundante back-upopslag gemaakt via T-SQL. | Weigeren, Uitgeschakeld | 2.0.0 |
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
SQL Server moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van SQL Server gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
De firewallregel voor virtuele netwerken van Azure SQL Database moet zijn ingeschakeld om verkeer van het opgegeven subnet toe te staan | Firewallregels op basis van virtuele netwerken worden gebruikt om verkeer vanaf een specifiek subnet naar Azure SQL Database in te schakelen, waarbij ervoor wordt gezorgd dat het verkeer binnen de grens van Azure blijft. | AuditIfNotExists | 1.0.0 |
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beperkingen
- Azure Policy dat van toepassing is op het maken van Azure SQL Database en SQL Managed Instance, wordt niet afgedwongen wanneer u T-SQL of SSMS gebruikt.
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.