Controlli di conformità alle normative di Criteri di Azure per Database di Azure per PostgreSQL
SI APPLICA A:
Database di Azure per PostgreSQL - Server singolo
Importante
Database di Azure per PostgreSQL - Il server singolo è in fase di ritiro. È consigliabile eseguire l'aggiornamento a Database di Azure per PostgreSQL - Server flessibile. Per altre informazioni sulla migrazione a Database di Azure per PostgreSQL - Server flessibile, vedere Cosa succede a Database di Azure per PostgreSQL - Server singolo?.
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Database di Azure per PostgreSQL. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il server flessibile di Database di Azure per PostgreSQL deve essere resiliente alla zona | Il server flessibile di Database di Azure per PostgreSQL può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Il server PostgreSQL con un server di standby selezionato nella stessa zona per la disponibilità elevata è considerato allineato alla zona. Al contrario, il server PostgreSQL con un server standby selezionato per trovarsi in una zona diversa per la disponibilità elevata viene riconosciuto come ridondante della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il server flessibile di Azure PostgreSQL deve avere l'autenticazione solo Entra di Microsoft abilitata | Disabilitando i metodi di autenticazione locale e consentendo solo l'autenticazione di Microsoft Entra, è possibile garantire che il server flessibile di Azure PostgreSQL sia accessibile esclusivamente dalle identità di Microsoft Entra. | Audit, Disabled | 1.0.0-preview |
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server flessibili PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server flessibile PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.1 |
| Il controllo con PgAudit deve essere abilitato per i server flessibili PostgreSQL | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente che non è abilitato per l'uso di pgaudit. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server flessibili di Database PostgreSQL di Azure | Abilitare Advanced Threat Protection nel database di Azure per i server flessibili PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server Database PostgreSQL di Azure | Abilitare Advanced Threat Protection nei server di Azure di livello non Basic per PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata | Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| La limitazione delle connessioni per i server flessibili PostgreSQL deve essere abilitata | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente senza la limitazione della connessione abilitata. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuire le impostazioni di diagnostica per i server flessibili PostgreSQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i server flessibili PostgreSQL per lo streaming in un'area di lavoro Log Analytics a livello di area quando vengono creati o aggiornati i server flessibili PostgreSQL che mancano queste impostazioni di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server flessibili PostgreSQL. | Questo criterio consente di controllare i server flessibili PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il server flessibile PostgreSQL (microsoft.dbforpostgresql/flexibleservers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il server flessibile di Database di Azure per PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di server flessibili PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server flessibile di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server flessibile di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server flessibile PostgreSQL. | AuditIfNotExists, Disabled | 1.0.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i server flessibili di Azure per PostgreSQL | I server flessibili di Database di Azure per PostgreSQL consentono di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.0 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server flessibili di PostgreSQL | Questo criterio consente di controllare i server flessibili di PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server flessibili di PostgreSQL | Questo criterio consente di controllare i server flessibili di PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione della durata deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_duration non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| I server flessibili PostgreSQL devono eseguire TLS versione 1.2 o successiva | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente in esecuzione con la versione TLS precedente alla 1.2. | AuditIfNotExists, Disabled | 1.0.0 |
| I server flessibili PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server flessibili PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.1.0 |
| I server PostgreSQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per PostgreSQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per PostgreSQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| L'endpoint privato deve essere abilitato per i server flessibili PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.0 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP. | Audit, Deny, Disabled | 3.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.