Předdefinované definice zásad Azure Policy
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy.
Název jednotlivých předdefinovaných odkazů na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Zdroj zobrazte zdroj v úložišti Azure Policy na GitHubu. Předdefinované objekty jsou seskupené podle vlastnosti kategorie v metadatech. Pokud chcete přejít do konkrétní kategorie, použijte klávesu Ctrl-F pro funkci hledání v prohlížeči.
API pro FHIR
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
API Management
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Rozhraní API služby API Management by měla používat pouze šifrované protokoly. | Aby se zajistilo zabezpečení přenášených dat, měla by být rozhraní API dostupná pouze prostřednictvím šifrovaných protokolů, jako je HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, například HTTP nebo WS. | Audit, Zakázáno, Odepřít | 2.0.2 |
| Je potřeba ověřit volání služby API Management do back-endů rozhraní API. | Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric. | Audit, Zakázáno, Odepřít | 1.0.1 |
| Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů. | Aby se zlepšilo zabezpečení rozhraní API, služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolte kryptografický otisk certifikátu SSL a ověření názvu. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Koncový bod přímé správy služby API Management by neměl být povolený. | Rozhraní REST API pro přímou správu ve službě Azure API Management obchází mechanismy řízení přístupu, autorizace a omezování na základě role v Azure Resource Manageru, což zvyšuje ohrožení zabezpečení vaší služby. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Minimální verze rozhraní API služby API Management by měla být nastavená na 12. 12. 2019 nebo vyšší. | Aby se zabránilo sdílení tajných kódů služeb s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na 12. 12. 2019 nebo vyšší. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Tajné klíče služby API Management s názvem hodnoty by měly být uložené ve službě Azure Key Vault. | Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit jako šifrovaný text ve službě API Management (vlastní tajné kódy) nebo odkazovat na tajné kódy ve službě Azure Key Vault. Pokud chcete zlepšit zabezpečení služby API Management a tajných kódů, odkazování na hodnoty pojmenovaných tajných kódů ze služby Azure Key Vault. Azure Key Vault podporuje podrobnou správu přístupu a zásady obměny tajných kódů. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Služba API Management by měla používat skladovou položku, která podporuje virtuální sítě. | Díky podporovaným cenovým úrovním služby API Management se nasazení služby do virtuální sítě odemkne pokročilými funkcemi sítě a zabezpečení služby API Management, které poskytují větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://aka.ms/apimvnet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby. | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | AuditIfNotExists, zakázáno | 1.0.1 |
| Služba API Management by měla mít zakázané ověřování pomocí uživatelského jména a hesla. | Pokud chcete lépe zabezpečit portál pro vývojáře, měli byste ve službě API Management zakázat ověřování pomocí uživatelského jména a hesla. Nakonfigurujte ověřování uživatelů prostřednictvím zprostředkovatelů identity Azure AD nebo Azure AD B2C a zakažte výchozí ověřování pomocí uživatelského jména a hesla. | Audit, zakázáno | 1.0.1 |
| Předplatná služby API Management by neměla být vymezena na všechna rozhraní API. | Předplatná služby API Management by měla být vymezena na produkt nebo jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Verze platformy Azure API Management by měla být stv2 | Verze výpočetní platformy Azure API Management stv1 bude vyřazena od 31. srpna 2024 a tyto instance by se měly migrovat na výpočetní platformu stv2 pro pokračování podpory. Další informace najdete v tématu /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace služeb API Management pro zakázání přístupu ke koncovým bodům konfigurace veřejné služby API Management | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | DeployIfNotExists, zakázáno | 1.1.0 |
| Úprava služby API Management tak, aby zakázala ověřování pomocí uživatelského jména a hesla | Pokud chcete lépe zabezpečit uživatelské účty portálu pro vývojáře a jejich přihlašovací údaje, nakonfigurujte ověřování uživatelů prostřednictvím zprostředkovatelů identity Azure AD nebo Azure AD B2C a zakažte výchozí ověřování pomocí uživatelského jména a hesla. | Změnit | 1.1.0 |
App Configuration
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace aplikace by měla zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace aplikace by měla používat klíč spravovaný zákazníkem. | Klíče spravované zákazníkem poskytují rozšířenou ochranu dat tím, že umožňují spravovat šifrovací klíče. To se často vyžaduje ke splnění požadavků na dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Konfigurace aplikace by měla používat skladovou položku, která podporuje privátní propojení. | Když používáte podporovanou skladovou položku, Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Obchody s konfigurací aplikací by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby úložiště App Configuration vyžadovala výhradně identity Microsoft Entra pro ověřování. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Konfigurace úložišť App Configuration pro zakázání místních metod ověřování | Zakažte místní metody ověřování, aby úložiště App Configuration vyžadovala výhradně identity Microsoft Entra pro ověřování. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2161954. | Upravit, zakázáno | 1.0.1 |
| Konfigurace konfigurace aplikace pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro Službu App Configuration, aby nebyl přístupný přes veřejný internet. Tato konfigurace pomáhá chránit je před riziky úniku dat. Místo toho můžete omezit vystavení prostředků vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | Upravit, zakázáno | 1.0.0 |
| Konfigurace privátních zón DNS pro privátní koncové body připojené ke službě App Configuration | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zónu DNS je možné propojit s vaší virtuální sítí za účelem překladu instancí konfigurace aplikací. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátních koncových bodů pro konfiguraci aplikace | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance konfigurace aplikace se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
Aplikační platforma
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Auditování instancí Azure Spring Cloudu, u kterých není povolené distribuované trasování | Distribuované nástroje pro trasování v Azure Spring Cloudu umožňují ladění a monitorování složitých propojení mezi mikroslužbami v aplikaci. Distribuované nástroje trasování by měly být povolené a v dobrém stavu. | Audit, zakázáno | 1.0.0-preview |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
App Service
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Sloty aplikací služby App Service by se měly vložit do virtuální sítě. | Vkládání aplikací App Service do virtuální sítě odemyká pokročilé funkce zabezpečení a sítě App Service a poskytuje větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba App Service nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení služby App Service. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Sloty aplikací služby App Service by měly umožňovat směrování konfigurace do služby Azure Virtual Network. | Ve výchozím nastavení se konfigurace aplikace, jako je vyžádání imagí kontejneru a připojení úložiště obsahu, nebude směrovat prostřednictvím integrace místní virtuální sítě. Použití rozhraní API k nastavení možností směrování na hodnotu true umožňuje provoz konfigurace prostřednictvím služby Azure Virtual Network. Tato nastavení umožňují používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem, a koncové body služby budou privátní. Další informace najdete na adrese https://aka.ms/appservice-vnet-configuration-routing. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly povolit odchozí provoz mimo RFC 1918 do služby Azure Virtual Network. | Pokud ve výchozím nastavení používáte místní integraci virtuální sítě Azure, aplikace směruje pouze RFC1918 provoz do příslušné virtuální sítě. Použití rozhraní API k nastavení vnetRouteAllEnabled na true umožňuje veškerý odchozí provoz do služby Azure Virtual Network. Toto nastavení umožňuje používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem pro veškerý odchozí provoz z aplikace App Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly mít pro nasazení FTP zakázané místní metody ověřování. | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Sloty aplikací služby App Service by měly mít pro nasazení webu SCM zakázané místní metody ověřování. | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.4 |
| Sloty aplikací služby App Service by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 1.0.1 |
| Sloty aplikací služby App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by neměly mít nakonfigurované CORS, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Sloty aplikací služby App Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají PHP, by měly používat zadanou verzi PHP. | Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by se měly vložit do virtuální sítě. | Vkládání aplikací App Service do virtuální sítě odemyká pokročilé funkce zabezpečení a sítě App Service a poskytuje větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Aplikace app Service by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba App Service nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení služby App Service. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Aplikace služby App Service by měly povolit směrování konfigurace do služby Azure Virtual Network. | Ve výchozím nastavení se konfigurace aplikace, jako je vyžádání imagí kontejneru a připojení úložiště obsahu, nebude směrovat prostřednictvím integrace místní virtuální sítě. Použití rozhraní API k nastavení možností směrování na hodnotu true umožňuje provoz konfigurace prostřednictvím služby Azure Virtual Network. Tato nastavení umožňují používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem, a koncové body služby budou privátní. Další informace najdete na adrese https://aka.ms/appservice-vnet-configuration-routing. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aplikace služby App Service by měly povolit odchozí provoz mimo RFC 1918 do služby Azure Virtual Network. | Pokud ve výchozím nastavení používáte místní integraci virtuální sítě Azure, aplikace směruje pouze RFC1918 provoz do příslušné virtuální sítě. Použití rozhraní API k nastavení vnetRouteAllEnabled na true umožňuje veškerý odchozí provoz do služby Azure Virtual Network. Toto nastavení umožňuje používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem pro veškerý odchozí provoz z aplikace App Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aplikace služby App Service by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by měly mít pro nasazení FTP zakázané místní metody ověřování. | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Aplikace služby App Service by měly mít pro nasazení webu SCM zakázané místní metody ověřování. | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným skladovým úrovním umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na aplikace můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/private-link. | Audit, Odepřít, Zakázáno | 4.1.0 |
