通过

Azure SQL 数据库和 SQL 托管实例的 Azure Policy 法规遵从性控制

  • 项目

适用于: Azure SQL 数据库 Azure SQL 托管实例

Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控制措施”提供 Azure 创建和管理的计划定义,称为“内置” 。 此页列出 Azure SQL 数据库和 SQL 托管实例的“符合域”和“安全控件” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

Microsoft 云安全基准

Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准

控制 ID 控制标题 策略
(Azure 门户)		 策略版本
(GitHub)
网络安全 NS-2 使用网络控制保护云服务 Azure SQL 托管实例应禁用公用网络访问 1.0.0
网络安全 NS-2 使用网络控制保护云服务 应启用 Azure SQL 数据库上的专用终结点连接 1.1.0
网络安全 NS-2 使用网络控制保护云服务 应禁用 Azure SQL 数据库上的公用网络访问 1.1.0
标识管理 IM-1 使用集中式标识和身份验证系统 应该为 SQL 服务器预配 Azure Active Directory 管理员 1.0.0
标识管理 IM-1 使用集中式标识和身份验证系统 Azure SQL 数据库应启用仅 Microsoft Entra 身份验证 1.0.0
标识管理 IM-1 使用集中式标识和身份验证系统 Azure SQL 数据库应在创建期间启用纯 Microsoft Entra 身份验证 1.2.0
标识管理 IM-1 使用集中式标识和身份验证系统 Azure SQL 托管实例应启用仅 Microsoft Entra 身份验证 1.0.0
标识管理 IM-1 使用集中式标识和身份验证系统 Azure SQL 托管实例应在创建期间启用纯 Microsoft Entra 身份验证 1.2.0
标识管理 IM-4 对服务器和服务进行身份验证 Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 2.0.0
数据保护 DP-2 监视敏感数据的异常情况和威胁 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 1.0.2
数据保护 DP-3 加密传输中的敏感数据 Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 2.0.0
数据保护 DP-4 默认启用静态数据加密 应在 SQL 数据库上启用透明数据加密 2.0.0
数据保护 DP-5 需要时在静态数据加密中使用客户管理的密钥选项 SQL 托管实例应使用客户管理的密钥进行静态数据加密 2.0.0
数据保护 DP-5 需要时在静态数据加密中使用客户管理的密钥选项 SQL Server 应使用客户管理的密钥进行静态数据加密 2.0.1
日志记录和威胁检测 LT-1 启用威胁检测功能 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 2.0.1
日志记录和威胁检测 LT-1 启用威胁检测功能 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 1.0.2
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 2.0.1
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 1.0.2
日志记录和威胁检测 LT-3 启用日志记录以进行安全调查 应启用 SQL 服务器上的审核 2.0.0
日志记录和威胁检测 LT-6 配置日志存储保留期 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 3.0.0
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 2.0.1
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 1.0.2
安全状况和漏洞管理 PV-5 执行漏洞评估 应在 SQL 托管实例上启用漏洞评估 1.0.1
安全状况和漏洞管理 PV-5 执行漏洞评估 应对 SQL 服务器启用漏洞评估 3.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 SQL 数据库应已解决漏洞发现 4.1.0
事件响应 AIR-5 检测和分析 - 设置事件优先级 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 2.0.1
事件响应 AIR-5 检测和分析 - 设置事件优先级 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 1.0.2

后续步骤