生产环境审核最佳做法

适用于: Azure SQL 数据库 Azure Synapse Analytics

下面是在生产环境中使用 Azure SQL 审核的一些建议。

审核异地复制数据库

对于异地复制数据库,在主数据库上启用审核时,辅助数据库拥有与主数据库相同的审核策略。 还可以在独立于主数据库的“辅助服务器”上启用审核,从而在辅助数据库上设置审核。

  • 服务器级(推荐):同时在主服务器和辅助服务器上启用审核 - 基于各自的服务器级策略,分别对主数据库和辅助数据库进行审核。
  • 数据库级:辅助数据库的数据库级审核只能从主数据库审核设置进行配置。
    • 必须在主数据库本身上启用审核,而不是在服务器上启用。

    • 在主数据库上启用审核后,也会在辅助数据库上启用审核。

      重要

      在数据库级审核中,辅助数据库的存储设置与主数据库相同,因而会导致生成跨区域流量。 建议仅启用服务器级审核,并对所有数据库禁用数据库级审核。

重新生成存储密钥

在生产环境中,可能会定期刷新存储密钥。 如果向 Azure 存储写入审核日志,则需在刷新密钥时重新保存审核策略。 过程如下:

  1. 打开“存储”下的“高级属性” 。 在“存储访问密钥”部分,选择“辅助”。 然后选择“审核配置”页顶部的“保存”。

    屏幕截图显示选择辅助存储访问密钥的过程。

  2. 转到持有该密钥的 Azure“存储帐户”,然后导航到“访问密钥”。 再生成主访问密钥。

    Azure“存储帐户”的“访问密钥”菜单的屏幕截图。

  3. 返回“审核配置”页,将“存储访问密钥”从“辅助”切换为“主”,然后选择“确定”。 然后选择“审核配置”页顶部的“保存”。

  4. 返回“存储配置”页并重新生成辅助访问密钥(为下一个密钥刷新周期做好准备)。

使用 Azure Key Vault 加密的存储帐户

将存储帐户配置审核为使用位于防火墙之后的密钥保管库加密的目标时,必须为该密钥保管库设置一个访问策略。 导航到 Azure Key Vault 访问策略,添加一个具有必须密钥权限的新策略,启用展开密钥选项,并选择合适的主体(如存储帐户)授予访问权限。