| Aplikace App Service by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 3.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace App Service by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu App Service můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/private-link. | AuditIfNotExists, zakázáno | 1.0.1 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.1.0 |
| Aplikace služby App Service, které používají PHP, by měly používat zadanou verzi PHP. | Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.2.0 |
| Aplikace služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 4.1.0 |
| Aplikace App Service Environment by neměly být dostupné přes veřejný internet | Aby se zajistilo, že aplikace nasazené ve službě App Service Environment nejsou přístupné přes veřejný internet, měli byste nasadit službu App Service Environment s IP adresou ve virtuální síti. Pokud chcete nastavit IP adresu na IP adresu virtuální sítě, musí být služba App Service Environment nasazená s interním nástrojem pro vyrovnávání zatížení. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Služba App Service Environment by měla být nakonfigurovaná s nejsilnějšími šifrovacími sadami TLS. | Dvě nejmíň minimální a nejsilnější šifrovací sady potřebné pro správné fungování služby App Service Environment jsou: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, zakázáno | 1.0.0 |
| Služba App Service Environment by měla být zřízená s nejnovějšími verzemi. | Povolte zřízení pouze služby App Service Environment verze 2 nebo 3. Starší verze služby App Service Environment vyžadují ruční správu prostředků Azure a mají větší omezení škálování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Služba App Service Environment by měla mít zakázané protokoly TLS 1.0 a 1.1. | Protokoly TLS 1.0 a 1.1 jsou zastaralé protokoly, které nepodporují moderní kryptografické algoritmy. Zakázání příchozího provozu TLS 1.0 a 1.1 pomáhá zabezpečit aplikace ve službě App Service Environment. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Konfigurace slotů aplikací služby App Service pro zakázání místního ověřování pro nasazení FTP | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace slotů aplikací App Service pro zakázání místního ověřování pro weby SCM | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace slotů aplikací služby App Service pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu App Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace slotů aplikací app Service tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace slotů aplikací App Service pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace slotů aplikací app Service pro použití nejnovější verze protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace aplikací App Service pro zakázání místního ověřování pro nasazení FTP | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace aplikací App Service pro zakázání místního ověřování pro weby SCM | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace aplikací App Service pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu App Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace aplikací App Service tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace aplikací App Service pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikací App Service pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS propojuje virtuální síť se službou App Service. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace aplikací App Service tak, aby používaly nejnovější verzi protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace slotů aplikací funkcí pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro aplikace Funkcí, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace slotů aplikace funkcí tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace slotů aplikace funkcí pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci funkcí. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace slotů aplikace funkcí pro použití nejnovější verze protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace aplikací funkcí pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro aplikace Funkcí, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace aplikací funkcí tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace aplikací funkcí pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikací function app tak, aby používaly nejnovější verzi protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.0.1 |
| Sloty aplikací funkcí by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby aplikace funkcí nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení aplikace funkcí. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Sloty aplikací funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Sloty aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace funkcí by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 1.0.0 |
| Sloty aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikace funkcí, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby aplikace funkcí nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení aplikace funkcí. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Aplikace funkcí by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace funkcí by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.1.0 |
| Aplikace funkcí, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 4.1.0 |
Attestation
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytovatelé ověření identity Azure by měli zakázat přístup k veřejné síti. | Pokud chcete zlepšit zabezpečení služby Azure Attestation Service, ujistěte se, že není vystavený veřejnému internetu a že je přístupný jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v aka.ms/azureattestation. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Poskytovatelé ověření identity Azure by měli používat privátní koncové body. | Privátní koncové body poskytují způsob, jak připojit poskytovatele ověřování Azure k prostředkům Azure bez odesílání provozu přes veřejný internet. Zabráněním veřejnému přístupu pomáhají privátní koncové body chránit před nežádoucím anonymním přístupem. | AuditIfNotExists, zakázáno | 1.0.0 |
Automanage
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Spravovaná identita by měla být na vašich počítačích povolená. | Prostředky spravované službou Automanage by měly mít spravovanou identitu. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Přiřazení automatického konfiguračního profilu by mělo být v souladu | Prostředky spravované službou Automanage by měly mít stav Conformant nebo ConformantCorrected. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Diagnostika spouštění by měla být povolená na virtuálních počítačích. | Virtuální počítače Azure by měly mít povolené spouštění diagnostiky. | Audit, zakázáno | 1.0.0-preview |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy u vybraného oboru. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage s využitím vlastního konfiguračního profilu | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy s vlastním přizpůsobeným konfiguračním profilem pro vybraný obor. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Pro virtuální počítače Se systémem Windows Server Azure Edition by se měla povolit funkce Hotpatch. | Minimalizujte restartování a rychle nainstalujte aktualizace pomocí funkce hotpatch. Další informace najdete na adrese https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Odepřít, Zakázáno | 1.0.0 |
Automation
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účet Automation by měl mít spravovanou identitu. | Spravované identity použijte jako doporučenou metodu ověřování s prostředky Azure z runbooků. Spravovaná identita pro ověřování je bezpečnější a eliminuje režijní náklady na správu spojené s používáním účtu Spustit jako v kódu runbooku . | Audit, zakázáno | 1.0.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty Automation by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Místo toho můžete omezit vystavení prostředků účtu Automation vytvořením privátních koncových bodů. Další informace najdete tady: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účet Azure Automation by měl mít zakázanou místní metodu ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajistí, aby účty Azure Automation k ověřování výhradně vyžadovaly identity Azure Active Directory. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace účtu Azure Automation pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše účty Azure Automation k ověřování vyžadovaly výhradně identity Azure Active Directory. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů Azure Automation pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro účet Azure Automation, aby nebyl přístupný přes veřejný internet. Tato konfigurace pomáhá chránit je před riziky úniku dat. Vystavení prostředků účtu Automation můžete omezit tak, že místo toho vytvoříte privátní koncové body. Další informace najdete tady: https://aka.ms/privateendpoints. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů Azure Automation s privátními zónami DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Potřebujete správně nakonfigurovanou privátní zónu DNS pro připojení k účtu Azure Automation přes Azure Private Link. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace připojení privátního koncového bodu v účtech Azure Automation | Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení k účtům Azure Automation bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace o privátních koncových bodech ve službě Azure Automation najdete na adrese https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, zakázáno | 1.0.0 |
| Připojení privátního koncového bodu u účtů Automation by měla být povolená. | Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení k účtům Automation bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace oprivátních https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Active Directory
