Předdefinované definice iniciativ azure Policy
Tato stránka je indexem předdefinovaných definic iniciativ služby Azure Policy.
Název jednotlivých předdefinovaných odkazů na zdroj definic iniciativy v úložišti Azure Policy Na GitHubu. Předdefinované objekty jsou seskupené podle vlastnosti kategorie v metadatech. Pokud chcete přejít do konkrétní kategorie, použijte klávesu Ctrl-F pro funkci hledání v prohlížeči.
Automanage
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Audit konfigurace proti osvědčeným postupům automatického řízení | Osvědčené postupy pro automatické správu počítačů zajišťují, že spravované prostředky se nastaví v souladu s požadovaným stavem definovaným v přiřazeném konfiguračním profilu. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Povolení changeTrackingu a inventáře pro virtuální počítače s podporou Arc | Povolte ChangeTracking a Inventory pro virtuální počítače s podporou Arc. Přebírá ID pravidla shromažďování dat jako parametr a žádá o možnost zadávání příslušných umístění. | 6 | 1.0.0-preview |
| [Preview]: Povolení řešení ChangeTracking a Inventory pro škálovací sady virtuálních počítačů | Povolte ChangeTracking a Inventory pro škálovací sady virtuálních počítačů. Vezme ID pravidla shromažďování dat jako parametr a požádá o možnost zadat příslušná umístění a identitu přiřazenou uživatelem pro agenta služby Azure Monitor. | 7 | 1.0.0-preview |
| [Preview]: Povolení řešení ChangeTracking a Inventory pro virtuální počítače | Povolte ChangeTracking a Inventory pro virtuální počítače. Vezme ID pravidla shromažďování dat jako parametr a požádá o možnost zadat příslušná umístění a identitu přiřazenou uživatelem pro agenta služby Azure Monitor. | 7 | 1.0.0-preview |
Cosmos DB
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Povolení zásad propustnosti služby Azure Cosmos DB | Povolte řízení propustnosti pro prostředky Azure Cosmos DB v zadaném oboru (skupina pro správu, předplatné nebo skupina prostředků). Přijímá maximální propustnost jako parametr. Pomocí této zásady můžete vynutit řízení propustnosti prostřednictvím poskytovatele prostředků. | 2 | 1.0.0 |
Obecné
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Povolit prostředky nákladů na využití | Povolte nasazení prostředků s výjimkou MCPP, M365. | 2 | 1.0.0 |
Konfigurace hosta
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Nasazení požadavků pro povolení zásad konfigurace hosta na virtuálních počítačích pomocí spravované identity přiřazené uživatelem | Tato iniciativa přidá spravovanou identitu přiřazenou uživatelem a nasadí rozšíření konfigurace hosta odpovídající platformě do virtuálních počítačů, které mají nárok na monitorování zásadami konfigurace hosta. Toto je předpoklad pro všechny zásady konfigurace hosta a před použitím jakýchkoli zásad konfigurace hosta musí být přiřazen k oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Preview]: Počítače s Windows by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Tato iniciativa audituje počítače s Windows s nastavením, která nesplňují standardní hodnoty zabezpečení výpočetních prostředků Azure. Podrobnosti najdete na adrese |
29 | 2.0.1-preview |
| Audit počítačů s nezabezpečeným nastavením zabezpečení hesel | Tato iniciativa nasadí požadavky zásad a audituje počítače s nezabezpečeným nastavením zabezpečení hesel. Další informace o zásadách konfigurace hosta najdete v tématu https://aka.ms/gcpol | 9 | 1.1.0 |
| Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na počítači s Windows (včetně požadavků) | Vytvoří přiřazení konfigurace hosta (včetně požadavků) pro konfiguraci zadané verze zabezpečeného protokolu (TLS 1.1 nebo TLS 1.2) na počítači s Windows. Podrobnosti najdete v tématu |
3 | 1.0.0 |
