Azure Policy 可帮助你强制实施组织标准并大规模评估合规性。 Azure Policy 通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下钻取。 它还有助于通过对现有资源的批量修正和对新资源的自动修正,使资源符合性。
内置策略定义
Microsoft开发和测试内置策略,以确保它们符合常见标准和最佳做法。 无需额外配置即可快速部署它们,使其非常适合标准符合性要求。 内置策略通常涵盖广为认可的标准和合规性框架。
以下部分提供了 Azure Database for PostgreSQL 的 Azure Policy 内置策略定义的索引。 使用 “源 ”列中的链接查看 Azure Policy GitHub 存储库上的源。
| 名称(Azure 门户) | 说明 | 效果 | 版本(GitHub) |
|---|---|---|---|
| 应为 PostgreSQL 灵活服务器实例预配Microsoft Entra 管理员 | 审核 PostgreSQL 灵活服务器实例的 Microsoft Entra 管理员预配,以启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用 PgAudit 审核 | 此策略有助于审核环境中未启用 pgaudit 的任何 PostgreSQL 灵活服务器实例。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用连接限制 | 此策略可帮助审核环境中未启用连接限制的任何 PostgreSQL 灵活服务器实例。 此设置为每个 IP 启用临时连接限制,导致密码登录失败过多 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 PostgreSQL 灵活服务器实例的诊断设置部署到 Log Analytics 工作区 | 当创建或更新缺少诊断设置的 PostgreSQL 灵活服务器实例时,部署诊断设置以将日志流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器实例应记录断开连接情况 | 此策略可帮助审核环境中未启用log_disconnections的任何 PostgreSQL 灵活服务器实例 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用强制 SSL 连接 | Azure Database for PostgreSQL 支持使用安全套接字层(SSL)将 Azure Database for PostgreSQL 灵活服务器实例连接到客户端应用程序。 在数据库实例和客户端应用程序之间强制实施 SSL 连接有助于通过加密服务器和应用程序之间的数据流来防范攻击。 此配置强制要求始终启用 SSL 以访问 PostgreSQL 灵活服务器实例 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Azure Database for PostgreSQL 灵活服务器实例启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在服务器托管的区域,而且还复制到配对区域,以提供区域故障的恢复选项。 仅在服务器创建期间才允许为备份配置异地冗余存储 | Audit、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用日志检查点 | 此策略有助于在未启用 log_checkpoints 设置的情况下,审核环境中的任何 PostgreSQL 灵活服务器实例。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用日志连接 | 此策略可帮助审核环境中任何 PostgreSQL 灵活服务器实例,而无需启用log_connections设置 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器实例应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理 PostgreSQL 灵活服务器实例的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你对关键生命周期拥有完全控制和责任,包括轮换和管理 | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器实例应运行 TLS 版本 1.2 或更高版本 | 此策略可帮助审核环境中运行且 TLS 版本低于 1.2 的任何 PostgreSQL 灵活服务器实例 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器实例启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接以启用对来自已知网络的流量的访问,并阻止来自所有其他 IP 地址(包括 Azure 中)的访问 | AuditIfNotExists、Disabled | 1.0.0 |