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Spravované domény Azure Doména služby Active Directory Services by měly používat pouze režim TLS 1.2. | Pro spravované domény používejte jenom režim TLS 1.2. Služba Azure AD Domain Services ve výchozím nastavení umožňuje používat šifry, jako je NTLM v1 a TLS v1. Tyto šifry mohou být vyžadovány pro některé starší verze aplikací, ale jsou považovány za slabé a dají se zakázat, pokud je nepotřebujete. Pokud je povolený pouze režim TLS 1.2, jakýkoli klient, který vytváří požadavek, který nepoužívá protokol TLS 1.2, selže. Další informace najdete na adrese https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Odepřít, Zakázáno | 1.1.0 |
Azure AI Služby
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Arc
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Odepřít vytvoření nebo úpravu licence rozšířeného zabezpečení Aktualizace (ESU). | Tato zásada umožňuje omezit vytváření nebo úpravy licencí ESU pro počítače s Windows Serverem 2012 Arc. Další podrobnosti o cenách najdete na stránce https://aka.ms/ArcWS2012ESUPricing | Odepřít, zakázáno | 1.0.0-preview |
| [Preview]: Povolení licence rozšířeného zabezpečení Aktualizace (ESU) pro zachování ochrany počítačů s Windows 2012 po ukončení jejich životního cyklu podpory | Povolte licenci rozšířeného zabezpečení Aktualizace (ESU), aby byly počítače s Windows 2012 chráněné i po ukončení jejich životního cyklu podpory. Přečtěte si, jak se připravit na doručování rozšířených Aktualizace zabezpečení pro Windows Server 2012 prostřednictvím AzureArc, navštivte prosím https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updatesstránku . Další podrobnosti o cenách najdete na stránce https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, zakázáno | 1.0.0-preview |
| Obory služby Azure Arc Private Link by měly být nakonfigurované s privátním koncovým bodem. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory služby Azure Arc Private Link se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, zakázáno | 1.0.0 |
| Obory služby Azure Arc Private Link by měly zakázat veřejný přístup k síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby se prostředky Azure Arc nemohly připojit přes veřejný internet. Vytváření privátních koncových bodů může omezit vystavení prostředků Azure Arc. Další informace najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery Kubernetes s podporou Služby Azure Arc by měly být nakonfigurované s oborem služby Azure Arc Private Link. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Servery s podporou Služby Azure Arc by měly být nakonfigurované s oborem služby Azure Arc Private Link. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace oborů služby Private Link služby Azure Arc pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro obor privátního propojení Azure Arc, aby se přidružené prostředky Azure Arc nemohly připojit ke službám Azure Arc přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace oborů služby Azure Arc Private Link pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a překládá se na obory služby Azure Arc Private Link. Další informace najdete tady: https://aka.ms/arc/privatelink. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace oborů služby Private Link služby Azure Arc s využitím privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory služby Azure Arc Private Link můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace clusterů Kubernetes s podporou Služby Azure Arc pro použití oboru služby Azure Arc Private Link | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace serverů s podporou Služby Azure Arc pro použití oboru služby Azure Arc Private Link | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
Průzkumník dat Azure
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechna databázová Správa v Azure Data Exploreru by měla být zakázaná. | Zakažte všechny role správce databáze, abyste omezili udělení role uživatele s vysokou úrovní oprávnění nebo správce. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Cluster Azure Data Exploreru by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na cluster Azure Data Exploreru se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, zakázáno | 1.0.0 |
| Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Explorer by měl používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným skladovým úrovním umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na aplikace můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/private-link. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace clusterů Azure Data Exploreru s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do Azure Data Exploreru můžete snížit rizika úniku dat. Další informace najdete tady: [ServiceSpecificAKA.ms]. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Azure Data Exploreru pro zakázání přístupu k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti vypne veřejné připojení, aby k Azure Data Exploreru bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup k veřejné síti pro všechny clustery Azure Data Exploreru . | Upravit, zakázáno | 1.0.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti v Azure Data Exploreru by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že Zajišťuje přístup k Azure Data Exploreru pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro Azure Data Explorer by měla být povolená injektáž virtuální sítě. | Zabezpečte hraniční síť pomocí injektáže virtuální sítě, která umožňuje vynucovat pravidla skupiny zabezpečení sítě, připojovat místní a zabezpečit zdroje datových připojení pomocí koncových bodů služby. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure Databricks
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Clustery Azure Databricks by měly zakázat veřejnou IP adresu. | Zakázání veřejné IP adresy clusterů v pracovních prostorech Azure Databricks zlepšuje zabezpečení tím, že zajišťuje, že clustery nejsou zveřejněné na veřejném internetu. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Pracovní prostory Azure Databricks by měly být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pracovních prostorů Azure Databricks, podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Další informace najdete tady: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Pracovní prostory Azure Databricks by měly být skladová položka Premium, která podporuje funkce, jako je privátní propojení, klíč spravovaný zákazníkem pro šifrování. | Povolte pouze pracovní prostor Databricks se skladovou jednotkou Premium, kterou může vaše organizace nasadit, aby podporovala funkce, jako je Private Link, klíč spravovaný zákazníkem pro šifrování. Další informace najdete tady: https://aka.ms/adbpe. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Pracovní prostory Azure Databricks by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Pracovní prostory Azure Databricks by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Azure Databricks můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/adbpe. | Audit, zakázáno | 1.0.2 |
| Konfigurace pracovního prostoru Azure Databricks pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Databricks. Další informace najdete tady: https://aka.ms/adbpe. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace pracovních prostorů Azure Databricks s využitím privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovních prostorů Azure Databricks můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/adbpe. | DeployIfNotExists, zakázáno | 1.0.2 |
| Konfigurace nastavení diagnostiky pro pracovní prostory Azure Databricks do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro pracovní prostory Azure Databricks pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakýkoli pracovní prostor Azure Databricks, ve kterém chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.1 |
| Protokoly prostředků v pracovních prostorech Azure Databricks by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Centrum hardwaru Azure Edge
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zařízení Azure Edge Hardware Center by měla mít povolenou podporu dvojitého šifrování. | Ujistěte se, že zařízení seřazená z Centra hardwaru Azure Edge mají povolenou podporu dvojitého šifrování, aby se data uložená v zařízení zabezpečila. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 2.0.0 |
Azure Load Testing
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Prostředek zátěžového testování Azure by měl k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem (CMK) můžete spravovat šifrování neaktivních uložených dat pro prostředek azure Load Testing. Ve výchozím nastavení se šifrování provádí pomocí klíčů spravovaných službou, klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure Purview
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty Azure Purview by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účty Azure Purview místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/purview-private-link. | Audit, zakázáno | 1.0.0 |
Azure Stack Edge
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
Azure Update Manager
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pravidelné kontroly chybějících aktualizací systému na serverech s podporou azure Arc | Nakonfigurujte automatické posouzení (každých 24 hodin) pro aktualizace operačního systému na serverech s podporou Azure Arc. Rozsah přiřazení můžete řídit podle předplatného počítače, skupiny prostředků, umístění nebo značky. Přečtěte si další informace o tomto systému Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify (úprava) | 2.2.1 |
| Konfigurace pravidelné kontroly chybějících aktualizací systému na virtuálních počítačích Azure | Nakonfigurujte automatické posouzení (každých 24 hodin) pro aktualizace operačního systému na nativních virtuálních počítačích Azure. Rozsah přiřazení můžete řídit podle předplatného počítače, skupiny prostředků, umístění nebo značky. Přečtěte si další informace o tomto systému Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify (úprava) | 4.8.0 |
| Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Odepřít, Zakázáno | 3.7.0 |
| Plánování opakovaných aktualizací pomocí Azure Update Manageru | Pomocí Azure Update Manageru v Azure můžete ukládat opakované plány nasazení k instalaci aktualizací operačního systému pro počítače s Windows Serverem a Linuxem v Azure, v místních prostředích a v jiných cloudových prostředích připojených pomocí serverů s podporou Azure Arc. Tato zásada také změní režim oprav virtuálního počítače Azure na AutomaticByPlatform. Další informace: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, zakázáno | 3.10.0 |
Backup