| Nasazení požadavků pro povolení zásad konfigurace hosta na virtuálních počítačích | Tato iniciativa přidá spravovanou identitu přiřazenou systémem a nasadí rozšíření konfigurace hosta odpovídající platformě do virtuálních počítačů, které mají nárok na monitorování zásadami konfigurace hosta. Toto je předpoklad pro všechny zásady konfigurace hosta a před použitím jakýchkoli zásad konfigurace hosta musí být přiřazen k oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: K zajištění nasazení jenom důvěryhodných imagí použijte integritu image. | Pomocí integrity imagí zajistíte, že clustery AKS nasadí jenom důvěryhodné image tím, že povolíte integritu imagí a doplňky Azure Policy v clusterech AKS. Doplněk Integrita image i doplněk Azure Policy jsou předpokladem použití integrity image k ověření, jestli je image při nasazení podepsaná. Další informace najdete na adrese https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Preview]: Ochrana nasazení by měla pomoct vývojářům s doporučenými osvědčenými postupy AKS. | Kolekce osvědčených postupů Kubernetes, které doporučuje Služba Azure Kubernetes Service (AKS). Nejlepších zkušeností dosáhnete, když k přiřazení této iniciativy zásad použijete bezpečnostní opatření nasazení: https://aka.ms/aks/deployment-safeguards. Doplněk Azure Policy pro AKS je předpokladem pro použití těchto osvědčených postupů pro vaše clustery. Pokyny k povolení doplňku Azure Policy najdete v tématu aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Standardní standardy zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu | Tato iniciativa zahrnuje zásady pro standardy standardních hodnot zabezpečení podů clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standardy zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu | Tato iniciativa zahrnuje zásady pro standardy zabezpečení podů clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Spravovaná identita
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Federované přihlašovací údaje spravované identity by měly být schválené typy ze schválených federačních zdrojů. | Řízení použití federovaných přihlašovacích údajů pro spravované identity Tato iniciativa načítá zásady pro úplné blokování přihlašovacích údajů federované identity, omezení použití na konkrétní typy zprostředkovatelů federace a omezení federačních reací na schválené zdroje. | 3 | 1.0.0-preview |
Sledování
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Konfigurace azure Defenderu pro agenty SQL na virtuálních počítačích | Nakonfigurujte virtuální počítače tak, aby automaticky nainstalovaly agenty Azure Defenderu pro SQL, kde je nainstalovaný agent služby Azure Monitor. Security Center shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. Tato zásada se vztahuje pouze na virtuální počítače v několika oblastech. | 2 | 1.0.0-preview |
| Konfigurace počítačů s Linuxem pro spuštění agenta služby Azure Monitor a jejich přidružení k pravidlu shromažďování dat | Monitorujte a zabezpečte virtuální počítače s Linuxem, škálovací sady virtuálních počítačů a počítače Arc nasazením rozšíření agenta Azure Monitor a přidružením počítačů k zadanému pravidlu shromažďování dat. Nasazení proběhne na počítačích s podporovanými imagemi operačního systému (nebo počítači, které odpovídají zadanému seznamu imagí) v podporovaných oblastech. | 4 | 3.2.0 |
| Konfigurace počítačů s Windows pro spuštění agenta služby Azure Monitor a jejich přidružení k pravidlu shromažďování dat | Monitorujte a zabezpečte virtuální počítače s Windows, škálovací sady virtuálních počítačů a počítače Arc nasazením rozšíření agenta Azure Monitor a přidružením počítačů k zadanému pravidlu shromažďování dat. Nasazení proběhne na počítačích s podporovanými imagemi operačního systému (nebo počítači, které odpovídají zadanému seznamu imagí) v podporovaných oblastech. | 4 | 3.2.0 |
| Nasazení agenta Azure Monitoru s Linuxem s ověřováním na základě spravované identity přiřazeným uživatelem a přidružením k pravidlu shromažďování dat | Monitorujte virtuální počítače s Linuxem a škálovací sady virtuálních počítačů nasazením rozšíření agenta Azure Monitoru s ověřováním spravované identity přiřazenou uživatelem a přidružením k zadanému pravidlu shromažďování dat. Nasazení agenta Azure Monitoru proběhne na počítačích s podporovanými imagemi operačního systému (nebo počítači, které odpovídají zadanému seznamu imagí) v podporovaných oblastech. | 5 | 2.3.0 |
| Nasazení agenta služby Windows Azure Monitor s ověřováním na základě spravované identity přiřazeným uživatelem a přidružením k pravidlu shromažďování dat | Monitorujte virtuální počítače s Windows a škálovací sady virtuálních počítačů nasazením rozšíření agenta Služby Azure Monitor s ověřováním spravované identity přiřazeným uživatelem a přidružením k zadanému pravidlu shromažďování dat. Nasazení agenta Azure Monitoru proběhne na počítačích s podporovanými imagemi operačního systému (nebo počítači, které odpovídají zadanému seznamu imagí) v podporovaných oblastech. | 5 | 2.3.0 |
| Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato iniciativa nasadí nastavení diagnostiky pomocí skupiny kategorií auditu ke směrování protokolů do centra událostí pro všechny podporované prostředky. | 33 | 1.0.0 |
| Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato iniciativa nasadí nastavení diagnostiky pomocí skupiny kategorií auditu ke směrování protokolů do Log Analytics pro všechny podporované prostředky. | 33 | 1.0.0 |
| Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato iniciativa nasadí nastavení diagnostiky pomocí skupiny kategorií auditu pro směrování protokolů do úložiště pro všechny podporované prostředky. | 33 | 1.0.0 |
| Povolení služby Azure Monitor pro hybridní virtuální počítače s využitím AMA | Povolte Azure Monitor pro hybridní virtuální počítače pomocí AMA. | 6 | 1.0.0 |
| Povolení Azure Monitor pro virtuální počítače pomocí agenta monitorování Azure (AMA) | Povolte Azure Monitor pro virtuální počítače pomocí AMA. | 7 | 1.0.0 |
| Povolení služby Azure Monitor pro VMSS s využitím agenta monitorování Azure (AMA) | Povolte Azure Monitor pro škálovací sadu virtuálních počítačů (VMSS) pomocí AMA. | 7 | 1.0.0 |
| Starší verze – Povolení služby Azure Monitor pro škálovací sady virtuálních počítačů | Starší verze – Povolení služby Azure Monitor pro škálovací sady virtuálních počítačů v zadaném oboru (skupina pro správu, předplatné nebo skupina prostředků) Vezme pracovní prostor Služby Log Analytics jako parametr. Použijte novou iniciativu s názvem: Povolení služby Azure Monitor pro VMSS s využitím agenta monitorování Azure (AMA). Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. | 6 | 1.0.2 |
| Starší verze – Povolení Azure Monitor pro virtuální počítače | Starší verze – Povolení služby Azure Monitor pro virtuální počítače v zadaném oboru (skupina pro správu, předplatné nebo skupina prostředků) Vezme pracovní prostor Služby Log Analytics jako parametr. Použijte novou iniciativu s názvem: Povolení Azure Monitor pro virtuální počítače pomocí agenta monitorování Azure (AMA) | 10 | 2.0.1 |
Síť
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Protokoly toku by se měly nakonfigurovat a povolit pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku a jestli je povolený stav protokolu toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | 2 | 1.0.0 |
Dodržování legislativní předpisů
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Australian Government ISM PROTECTED | Tato iniciativa zahrnuje zásady, které řeší podmnožinu ovládacích prvků ISM (Australian Government Information Security Manual). Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Preview]: CMMC 2.0 Level 2 | Tato iniciativa zahrnuje zásady, které řeší podmnožinu postupů CMMC 2.0 úrovně 2. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Preview]: Asociace pohybových obrázků Ameriky (MPAA) | Tato iniciativa zahrnuje zásady nasazení rozšíření auditu a virtuálních počítačů, které řeší podmnožinu kontrolních mechanismů zabezpečení a pokynů pro přidružení motion picture Association of America (MPAA). Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [Preview]: Bank of India - IT Framework for Banks | Tato iniciativa zahrnuje zásady, které řeší podmnožinu kontrolních mechanismů centrální banky Indie pro kontroly bank. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Preview]: Bank of India - IT Framework for NBFC | Tato iniciativa zahrnuje zásady, které řeší podmnožinu kontrolních mechanismů centrální banky Indie pro nebankovní finanční společnosti (NBFC). Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Preview]: Standardní hodnoty suverenity – důvěrné zásady | Microsoft Cloud for Sovereignty doporučuje důvěrné zásady, které organizacím pomáhají dosáhnout svých cílů suverenity tím, že ve výchozím nastavení zamítají vytváření prostředků mimo schválené oblasti, zamítají prostředky, které nejsou podporovány službou Azure Confidential Computing, a zamítají prostředky úložiště dat, které nepoužívají klíče spravované zákazníkem. Další podrobnosti najdete tady: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Preview]: Směrný plán suverenity – globální zásady | Microsoft Cloud for Sovereignty doporučuje globální zásady, které organizacím pomáhají dosáhnout cílů suverenity tím, že ve výchozím nastavení zakazují vytváření prostředků mimo schválené oblasti. Další podrobnosti najdete tady: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Preview]: SWIFT CSP-CSCF v2020 | Tato iniciativa zahrnuje zásady nasazení rozšíření auditu a virtuálních počítačů, které řeší podmnožinu ovládacích prvků SWIFT CSP-CSCF v2020. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [Preview]: SWIFT CSP-CSCF v2021 | Tato iniciativa zahrnuje zásady, které řeší podmnožinu ovládacích prvků Customer Security Framework programu SWIFT Customer Security Framework v2021. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| Certifikace ACAT pro Microsoft 365 | Nástroj pro automatizaci dodržování předpisů aplikací pro Microsoft 365 (ACAT) zjednodušuje proces dosažení certifikace Microsoftu 365, viz https://aka.ms/acat. Tato certifikace zajišťuje, aby aplikace měly silné postupy zabezpečení a dodržování předpisů, které chrání zákaznická data, zabezpečení a ochranu osobních údajů. Tato iniciativa zahrnuje zásady, které řeší podmnožinu kontrolních mechanismů certifikace Microsoftu 365. Další zásady budou přidány v nadcházejících verzích. | 24 | 1.0.0 |
| Canada Federal PBMM | Tato iniciativa zahrnuje zásady, které řeší podmnožinu ovládacích prvků Canada Federal PBMM. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| Srovnávací test CIS Microsoft Azure Foundations v1.1.0 | Centrum pro internetové zabezpečení (CIS) je nezisková entita, jejíž posláním je "identifikovat, vyvíjet, ověřovat, podporovat a udržovat řešení osvědčených postupů pro kybernetickouefekci". Srovnávací testy CIS jsou standardní hodnoty konfigurace a osvědčené postupy pro bezpečnou konfiguraci systému. Tyto zásady řeší podmnožinu kontrolních mechanismů CIS Microsoft Azure Foundations Benchmark v1.1.0. Další informace najdete na adrese https://aka.ms/cisazure110-initiative. | 163 | 16.4.0 |
| Srovnávací test CIS Microsoft Azure Foundations v1.3.0 | Centrum pro internetové zabezpečení (CIS) je nezisková entita, jejíž posláním je "identifikovat, vyvíjet, ověřovat, podporovat a udržovat řešení osvědčených postupů pro kybernetickouefekci". Srovnávací testy CIS jsou standardní hodnoty konfigurace a osvědčené postupy pro bezpečnou konfiguraci systému. Tyto zásady řeší podmnožinu kontrolních mechanismů CIS Microsoft Azure Foundations Benchmark v1.3.0. Další informace najdete na adrese https://aka.ms/cisazure130-initiative. | 176 | 8.6.0 |
| Srovnávací test CIS Microsoft Azure Foundations v1.4.0 | Centrum pro internetové zabezpečení (CIS) je nezisková entita, jejíž posláním je "identifikovat, vyvíjet, ověřovat, podporovat a udržovat řešení osvědčených postupů pro kybernetickouefekci". Srovnávací testy CIS jsou standardní hodnoty konfigurace a osvědčené postupy pro bezpečnou konfiguraci systému. Tyto zásady řeší podmnožinu kontrolních mechanismů CIS Microsoft Azure Foundations Benchmark v1.4.0. Další informace najdete na adrese https://aka.ms/cisazure140-initiative. | 175 | 1.7.0 |
| Srovnávací test CIS Microsoft Azure Foundations v2.0.0 | Centrum pro internetové zabezpečení (CIS) je nezisková entita, jejíž posláním je "identifikovat, vyvíjet, ověřovat, podporovat a udržovat řešení osvědčených postupů pro kybernetickouefekci". Srovnávací testy CIS jsou standardní hodnoty konfigurace a osvědčené postupy pro bezpečnou konfiguraci systému. Tyto zásady řeší podmnožinu kontrolních mechanismů CIS Microsoft Azure Foundations Benchmark v2.0.0. Další informace najdete na adrese https://aka.ms/cisazure200-initiative. | 211 | 1.1.0 |
| CMMC level 3 | Tato iniciativa zahrnuje zásady, které řeší podmnožinu požadavků na certifikaci modelu kybernetické bezpečnosti (CMMC) úrovně 3. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | FedRAMP je program pro státní správu USA, který poskytuje standardizovaný přístup k hodnocení zabezpečení, autorizaci a průběžnému monitorování cloudových produktů a služeb. FedRAMP definuje sadu ovládacích prvků pro systémy nízké, střední nebo vysoké úrovně dopadu na zabezpečení na základě standardních kontrol NIST. Tyto zásady řeší podmnožinu kontrolních mechanismů FedRAMP (High). Další informace najdete na adrese https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp. | 732 | 17.11.0 |
