Definições internas do Azure Policy para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL

Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do AzureAzure Synapse Analytics

Esta página é um índice de definições de políticas internas do Azure Policy para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.

O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.

Banco de Dados SQL do Azure e Instância Gerenciada de SQL

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: bancos de dados SQL devem ter redundância de zona O Banco de Dados SQL pode ser configurado para ser com redundância de zona ou não. Bancos de dados com a configuração 'zoneRedundant' definida como 'false' não são configurados para redundância de zona. Essa política ajuda a identificar bancos de dados SQL que precisam de configuração de redundância de zona para aprimorar a disponibilidade e a resiliência no Azure. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os pools de bancos de dados elásticos do SQL devem ter redundância de zona Os pools de banco de dados elástico do SQL podem ser configurados para serem com redundância de zona ou não. Os pools de banco de dados elástico do SQL são com redundância de zona se a propriedade 'zoneRedundant' estiver definida como 'true'. A imposição dessa política ajuda a garantir que os Hubs de Eventos estejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: instâncias gerenciadas de SQL devem ter redundância de zona As Instâncias Gerenciadas de SQL podem ser configuradas para serem com redundância de zona ou não. As instâncias com a configuração 'zoneRedundant' definida como 'false' não são configuradas para redundância de zona. Essa política ajuda a identificar as instâncias gerenciadas do SQL que precisam de configuração de redundância de zona para aprimorar a disponibilidade e a resiliência no Azure. Audit, Deny, desabilitado 1.0.0 – versão prévia
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. Auditoria, desabilitado, negação 2.0.0
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada Exigir que os servidores lógicos de SQL do Azure usem a autenticação somente do Microsoft Entra. Essa política não impede que os servidores sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.0.0
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada durante a criação Exigir que os servidores lógicos do SQL do Azure sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.2.0
A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada Exigir que a Instância Gerenciada de SQL do Azure use a autenticação somente do Microsoft Entra. Essa política não impede que instâncias gerenciadas de SQL do Azure sejam criadas com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.0.0
As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública Desabilitar o acesso à rede pública (ponto de extremidade público) em Instância Gerenciada de SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. Audit, Deny, desabilitado 1.0.0
Instâncias gerenciada de SQL do Azure devem ter a autenticação somente do Microsoft Entra habilitada durante a criação Exigir que a Instância Gerenciada de SQL do Azure seja criada com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.2.0
Configurar o Azure Defender para ser habilitado em instâncias gerenciadas de SQL Habilite o Azure Defender em suas Instâncias Gerenciadas de SQL do Azure para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 2.0.0
Configurar o Azure Defender para ser habilitado em servidores SQL Habilite o Azure Defender em seus Servidores SQL do Azure para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. DeployIfNotExists 2.1.0
Definir as configurações de diagnóstico dos servidores de banco de dados SQL do Azure para o workspace do Log Analytics Habilita os logs de auditoria do servidor do Banco de Dados SQL do Azure e transmite os logs para um workspace do Log Analytics quando qualquer SQL Server ausente dessa auditoria é criado ou atualizado DeployIfNotExists, desabilitado 1.0.2
Configurar o SQL Server do Azure para desabilitar o acesso à rede pública A desabilitação da propriedade de acesso à rede pública desliga a conectividade pública, de modo que o SQL Server do Azure pode ser acessado somente de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. Modificar, Desabilitado 1.0.0
Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privado Uma conexão de ponto de extremidade privado permite a conectividade privada com o Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Essa configuração aprimora a sua postura de segurança e dá suporte a ferramentas e cenários de rede do Azure. DeployIfNotExists, desabilitado 1.0.0
Configurar os SQL Server para a habilitação da auditoria Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. DeployIfNotExists, desabilitado 3.0.0
Configurar servidores SQL para que a auditoria seja habilitada no workspace do Log Analytics Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Quando a auditoria não está habilitada, essa política configura eventos de auditoria para fluir para o workspace do Log Analytics especificado. DeployIfNotExists, desabilitado 1.0.0
Implantar – definir configurações de diagnóstico de Bancos de Dados SQL para o workspace do Log Analytics Implanta as configurações de diagnóstico de Bancos de Dados SQL para transmissão de logs de recurso para um workspace do Log Analytics ao criar ou atualizar qualquer Banco de Dados SQL em que as configurações de diagnóstico estão ausentes. DeployIfNotExists, desabilitado 4.0.0
Implantar Segurança de Dados Avançada em servidores SQL Essa política habilitar a Segurança de Dados Avançada em servidores SQL. Isso inclui ativar a Detecção de Ameaças e a Avaliação de Vulnerabilidades. Será criada automaticamente uma conta de armazenamento na mesma região e grupo de recursos que o servidor SQL para armazenar os resultados da verificação, com um prefixo "sqlva". DeployIfNotExists 1.3.0
Implantar as Configurações de Diagnóstico do Banco de Dados SQL do Azure no Hub de Eventos Implanta as configurações de diagnóstico do Banco de Dados SQL do Azure a serem transmitidas para um Hub de Eventos regional em qualquer Banco de Dados SQL do Azure criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists 1.2.0
Implantar a Transparent Data Encryption no BD SQL Habilita a transparent data encryption nos bancos de dados SQL DeployIfNotExists, desabilitado 2.2.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos de instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) do Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. AuditIfNotExists, desabilitado 2.0.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.1.0
As configurações de Auditoria do SQL devem ter grupos de ações configurados para capturar atividades críticas A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP para garantir um log de auditoria completo AuditIfNotExists, desabilitado 1.0.0
O Banco de Dados SQL deve evitar o uso de redundância de backup de GRS Os bancos de dados deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. Deny, Desabilitado 2.0.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
A Instância Gerenciada de SQL deve ter a versão mínima 1.2 do TLS Definir a versão mínima do TLS como 1.2 aprimora a segurança garantindo que a Instância Gerenciada de SQL possa ser acessada somente de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. Audit, desabilitado 1.0.1
As Instâncias Gerenciadas do SQL devem evitar o uso de redundância de backup de GRS As instâncias gerenciadas deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. Deny, Desabilitado 2.0.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.0
O SQL Server deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os SQL Servers que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. AuditIfNotExists, desabilitado 1.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.1
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 3.0.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0
A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure e ainda garantir que o tráfego permaneça dentro do limite do Azure. AuditIfNotExists 1.0.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0

Limitações

  • O Azure Policy aplicável à criação de um Banco de Dados SQL do Azure e de uma Instância Gerenciada de SQL não é imposto ao usar o T-SQL ou o SSMS.

Próximas etapas