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Rozšíření Azure Backup by mělo být nainstalované v clusterech AKS. | Zajistěte ochranu instalace rozšíření zálohování v clusterech AKS pro využití služby Azure Backup. Azure Backup pro AKS je zabezpečené a cloudové nativní řešení ochrany dat pro clustery AKS. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Pro clustery AKS by měla být povolená služba Azure Backup. | Zajistěte ochranu clusterů AKS povolením služby Azure Backup. Azure Backup pro AKS je zabezpečené a cloudové nativní řešení ochrany dat pro clustery AKS. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Pro objekty blob v účtech úložiště by měla být povolená služba Azure Backup. | Zajistěte ochranu účtů úložiště povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Pro Spravované disky by měla být povolená služba Azure Backup. | Zajistěte ochranu Spravované disky povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Trezory služby Azure Backup by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. Také možnost vynutit šifrování infrastruktury. | Tato zásada se řídí "efektem", pokud jsou pro trezory služby Backup v oboru povolené Nastavení šifrování. Kromě toho můžete zkontrolovat, jestli je v trezoru služby Backup také povolené šifrování infrastruktury. Další informace najdete na adrese https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Upozorňujeme, že když se použije účinek Odepřít, budete muset povolit šifrování Nastavení u existujících trezorů služby Backup, aby bylo možné provádět další operace aktualizace v trezoru. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Trezory služby Azure Recovery Services by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby trezor služby Recovery Services nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení trezoru služby Recovery Services. Další informace najdete tady: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Trezory služby Azure Recovery Services by měly pro zálohování používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezory služby Azure Recovery Services se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/AB-PrivateEndpoints. | Audit, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace trezorů služby Azure Recovery Services pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro trezor služby Recovery Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/AB-PublicNetworkAccess-Deny. | Upravit, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace zálohování objektů blob v účtech úložiště s danou značkou do existujícího trezoru záloh ve stejné oblasti | Vynucujte zálohování objektů blob ve všech účtech úložiště, které obsahují danou značku, do centrálního trezoru záloh. Díky tomu můžete spravovat zálohování objektů blob obsažených ve více účtech úložiště ve velkém měřítku. Další podrobnosti najdete tady: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Preview]: Konfigurace zálohování objektů blob pro všechny účty úložiště, které neobsahují danou značku trezoru záloh ve stejné oblasti | Vynucujte zálohování objektů blob ve všech účtech úložiště, které neobsahují danou značku centrálnímu trezoru záloh. Díky tomu můžete spravovat zálohování objektů blob obsažených ve více účtech úložiště ve velkém měřítku. Další podrobnosti najdete tady: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Preview]: Konfigurace trezorů služby Recovery Services pro použití privátních zón DNS pro zálohování | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezoru služby Recovery Services. Další informace najdete tady: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Konfigurace trezorů služby Recovery Services pro použití privátních koncových bodů pro zálohování | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na trezory služby Recovery Services můžete snížit rizika úniku dat. Mějte na paměti, že vaše trezory musí splňovat určité požadavky, aby měly nárok na konfiguraci privátního koncového bodu. Další informace najdete v : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Zákaz obnovení mezi předplatnými pro trezory služby Azure Recovery Services | Zakažte nebo trvaledisable obnovení křížového předplatného pro trezor služby Recovery Services, aby cíle obnovení nemohly být v jiném předplatném než v předplatném trezoru. Další informace najdete tady: https://aka.ms/csrenhancements. | Upravit, zakázáno | 1.1.0-preview |
| [Preview]: Zákaz obnovení mezi předplatnými pro trezory služby Backup | Zakažte nebo trvaledisable obnovení křížového předplatného pro váš trezor záloh, aby cíle obnovení nemohly být v jiném předplatném než v předplatném trezoru. Další informace najdete tady: https://aka.ms/csrstatechange. | Upravit, zakázáno | 1.1.0-preview |
| [Preview]: Nepovolujte vytváření trezorů služby Recovery Services pro zvolenou redundanci úložiště. | Trezory služby Recovery Services je možné vytvořit s některou ze tří možností redundance úložiště, konkrétně místně redundantního úložiště, zónově redundantního úložiště a geograficky redundantního úložiště. Pokud zásady ve vaší organizaci vyžadují, abyste zablokovali vytváření trezorů, které patří k určitému typu redundance, můžete dosáhnout stejného použití této zásady Azure. | Odepřít, zakázáno | 1.0.0-preview |
| [Preview]: Neměnnost musí být povolená pro trezory záloh. | Tato zásada provede audit, jestli je pro trezory služby Backup v oboru povolená vlastnost neměnných trezorů. To pomáhá chránit zálohovaná data před zamýšleným vypršením platnosti. Další informace najdete na adrese https://aka.ms/AB-ImmutableVaults. | Audit, zakázáno | 1.0.1-preview |
| [Preview]: Neměnnost musí být povolená pro trezory služby Recovery Services. | Tato zásada provede audit, jestli je pro trezory služby Recovery Services v oboru povolená vlastnost neměnných trezorů. To pomáhá chránit zálohovaná data před zamýšleným vypršením platnosti. Další informace najdete na adrese https://aka.ms/AB-ImmutableVaults. | Audit, zakázáno | 1.0.1-preview |
| [Preview]: Pro trezory služby Backup musí být povolená autorizace více uživatelů (MUA). | Tato zásada audituje, jestli je pro trezory služby Backup povolená autorizace více uživatelů (MUA). MUA pomáhá zabezpečit trezory služby Backup přidáním další vrstvy ochrany do důležitých operací. Další informace najdete na stránce https://aka.ms/mua-for-bv. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Pro trezory služby Recovery Services musí být povolená autorizace více uživatelů (MUA). | Tato zásada audituje, jestli je pro trezory služby Recovery Services povolená autorizace více uživatelů (MUA). MUA pomáhá zabezpečit trezory služby Recovery Services přidáním další vrstvy ochrany do důležitých operací. Další informace najdete na stránce https://aka.ms/MUAforRSV. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Obnovitelné odstranění musí být povolené pro trezory služby Recovery Services. | Tato zásada audituje, jestli je povolené obnovitelné odstranění pro trezory služby Recovery Services v oboru. Obnovitelné odstranění vám může pomoct obnovit data i po odstranění. Další informace najdete na adrese https://aka.ms/AB-SoftDelete. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Obnovitelné odstranění by mělo být povolené pro trezory služby Backup. | Tato zásada audituje, jestli je pro trezory služby Backup v oboru povolené obnovitelné odstranění. Obnovitelné odstranění vám může pomoct obnovit data po odstranění. Další informace najdete na adrese https://aka.ms/AB-SoftDelete | Audit, zakázáno | 1.0.0-preview |
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Konfigurace zálohování na virtuálních počítačích s danou značkou do nového trezoru služby Recovery Services s výchozí zásadou | Vynucujte zálohování pro všechny virtuální počítače nasazením trezoru služby Recovery Services ve stejném umístění a skupině prostředků jako virtuální počítač. To je užitečné, když různé aplikační týmy ve vaší organizaci přidělují samostatné skupiny prostředků a potřebují spravovat vlastní zálohy a obnovení. Volitelně můžete zahrnout virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurace zálohování virtuálních počítačů s danou značkou do existujícího trezoru služby Recovery Services ve stejném umístění | Vynucujte zálohování pro všechny virtuální počítače tak, že je zálohujte do existujícího trezoru služby Recovery Services ve stejném umístění a předplatném jako virtuální počítač. To je užitečné, když ve vaší organizaci spravuje zálohy pro všechny prostředky v předplatném centrální tým. Volitelně můžete zahrnout virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurace zálohování na virtuálních počítačích bez dané značky do nového trezoru služby Recovery Services s výchozí zásadou | Vynucujte zálohování pro všechny virtuální počítače nasazením trezoru služby Recovery Services ve stejném umístění a skupině prostředků jako virtuální počítač. To je užitečné, když různé aplikační týmy ve vaší organizaci přidělují samostatné skupiny prostředků a potřebují spravovat vlastní zálohy a obnovení. Volitelně můžete vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurace zálohování na virtuálních počítačích bez dané značky do existujícího trezoru služby Recovery Services ve stejném umístění | Vynucujte zálohování pro všechny virtuální počítače tak, že je zálohujte do existujícího trezoru služby Recovery Services ve stejném umístění a předplatném jako virtuální počítač. To je užitečné, když ve vaší organizaci spravuje zálohy pro všechny prostředky v předplatném centrální tým. Volitelně můžete vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Nasaďte diagnostické Nastavení pro trezor služby Recovery Services do pracovního prostoru služby Log Analytics pro konkrétní kategorie prostředků. | Nasaďte diagnostické Nastavení pro trezor služby Recovery Services pro streamování do pracovního prostoru služby Log Analytics pro kategorie specifické pro prostředky. Pokud některá z kategorií specifických pro prostředek není povolená, vytvoří se nové nastavení diagnostiky. | deployIfNotExists | 1.0.2 |
Batch
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Fondy Služby Azure Batch by měly mít povolené šifrování disků. | Povolením šifrování disků Azure Batch zajistíte, že se neaktivní uložená data vždy šifrují na výpočetním uzlu Azure Batch. Další informace o šifrování disků ve službě Batch najdete na adrese https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Účty Batch by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že účty Batch vyžadují pro ověřování výhradně identity Azure Active Directory. Další informace najdete tady: https://aka.ms/batch/auth. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace účtů Batch pro zakázání místního ověřování | Zakažte metody ověřování polohy tak, aby vaše účty Batch vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/batch/auth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů Batch pro zakázání přístupu k veřejné síti | Zakázání přístupu k veřejné síti na účtu Batch zlepšuje zabezpečení tím, že zajišťuje, aby k vašemu účtu Batch bylo možné přistupovat pouze z privátního koncového bodu. Další informace o zakázání přístupu k veřejné síti na adrese https://docs.microsoft.com/azure/batch/private-connectivity. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů Batch s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na účty Batch můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace privátních zón DNS pro privátní koncové body, které se připojují k účtům Batch | Privátní DNS záznamy umožňují privátní připojení k privátním koncovým bodům. Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení k účtům Batch bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace o privátních koncových bodech a zónách DNS ve službě Batch najdete v tématu https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, zakázáno | 1.0.0 |