| FedRAMP Moderate | FedRAMP je program pro celou vládu USA, který poskytuje standardizovaný přístup k hodnocení zabezpečení, autorizaci a průběžnému monitorování cloudových produktů a služeb. FedRAMP definuje sadu ovládacích prvků pro systémy nízké, střední nebo vysoké úrovně dopadu na zabezpečení na základě standardních kontrol NIST. Tyto zásady řeší podmnožinu kontrolních mechanismů FedRAMP (Moderate). Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://www.fedramp.gov/documents-templates/. | 663 | 17.10.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) pomáhá organizacím ze všech sektorů, ale zejména zdravotní péče efektivně spravovat data, rizika informací a dodržování předpisů. Certifikace HITRUST znamená, že organizace prošla důkladným posouzením programu zabezpečení informací. Tyto zásady řeší podmnožinu ovládacích prvků HITRUST. Další informace najdete na adrese https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2. | 610 | 14.3.0 |
| IRS1075 září 2016 | Tato iniciativa zahrnuje zásady, které řeší podmnožinu ovládacích prvků IRS1075 září 2016. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | Standard ISO (International Organization for Standardization) 27001 poskytuje požadavky na zavedení, implementaci, údržbu a průběžné vylepšování systému ISMS (Information Security Management System). Tyto zásady řeší podmnožinu kontrol ISO 27001:2013. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/iso27001-init. | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | Us National Institute of Standards and Technology (NIST) podporuje a udržuje standardy měření a pokyny, které pomáhají chránit informace a informační systémy federálních agentur. V reakci na výkonné nařízení 13556 o správě kontrolovaných neklasifikovaných informací (CUI) publikoval NIST SP 800-171. Tyto zásady řeší podmnožinu ovládacích prvků NIST SP 800-171 Rev. 2. Další informace najdete na adrese https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171. | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | National Institute of Standards and Technology (NIST) SP 800-53 R4 poskytuje standardizovaný přístup pro posuzování, monitorování a autorizaci produktů a služeb cloud computingu ke správě bezpečnostních rizik informací. Tyto zásady řeší podmnožinu ovládacích prvků NIST SP 800-53 R4. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/nist800-53r4-initiative. | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 poskytuje standardizovaný přístup pro posuzování, monitorování a autorizaci produktů a služeb cloud computingu ke správě bezpečnostních rizik informací. Tyto zásady řeší podmnožinu ovládacích prvků NIST SP 800-53 R5. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/nist800-53r5-initiative. | 718 | 14.10.0 |
| Motiv NL BIO Cloud | Tato iniciativa zahrnuje politiky, které řeší kontroly informatiebeveiligingu holandského směrného plánu (BIO) speciálně pro "thema-uitwerking Clouddiensten" a zahrnují zásady, na které se vztahují kontroly SOC2 a ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | PCI DSS (Payment Card Industry Data Security Standard) je globální standard zabezpečení informací určený k prevenci podvodů díky zvýšené kontrole nad údaji o platebních kartách. Dodržování předpisů PCI DSS je vyžadováno pro každou organizaci, která ukládá, zpracovává nebo přenáší data o platbách a držitelích karet. Tyto zásady řeší podmnožinu ovládacích prvků PCI-DSS v4. Další informace najdete na adrese https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1. | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Tato iniciativa zahrnuje zásady, které řeší podmnožinu ovládacích prvků PCI v3.2.1:2018. Další zásady budou přidány v nadcházejících verzích. Další informace najdete na adrese https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malajsie | Tato iniciativa zahrnuje zásady, které řeší podmnožinu požadavků na RMIT. Další zásady budou přidány v nadcházejících verzích. Další informace najdete v aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 – typ 2 | Systém a řízení organizace (SOC) 2 je zpráva založená na principech a kritériích služby důvěryhodnosti, které vytvořil Americký institut certifikovaných veřejných účetní (AICPA). Sestava vyhodnocuje informační systém organizace, který je relevantní pro následující principy: zabezpečení, dostupnost, integrita zpracování, důvěrnost a ochrana osobních údajů. Tyto zásady řeší podmnožinu ovládacích prvků SOC 2 typu 2. Další informace najdete na adrese https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2. | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | Program zabezpečení zákazníků SWIFT (CSP) pomáhá finančním institucím zajistit, aby jejich obrana proti kybernetickým útokům byla aktuální a účinná, aby chránily integritu širší finanční sítě. Uživatelé porovnávají bezpečnostní opatření, která implementovali, s těmi, která jsou podrobně popsána v rozhraní CSCF (Customer Security Controls Framework). Tyto zásady řeší podmnožinu ovládacích prvků SWIFT. Další informace najdete na adrese https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021. | 343 | 2.3.0 |