| Pravidla upozornění na metriky by měla být nakonfigurovaná pro účty Batch. | Audit konfigurace pravidel upozornění na metriky v účtu Batch, aby se povolila požadovaná metrika | AuditIfNotExists, zakázáno | 1.0.0 |
| Připojení privátního koncového bodu v účtech Batch by měla být povolená. | Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení k účtům Batch bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace oprivátních https://docs.microsoft.com/azure/batch/private-connectivity | AuditIfNotExists, zakázáno | 1.0.0 |
| Přístup k veřejné síti by měl být pro účty Batch zakázaný. | Zakázání přístupu k veřejné síti na účtu Batch zlepšuje zabezpečení tím, že zajišťuje, aby k vašemu účtu Batch bylo možné přistupovat pouze z privátního koncového bodu. Další informace o zakázání přístupu k veřejné síti na adrese https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Bot Service
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koncový bod služby Bot Service by měl být platný identifikátor URI HTTPS. | Data je možné během přenosu falšovat. Existují protokoly, které zajišťují šifrování a tím problémy se zneužitím a falšováním řeší. Pokud chcete zajistit, aby roboti komunikovali jenom přes šifrované kanály, nastavte koncový bod na platný identifikátor URI HTTPS. Tím se zajistí, že se protokol HTTPS používá k šifrování přenášených dat a často je také požadavkem na dodržování zákonných nebo oborových standardů. Navštivte prosím: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem. | Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Služba Bot Service by měla mít povolený izolovaný režim. | Roboti by měli být nastaveni na izolovaný režim. Toto nastavení konfiguruje kanály služby Bot Service, které vyžadují zakázání provozu přes veřejný internet. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Služba Bot Service by měla mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že k ověřování používá robot výhradně AAD. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Bot Service by měla mít zakázaný přístup k veřejné síti. | Roboti by měli být nastaveni na izolovaný režim. Toto nastavení konfiguruje kanály služby Bot Service, které vyžadují zakázání provozu přes veřejný internet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Prostředky Služby BotService by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek BotService se sníží riziko úniku dat. | Audit, zakázáno | 1.0.0 |
| Konfigurace prostředků BotService pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na prostředky související s BotService. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků BotService s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředek BotService můžete snížit rizika úniku dat. | DeployIfNotExists, zakázáno | 1.0.0 |
Mezipaměť
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Cache for Redis by měl zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure Cache for Redis nebyla zpřístupněna na veřejném internetu. Vystavení služby Azure Cache for Redis můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Služby Azure Cache for Redis pro zakázání portů bez SSL | Povolte připojení SSL pouze ke službě Azure Cache for Redis. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Upravit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Cache for Redis pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek Azure Cache for Redis, aby nebyl přístupný přes veřejný internet. To pomáhá chránit mezipaměť před riziky úniku dat. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Cache for Redis pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zónu DNS můžete propojit s vaší virtuální sítí a přeložit ji na Azure Cache for Redis. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Cache for Redis s využitím privátních koncových bodů | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky Azure Cache for Redis můžete snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
CDN
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Profily služby Azure Front Door by měly používat úroveň Premium, která podporuje spravovaná pravidla WAF a privátní propojení. | Azure Front Door Premium podporuje pravidla WAF spravované v Azure a privátní propojení s podporovanými zdroji Azure. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Front Door Standard a Premium by měly používat minimální verzi PROTOKOLU TLS verze 1.2. | Nastavení minimální verze protokolu TLS na verzi 1.2 zlepšuje zabezpečení tím, že zajišťuje přístup k vašim vlastním doménám z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože jsou slabé a nepodporují moderní kryptografické algoritmy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečení privátního připojení mezi Azure Front Door Premium a objektem blob služby Azure Storage nebo službou Aplikace Azure Service | Private Link zajišťuje privátní připojení mezi afd premium a službou Azure Storage Blob nebo službou Aplikace Azure service přes páteřní síť Azure, aniž by objekt blob služby Azure Storage nebo služba Aplikace Azure byla veřejně přístupná k internetu. | Audit, zakázáno | 1.0.0 |
ChangeTrackingAndInventory
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Konfigurace počítačů s podporou arc s Linuxem pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení počítačů s linuxovým arc s určeným pravidlem shromažďování dat, které povolí changeTracking a inventory. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou Arc s Linuxem pro instalaci AMA pro ChangeTracking a Inventory | Automatizujte nasazení rozšíření agenta Azure Monitoru na počítačích s podporou Arc s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření, pokud je oblast podporovaná. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat, abyste povolili ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Linuxem pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.4.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Linuxem tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace linuxové sady VMSS pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| [Preview]: Konfigurace počítačů s podporou služby Windows Arc pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení počítačů s podporou služby Windows Arc se zadaným pravidlem shromažďování dat, které povolí changeTracking a Inventory. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou služby Windows Arc pro instalaci AMA pro ChangeTracking a Inventory | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na počítačích s podporou služby Windows Arc pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Windows tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Windows pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Windows tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Windows s určeným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace služby Windows VMSS pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.0.0-preview |
Cognitive Services
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem. | Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Účty služeb Cognitive Services by měly používat spravovanou identitu. | Přiřazení spravované identity k účtu služby Cognitive Service pomáhá zajistit zabezpečené ověřování. Tuto identitu používá tento účet kognitivní služby ke komunikaci s dalšími službami Azure, jako je Azure Key Vault, zabezpečeným způsobem, aniž byste museli spravovat jakékoli přihlašovací údaje. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem. | Použijte úložiště vlastněné zákazníkem k řízení neaktivních uložených dat ve službách Cognitive Services. Další informace o úložišti vlastněných zákazníkem najdete v tématu https://aka.ms/cogsvc-cmk. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Služby Cognitive Services by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání místních metod ověřování | Zakažte místní metody ověřování, aby vaše účty služeb Cognitive Services vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/cs/auth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek služeb Cognitive Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Zakázáno, Upravit | 3.0.0 |
| Konfigurace účtů služeb Cognitive Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a překládá se na účty služeb Cognitive Services. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, zakázáno | 3.0.0 |
Compute
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolené skladové položky velikosti virtuálních počítačů | Tato zásada umožňuje určit sadu skladových položek velikosti virtuálních počítačů, které může vaše organizace nasadit. | Odepřít | 1.0.1 |
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Audit virtuálních počítačů, které nepoužívají spravované disky | Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. | audit | 1.0.0 |
| Konfigurace zotavení po havárii na virtuálních počítačích povolením replikace přes Azure Site Recovery | Virtuální počítače bez konfigurací zotavení po havárii jsou ohroženy výpadky a dalšími přerušeními. Pokud virtuální počítač ještě nemá nakonfigurované zotavení po havárii, zahájí se to tak, že povolíte replikaci pomocí přednastavených konfigurací, aby se usnadnila kontinuita podnikových procesů. Volitelně můžete zahrnout nebo vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | DeployIfNotExists, zakázáno | 2.1.0 |
| Konfigurace prostředků přístupu k diskům pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad na spravovaný disk. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků přístupu k diskům pomocí privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky přístupu k diskům můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek spravovaného disku, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | Upravit, zakázáno | 2.0.0 |
| Nasazení výchozího rozšíření Microsoft IaaSAntimalware pro Windows Server | Tato zásada nasadí rozšíření Microsoft IaaSAntimalware s výchozí konfigurací, pokud virtuální počítač není nakonfigurovaný s antimalwarovým rozšířením. | deployIfNotExists | 1.1.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Spravované disky by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že spravovaný disk není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení spravovaných disků. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | Audit, zakázáno | 2.0.0 |
| Spravované disky by měly pro šifrování klíče spravovaného zákazníkem používat konkrétní sadu šifrovacích sad disků. | Vyžadování konkrétní sady šifrování disků, které se mají používat se spravovanými disky, vám umožňují řídit klíče používané k šifrování neaktivních uložených dat. Můžete vybrat povolené šifrované sady a všechny ostatní se při připojení k disku zamítnou. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Chraňte svá data pomocí požadavků na ověřování při exportu nebo nahrání na disk nebo snímek. | Při použití adresy URL pro export/nahrání systém zkontroluje, jestli má uživatel identitu v Azure Active Directory a má potřebná oprávnění k exportu a nahrání dat. Projděte si aka.ms/DisksAzureADAuth. | Upravit, zakázáno | 1.0.0 |
| Vyžadování automatických oprav imagí operačního systému ve škálovacích sadách virtuálních počítačů | Tato zásada vynucuje povolení automatických oprav imagí operačního systému ve škálovacích sadách virtuálních počítačů, aby se vždy zajistilo zabezpečení virtuálních počítačů bezpečným použitím nejnovějších oprav zabezpečení každý měsíc. | deny | 1.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Container Apps
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| V kontejnerových aplikacích by mělo být povolené ověřování. | Ověřování container Apps je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci kontejneru nebo ověřit ty, které mají tokeny před tím, než se dostanou do kontejnerové aplikace. | AuditIfNotExists, zakázáno | 1.0.1 |
| Prostředí Container App by měla používat injektáž sítě. | Prostředí Container Apps by měla používat injektáž virtuální sítě k: 1.Izolovat kontejnerové aplikace od veřejného internetu 2.Povolit integraci sítě s prostředky místně nebo v jiných virtuálních sítích Azure 3.Docílit podrobnější kontroly nad síťovým přenosem do a z prostředí. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Kontejnerová aplikace by měla nakonfigurovat připojení svazku. | Vynucujte použití připojení svazků pro Container Apps, abyste zajistili dostupnost trvalé kapacity úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Prostředí Container Apps by mělo zakázat přístup k veřejné síti | Zakažte přístup k veřejné síti a vylepšete zabezpečení tím, že prostředí Container Apps zveřejníte prostřednictvím interního nástroje pro vyrovnávání zatížení. Tím se odebere potřeba veřejné IP adresy a zabráníte přístupu k internetu ke všem kontejnerovým aplikacím v rámci prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Container Apps by měly zakázat přístup k externí síti | Zakažte přístup k externí síti k vašim kontejnerovým aplikacím vynucením interního příchozího přenosu dat. Tím zajistíte, že příchozí komunikace pro Container Apps je omezená na volající v prostředí Container Apps. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Kontejnerové aplikace by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Zakázáním možnosti allowInsecure dojde k automatickému přesměrování požadavků z připojení HTTP na HTTPS pro kontejnerové aplikace. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Spravovaná identita by měla být povolená pro kontejnerové aplikace. | Vynucení spravované identity zajišťuje, že se služba Container Apps může bezpečně ověřit u libovolného prostředku, který podporuje ověřování Azure AD. | Audit, Odepřít, Zakázáno | 1.0.1 |
Instance kontejneru
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Skupina kontejnerů služby Azure Container Instance by se měla nasadit do virtuální sítě. | Zabezpečená komunikace mezi kontejnery pomocí virtuálních sítí Azure Když zadáte virtuální síť, prostředky ve virtuální síti můžou mezi sebou bezpečně a soukromě komunikovat. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. | Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Konfigurace nastavení diagnostiky pro skupiny kontejnerů do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro instanci kontejneru pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli instance kontejneru, která chybí. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace diagnostiky pro skupinu kontejnerů do pracovního prostoru služby Log Analytics | Připojí zadané id pracovního prostoru služby Log Analytics a klíč pracovního prostoru, pokud se vytvoří nebo aktualizuje jakákoli skupina kontejnerů, ve které chybí tato pole. Neupravuje pole skupin kontejnerů vytvořených před provedením této zásady, dokud se tyto skupiny prostředků nezmění. | Připojení, zakázáno | 1.0.0 |
Container Registry
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Nakonfigurujte registry kontejnerů tak, aby zakázaly anonymní ověřování. | Zakažte anonymní přijetí změn pro váš registr, aby data nebyla přístupná neověřeným uživatelem. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Upravit, zakázáno | 1.0.0 |
| Nakonfigurujte registry kontejnerů tak, aby zakázaly ověřování tokenů cílové skupiny ARM. | Zakažte tokeny cílové skupiny Azure Active Directory PRO ověřování ve vašem registru. K ověřování se použijí pouze tokeny cílové skupiny Azure Container Registry (ACR). Tím zajistíte, že se k ověřování dají použít pouze tokeny určené pro použití v registru. Zakázání tokenů cílové skupiny ARM nemá vliv na ověřování přístupových tokenů uživatele s oborem nebo správcem. Další informace najdete tady: https://aka.ms/acr/authentication. | Upravit, zakázáno | 1.0.0 |
| Nakonfigurujte registry kontejnerů tak, aby zakázaly účet místního správce. | Zakažte účet správce pro váš registr, aby nebyl přístupný místním správcem. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Upravit, zakázáno | 1.0.1 |
| Konfigurace registrů kontejnerů pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek Container Registry, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete na https://aka.ms/acr/portal/public-network adrese a https://aka.ms/acr/private-link. | Upravit, zakázáno | 1.0.0 |
| Nakonfigurujte registry kontejnerů tak, aby zakázaly přístupový token s vymezeným oborem úložiště. | Zakažte přístupové tokeny s vymezeným oborem úložiště pro váš registr, aby úložiště nebyla přístupná tokeny. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Upravit, zakázáno | 1.0.0 |
| Konfigurace registrů kontejnerů pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do služby Container Registry. Další informace najdete v: https://aka.ms/privatednszone a https://aka.ms/acr/private-link. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace registrů kontejnerů s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky registru kontejneru Premium můžete snížit rizika úniku dat. Další informace najdete v: https://aka.ms/privateendpoints a https://aka.ms/acr/private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Registry kontejnerů by měly mít zakázané anonymní ověřování. | Zakažte anonymní přijetí změn pro váš registr, aby data nebyla přístupná neověřeným uživatelem. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by měly mít zakázané ověřování tokenů cílové skupiny ARM. | Zakažte tokeny cílové skupiny Azure Active Directory PRO ověřování ve vašem registru. K ověřování se použijí pouze tokeny cílové skupiny Azure Container Registry (ACR). Tím zajistíte, že se k ověřování dají použít pouze tokeny určené pro použití v registru. Zakázání tokenů cílové skupiny ARM nemá vliv na ověřování přístupových tokenů uživatele s oborem nebo správcem. Další informace najdete tady: https://aka.ms/acr/authentication. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by měly mít zakázané exporty. | Zakázání exportů zlepšuje zabezpečení tím, že zajišťuje přístup k datům v registru výhradně prostřednictvím roviny dat (docker pull). Data nelze přesunout z registru prostřednictvím příkazu acr import nebo prostřednictvím přenosu acr. Aby bylo možné zakázat exporty, musí být zakázaný přístup k veřejné síti. Další informace najdete tady: https://aka.ms/acr/export-policy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by měly mít zakázaný účet místního správce. | Zakažte účet správce pro váš registr, aby nebyl přístupný místním správcem. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Registry kontejnerů by měly mít zakázaný přístupový token s vymezeným oborem úložiště. | Zakažte přístupové tokeny s vymezeným oborem úložiště pro váš registr, aby úložiště nebyla přístupná tokeny. Zakázání místních metod ověřování, jako je uživatel s oborem správce, přístupové tokeny v oboru úložiště a anonymní vyžádání změn, zvyšuje zabezpečení tím, že zajistí, aby registry kontejnerů k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/acr/authentication. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by měly mít skladové položky, které podporují službu Private Links. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na registry kontejnerů místo celé služby se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly zabránit vytvoření pravidla mezipaměti. | Zakažte vytváření pravidel mezipaměti pro službu Azure Container Registry, abyste zabránili načítání mezipamětí. Další informace najdete tady: https://aka.ms/acr/cache. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Přístup k veřejné síti by měl být pro registry kontejnerů zakázaný. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby se registry kontejnerů nezpřístupněly na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení prostředků registru kontejnerů. Další informace najdete v: https://aka.ms/acr/portal/public-network a https://aka.ms/acr/private-link. | Audit, Odepřít, Zakázáno | 1.0.0 |
Cosmos DB
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty Služby Azure Cosmos DB by neměly překročit maximální povolený počet dnů od obnovení klíče posledního účtu. | V zadaném čase znovu vygenerujte klíče, aby byla vaše data chráněná více. | Audit, zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Povolená umístění ve službě Azure Cosmos DB | Tato zásada umožňuje omezit umístění, která může vaše organizace určit při nasazování prostředků Azure Cosmos DB. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. | [parameters('policyEffect')] | 1.1.0 |
| Přístup k zápisu metadat založených na klíčích služby Azure Cosmos DB by měl být zakázaný. | Tato zásada umožňuje zajistit, aby všechny účty Služby Azure Cosmos DB zakázaly přístup k zápisu metadat založených na klíčích. | připojit | 1.0.0 |
| Azure Cosmos DB by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš účet CosmosDB nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vašeho účtu CosmosDB. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Propustnost služby Azure Cosmos DB by měla být omezená. | Tato zásada umožňuje omezit maximální propustnost, kterou může vaše organizace určit při vytváření databází a kontejnerů Azure Cosmos DB prostřednictvím poskytovatele prostředků. Blokuje vytváření prostředků automatického škálování. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Konfigurace účtů databáze Cosmos DB pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše databázové účty Cosmos DB k ověřování vyžadovaly výhradně identity Azure Active Directory. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Upravit, zakázáno | 1.1.0 |