| UK OFFICIAL a UK NHS | Tato iniciativa zahrnuje zásady nasazení auditování a rozšíření virtuálních počítačů, které řeší podmnožinu kontrol UK OFFICIAL a UK NHS. Další zásady budou přidány v nadcházejících verzích. Další informace naleznete https://aka.ms/ukofficial-init a https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Odolnost
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Prostředky by měly být odolné vůči zóně. | Některé typy prostředků je možné nasadit zónově redundantní (e.g. SQL databáze); některé můžou být nasazeny v zóně Aligned (např. Virtuální počítače); a některé je možné nasadit buď zarovnané do zóny, nebo zónově redundantní (např. škálovací sady virtuálních počítačů). Sladění zóny nezaručuje odolnost, ale je základem, na kterém je možné sestavit odolné řešení (např. tři zóny Škálovací sady virtuálních počítačů zarovnané se třemi různými zónami ve stejné oblasti pomocí nástroje pro vyrovnávání zatížení). Další informace najdete https://aka.ms/AZResilience . | 34 | 1.10.0-preview |
SDN
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Auditovat přístup k veřejné síti | Auditování prostředků Azure, které umožňují přístup z veřejného internetu | 35 | 4.2.0 |
| Vyhodnocení využití služby Private Link napříč všemi podporovanými prostředky Azure | Vyhovující prostředky mají alespoň jedno schválené připojení privátního koncového bodu. | 30 | 1.1.0 |
Security Center
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint | Nasaďte agenta Microsoft Defenderu for Endpoint na příslušné image. | 4 | 1.0.0-preview |
| Konfigurace rozšířené ochrany před internetovými útoky tak, aby byla povolená u opensourcových relačních databází | Povolte rozšířenou ochranu před internetovými útoky na opensourcové relační databáze mimo úroveň Basic a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Viz třída https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfigurace azure Defenderu tak, aby byla povolená na SQL Serverech a ve spravovaných instancích SQL | Povolte Azure Defender na vašich SQL Serverech a spravovaných instancích SQL a detekujte neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | 3 | 3.0.0 |
| Konfigurace plánů Microsoft Defenderu pro cloud | Microsoft Defender for Cloud poskytuje komplexní nativní ochranu pro cloud od vývoje po modul runtime v prostředích s více cloudy. Pomocí iniciativy zásad nakonfigurujte Defender pro cloudové plány a rozšíření tak, aby byly povolené u vybraných oborů. | 11 | 1.0.0 |
| Konfigurace služby Microsoft Defender pro databáze, která se má povolit | Nakonfigurujte Microsoft Defender pro databáze tak, aby chránil vaše služby Azure SQL Database, spravované instance, opensourcové relační databáze a Cosmos DB. | 4 | 1.0.0 |
| Konfigurace několika nastavení integrace Microsoft Defenderu pro koncové body pomocí Microsoft Defenderu pro cloud | Nakonfigurujte několik nastavení integrace Microsoft Defenderu for Endpoint pomocí programu Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION atd.). Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
| Konfigurace virtuálních počítačů SQL a SQL Serverů s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | 9 | 1.2.1 |
| Konfigurace virtuálních počítačů SQL a SQL Serverů s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | 8 | 1.1.1 |
| Srovnávací test zabezpečení cloudu Microsoftu | Iniciativa srovnávacích testů zabezpečení cloudu Microsoftu představuje zásady a kontrolní mechanismy, které implementuje doporučení zabezpečení definovaná v srovnávacím testu zabezpečení cloudu Microsoftu, viz https://aka.ms/azsecbm. Slouží také jako iniciativa výchozích zásad v programu Microsoft Defender for Cloud. Tuto iniciativu můžete přímo přiřadit nebo spravovat její zásady a výsledky dodržování předpisů v programu Microsoft Defender for Cloud. | 241 | 57.37.0 |
SQL
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Azure SQL Database by měla mít ověřování pouze Microsoft Entra-only | Vyžadovat ověřování Microsoft Entra-only pro Azure SQL Database a zakázání místních metod ověřování. To umožňuje přístup výhradně prostřednictvím identit Microsoft Entra, což zvyšuje zabezpečení pomocí moderních vylepšení ověřování, včetně vícefaktorového ověřování, jednotného přihlašování a programového přístupu bez tajných kódů se spravovanými identitami. | 2 | 1.0.0 |
| Spravovaná instance Azure SQL by měla mít ověřování microsoft Entra-only | Vyžadovat ověřování Microsoft Entra-only pro spravovanou instanci Azure SQL a zakázání místních metod ověřování. To umožňuje přístup výhradně prostřednictvím identit Microsoft Entra, což zvyšuje zabezpečení pomocí moderních vylepšení ověřování, včetně vícefaktorového ověřování, jednotného přihlašování a programového přístupu bez tajných kódů se spravovanými identitami. | 2 | 1.0.0 |
Synapse
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| Konfigurace pracovních prostorů Synapse tak, aby pro ověřování řídily identity pouze Microsoft Entra | Vyžadovat a nakonfigurovat ověřování microsoft Entra-only pro pracovní prostory Synapse a zakázat místní metody ověřování. To umožňuje přístup výhradně prostřednictvím identit Microsoft Entra, což zvyšuje zabezpečení pomocí moderních vylepšení ověřování, včetně vícefaktorového ověřování, jednotného přihlašování a programového přístupu bez tajných kódů se spravovanými identitami. | 2 | 1.0.0 |
| Pracovní prostory Synapse by měly mít ověřování pouze Microsoft Entra | Vyžadovat ověřování Microsoft Entra-only pro pracovní prostory Synapse a zakázat místní metody ověřování. To umožňuje přístup výhradně prostřednictvím identit Microsoft Entra, což zvyšuje zabezpečení pomocí moderních vylepšení ověřování, včetně vícefaktorového ověřování, jednotného přihlašování a programového přístupu bez tajných kódů se spravovanými identitami. | 2 | 1.0.0 |
Důvěryhodné spuštění
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Konfigurace požadavků na povolení ověření hosta na virtuálních počítačích s povoleným důvěryhodným spuštěním | Nakonfigurujte virtuální počítače s povoleným důvěryhodným spuštěním tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta a povolily spravovanou identitu přiřazenou systémem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. Další podrobnosti najdete na následujícím odkazu : https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
Virtuální enklávy
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: Řízení použití AKS ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro AKS, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Preview]: Řízení používání služby App Service ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro Službu App Service, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Preview]: Řízení použití služby Container Registry ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro Container Registry, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Preview]: Řízení použití CosmosDB ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro CosmosDB, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Preview]: Řízení použití nastavení diagnostiky pro konkrétní prostředky ve virtuální enklávě | Tato iniciativa nasadí zásady Azure, které zajistí konfiguraci konkrétních typů prostředků ve virtuálních enklávách Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Preview]: Řízení použití služby Key Vault ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro služby Key Vault, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Preview]: Řízení použití Microsoft SQL ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro Microsoft SQL, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Preview]: Řízení použití PostgreSql ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro PostgreSql, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Preview]: Řízení používání služby Service Bus ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro Service Bus, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Preview]: Řízení používání účtů úložiště ve virtuální enklávě | Tato iniciativa nasadí zásady Azure pro účty úložiště, které zajišťují ochranu hranic tohoto prostředku, zatímco funguje v rámci logicky oddělené struktury virtuálních enkláv Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.