| Konfigurace účtů CosmosDB pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek CosmosDB, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Upravit, zakázáno | 1.0.1 |
| Konfigurace účtů CosmosDB pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na účet CosmosDB. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace účtů Cosmos DB s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na účet CosmosDB můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Databázové účty Cosmos DB by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby databázové účty Cosmos DB k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení služby Advanced Threat Protection pro účty Cosmos DB | Tato zásada umožňuje rozšířenou ochranu před internetovými útoky napříč účty Cosmos DB. | DeployIfNotExists, zakázáno | 1.0.0 |
Vlastní zprostředkovatel
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Nasazení přidružení pro vlastního poskytovatele | Nasadí prostředek přidružení, který přidruží vybrané typy prostředků k zadanému vlastnímu poskytovateli. Toto nasazení zásad nepodporuje vnořené typy prostředků. | deployIfNotExists | 1.0.0 |
Data Box
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu. | Audit, Odepřít, Zakázáno | 1.0.0 |
Data Factory
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Kanály služby Azure Data Factory by měly komunikovat pouze s povolenými doménami. | Pokud chcete zabránit exfiltraci dat a tokenů, nastavte domény, se kterými by služba Azure Data Factory měla komunikovat. Poznámka: Ve verzi Public Preview se dodržování předpisů pro tuto zásadu nehlásí a zásady, které se mají použít ve službě Data Factory, povolte v ADF Studiu funkci odchozích pravidel. Další informace najdete na adrese https://aka.ms/data-exfiltration-policy. | Odepřít, zakázáno | 1.0.0-preview |
| Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Prostředí Azure Data Factory Integration Runtime by mělo mít limit počtu jader. | Pokud chcete spravovat prostředky a náklady, omezte počet jader prostředí Integration Runtime. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Typ prostředku propojené služby Azure Data Factory by měl být v seznamu povolených | Definujte seznam povolených typů propojených služeb azure Data Factory. Omezení povolených typů prostředků umožňuje kontrolu nad hranicí přesunu dat. Omezte například obor tak, aby umožňoval pouze úložiště objektů blob s Data Lake Storage Gen1 a Gen2 pro analýzy nebo obor tak, aby umožňovaly přístup SQL a Kusto pouze pro dotazy v reálném čase. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Propojené služby Azure Data Factory by měly používat službu Key Vault k ukládání tajných kódů. | Pokud chcete zajistit bezpečnou správu tajných kódů (například připojovací řetězec), vyžadovat, aby uživatelé zadali tajné kódy pomocí služby Azure Key Vault místo toho, aby je zadali vložené do propojených služeb. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Propojené služby Azure Data Factory by měly používat ověřování spravované identity přiřazené systémem, pokud je podporováno. | Použití spravované identity přiřazené systémem při komunikaci s úložišti dat prostřednictvím propojených služeb zabraňuje použití méně zabezpečených přihlašovacích údajů, jako jsou hesla nebo připojovací řetězec. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by pro správu zdrojového kódu měla používat úložiště Git. | Nakonfigurujte pouze vývojovou datovou továrnu s integrací Gitu. Změny v testování a produkčním prostředí by se měly nasadit prostřednictvím CI/CD a neměly by mít integraci Gitu. NEPOUŽÍVEJTE tuto zásadu pro kontrolu kvality / testování / produkční datové továrny. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace datových továren pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu Data Factory, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Upravit, zakázáno | 1.0.0 |
| Konfigurace privátních zón DNS pro privátní koncové body, které se připojují ke službě Azure Data Factory | Privátní DNS záznamy umožňují privátní připojení k privátním koncovým bodům. Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Data Factory bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace o privátních koncových bodech a zónách DNS ve službě Azure Data Factory najdete v tématu https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátních koncových bodů pro datové továrny | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do služby Azure Data Factory můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, zakázáno | 1.1.0 |
| Přístup k veřejné síti ve službě Azure Data Factory by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k vaší službě Azure Data Factory bylo možné přistupovat pouze z privátního koncového bodu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Integrační moduly RUNTIME služby SQL Server Integration Services ve službě Azure Data Factory by se měly připojit k virtuální síti. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení a izolaci prostředí SQL Server Integration Services Integration Services v Azure Data Factory a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. | Audit, Odepřít, Zakázáno | 2.3.0 |
Data Lake
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadování šifrování u účtů Data Lake Store | Tato zásada zajišťuje, že pro všechny účty Data Lake Store je povolené šifrování. | deny | 1.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Virtualizace plochy
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Fondy hostitelů služby Azure Virtual Desktop by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení a chrání vaše data tím, že zajišťuje, že přístup ke službě Azure Virtual Desktop není přístupný z veřejného internetu. Další informace najdete tady: https://aka.ms/avdprivatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Fondy hostitelů služby Azure Virtual Desktop by měly zakázat přístup k veřejné síti pouze na hostitelích relací. | Zakázání přístupu k veřejné síti pro hostitele relace hostování služby Azure Virtual Desktop, ale povolení veřejného přístupu koncovým uživatelům zlepšuje zabezpečení omezením vystavení veřejnému internetu. Další informace najdete tady: https://aka.ms/avdprivatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Virtual Desktop by měla používat privátní propojení | Použití služby Azure Private Link s prostředky Azure Virtual Desktopu může zlepšit zabezpečení a zajistit bezpečnost vašich dat. Další informace o privátních propojeních najdete tady: https://aka.ms/avdprivatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Služby Azure Virtual Desktop by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti pro prostředek pracovního prostoru Služby Azure Virtual Desktop brání zpřístupnění informačního kanálu přes veřejný internet. Povolení přístupu k privátní síti zlepšuje zabezpečení a udržuje vaše data v bezpečí. Další informace najdete tady: https://aka.ms/avdprivatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace prostředků fondu hostitelů služby Azure Virtual Desktop pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad prostředků Azure Virtual Desktopu. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace fondů hostitelů služby Azure Virtual Desktop pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro hostitele relací a koncové uživatele ve vašem prostředku fondu hostitelů služby Azure Virtual Desktop, aby nebyl přístupný přes veřejný internet. To zlepšuje zabezpečení a udržuje vaše data v bezpečí. Další informace najdete tady: https://aka.ms/avdprivatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace fondů hostitelů služby Azure Virtual Desktop tak, aby zakázala přístup k veřejné síti jenom pro hostitele relací | Zakažte přístup k veřejné síti pro hostitele relace fondu hostitelů služby Azure Virtual Desktop, ale povolte pro koncové uživatele veřejný přístup. To umožňuje uživatelům stále přistupovat ke službě AVD a zároveň zajistit, aby hostitel relace byl přístupný pouze prostřednictvím privátních tras. Další informace najdete tady: https://aka.ms/avdprivatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace fondu hostitelů služby Azure Virtual Desktop s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky Služby Azure Virtual Desktop můžete zlepšit zabezpečení a zajistit bezpečnost vašich dat. Další informace najdete tady: https://aka.ms/avdprivatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků pracovního prostoru Služby Azure Virtual Desktop pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad prostředků Azure Virtual Desktopu. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Služby Azure Virtual Desktop pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek pracovního prostoru Služby Azure Virtual Desktop, aby informační kanál nebyl přístupný přes veřejný internet. To zlepšuje zabezpečení a udržuje vaše data v bezpečí. Další informace najdete tady: https://aka.ms/avdprivatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Služby Azure Virtual Desktop s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky Služby Azure Virtual Desktop můžete zlepšit zabezpečení a zajistit bezpečnost vašich dat. Další informace najdete tady: https://aka.ms/avdprivatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
DevCenter
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Fondy Microsoft Dev Boxu by neměly používat hostované sítě Microsoftu. | Zakáže použití sítí hostovaných microsoftem při vytváření prostředků fondu. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
ElasticSan
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| ElasticSan by měl zakázat přístup k veřejné síti. | Zakažte přístup k veřejné síti pro ElasticSan, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| ElasticSan Volume Group by měla k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části vaší skupiny VolumeGroup. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných platformou, ale klíče CMK se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi, s plnou kontrolou a zodpovědností, včetně obměny a správy. | Audit, zakázáno | 1.0.0 |
| Skupina svazků ElasticSan by měla používat privátní koncové body. | Privátní koncové body umožňují správci připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na skupinu svazků může správce snížit rizika úniku dat. | Audit, zakázáno | 1.0.0 |
Event Grid
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Domény Služby Azure Event Grid by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Domény Azure Event Gridu by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby domény Služby Azure Event Grid pro ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Zprostředkovatel oboru názvů Azure Event Grid MQTT by měl používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obor názvů Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/aeg-ns-privateendpoints. | Audit, zakázáno | 1.0.0 |
| Zprostředkovatel témat oboru názvů služby Azure Event Grid by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obor názvů Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/aeg-ns-privateendpoints. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Event Grid by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/aeg-ns-privateendpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory názvů partnerů služby Azure Event Grid by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby partnerské obory názvů služby Azure Event Grid vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Témata služby Azure Event Grid by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Témata služby Azure Event Grid by měla mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby témata služby Azure Event Grid vyžadovala výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Konfigurace domén Azure Event Gridu pro zakázání místního ověřování | Zakažte místní metody ověřování, aby domény Služby Azure Event Grid vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace zprostředkovatele oboru názvů Azure Event Grid MQTT s privátními koncovými body | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na vaše prostředky budou chráněny před riziky úniku dat. Další informace najdete tady: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů Azure Event Gridu s využitím privátních koncových bodů | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na vaše prostředky budou chráněny před riziky úniku dat. Další informace najdete tady: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace partnerských oborů názvů azure Event Gridu pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše partnerské obory názvů služby Azure Event Grid vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace témat služby Azure Event Grid pro zakázání místního ověřování | Zakažte místní metody ověřování, aby témata služby Azure Event Grid vyžadovala výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/aeg-disablelocalauth. | Upravit, zakázáno | 1.0.0 |
| Nasazení – Konfigurace domén Azure Event Grid pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Další informace najdete tady: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Nasazení – Konfigurace domén Azure Event Gridu s privátními koncovými body | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na vaše prostředky budou chráněny před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace témat služby Azure Event Grid pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Další informace najdete tady: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Nasazení – Konfigurace témat služby Azure Event Grid s využitím privátních koncových bodů | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na vaše prostředky budou chráněny před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Úprava – Konfigurace domén Azure Event Gridu pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek Azure Event Grid, aby nebyl přístupný přes veřejný internet. To jim pomůže chránit před riziky úniku dat. Místo toho můžete omezit vystavení prostředků vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/privateendpoints. | Upravit, zakázáno | 1.0.0 |
| Úprava – Konfigurace témat služby Azure Event Grid tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro prostředek Azure Event Grid, aby nebyl přístupný přes veřejný internet. To jim pomůže chránit před riziky úniku dat. Místo toho můžete omezit vystavení prostředků vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/privateendpoints. | Upravit, zakázáno | 1.0.0 |
Centrum událostí
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechna autorizační pravidla kromě RootManageSharedAccessKey by se měla odebrat z oboru názvů centra událostí. | Klienti centra událostí by neměli používat zásady přístupu na úrovni oboru názvů, které poskytují přístup ke všem frontám a tématům v oboru názvů. Pokud chcete zajistit soulad s modelem zabezpečení s nejnižšími oprávněními, měli byste vytvořit zásady přístupu na úrovni entit pro fronty a témata, abyste měli přístup pouze ke konkrétní entitě. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Pravidla autorizace pro instanci centra událostí by měla být definována. | Audit existence autorizačních pravidel pro entity centra událostí za účelem udělení nejméně privilegovaného přístupu | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů služby Azure Event Hub by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby obory názvů služby Azure Event Hub vyžadovaly výhradně identity ID Microsoft Entra pro ověřování. Další informace najdete tady: https://aka.ms/disablelocalauth-eh. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Konfigurace oborů názvů služby Azure Event Hub pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše obory názvů služby Azure Event Hub vyžadovaly výhradně identity ID Microsoft Entra pro ověřování. Další informace najdete tady: https://aka.ms/disablelocalauth-eh. | Upravit, zakázáno | 1.0.1 |
| Konfigurace oborů názvů centra událostí pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do oborů názvů centra událostí. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů centra událostí s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory názvů centra událostí můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly zakázat přístup k veřejné síti. | Centrum událostí Azure by mělo mít zakázaný přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly mít povolené dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. | Audit, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Kapalinová relé
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Fluid Relay by měl k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených serverů Fluid Relay. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče CMK se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi, s plnou kontrolou a zodpovědností, včetně obměny a správy. Další informace najdete na adrese https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, zakázáno | 1.0.0 |
Obecné
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolené lokality | Tyto zásady umožňují omezit umístění, která může vaše organizace zadat při nasazování prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. Vyloučí skupiny prostředků, Microsoft.AzureActiveDirectory/b2cDirectories a prostředky, které používají globální oblast. | deny | 1.0.0 |
| Povolená umístění pro skupiny prostředků | Tato zásada umožňuje omezit umístění, ve kterých může vaše organizace vytvářet skupiny prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. | deny | 1.0.0 |
| Povolené typy prostředků | Tato zásada umožňuje zadat typy prostředků, které může vaše organizace nasadit. Tyto zásady ovlivní jenom typy prostředků, které podporují značky a umístění. Chcete-li omezit všechny prostředky, duplikujte tuto zásadu a změňte režim na Vše. | deny | 1.0.0 |
| Auditovat umístění prostředků odpovídá umístění skupiny prostředků | Auditování, že umístění prostředku odpovídá umístění skupiny prostředků | audit | 2.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Konfigurace předplatných pro nastavení funkcí ve verzi Preview | Tato zásada vyhodnocuje funkce preview stávajícího předplatného. Předplatná je možné napravit, aby se zaregistrovala k nové funkci Preview. Nová předplatná se nebudou automaticky registrovat. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Nepovolit odstranění typů prostředků | Tato zásada umožňuje určit typy prostředků, které vaše organizace může chránit před náhodným odstraněním blokováním volání odstranění pomocí efektu akce zamítnutí. | DenyAction, Zakázáno | 1.0.1 |
| Nepovolit prostředky M365 | Blokování vytváření prostředků M365 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolit prostředky MCPP | Blokování vytváření prostředků MCPP | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vyloučení prostředků nákladů na využití | Tato zásada umožňuje zobrazit zdroje nákladů na využití. Náklady na využití zahrnují například měřené úložiště a prostředky Azure, které se účtují na základě využití. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolené typy prostředků | Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. | Audit, Odepřít, Zakázáno | 2.0.0 |
Konfigurace hosta
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích | Tato zásada přidá spravovanou identitu přiřazenou uživatelem k virtuálním počítačům hostovaným v Azure, které podporuje konfigurace hosta. Spravovaná identita přiřazená uživatelem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Preview]: Nakonfigurujte Windows Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Windows Serveru. Tím zajistíte, že k Windows Serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Rozšířená Aktualizace zabezpečení by měla být nainstalovaná na počítačích s Windows Serverem 2012 Arc. | Počítače s Windows Serverem 2012 Arc by měly mít nainstalované všechny rozšířené bezpečnostní Aktualizace vydané Microsoftem. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete v tématu |
AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure pro hostitele Dockeru. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítač není správně nakonfigurovaný pro jedno z doporučení v standardních hodnotách zabezpečení Azure pro hostitele Dockeru. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Vzhledem k opravě zabezpečení, která je součástí balíčku OMI verze 1.6.8-1 pro Linux, by se všechny počítače měly aktualizovat na nejnovější verzi. Upgradujte aplikace nebo balíčky, které k vyřešení problému používají OMI. Další informace najdete na webu https://aka.ms/omiguidance. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Výpočetní počítače Nexus by měly splňovat standardní hodnoty zabezpečení. | Využívá agenta konfigurace hosta Azure Policy k auditování. Tato zásada zajišťuje, aby počítače dodržovaly standardní hodnoty zabezpečení pro výpočty Nexus, včetně různých doporučení navržených k zajištění řady ohrožení zabezpečení a nebezpečných konfigurací (pouze Linux). | AuditIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jeden nebo více balíčků poskytovaných parametrem nejsou nainstalovány. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jsou nainstalovány některé balíčky poskytované parametrem. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators neobsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Audit síťového připojení počítačů s Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud stav síťového připojení k IP adrese a port TCP neodpovídá parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-DSCConfigurationStatus vrátí, že konfigurace DSC pro daný počítač nedodržuje předpisy. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud agent není nainstalovaný nebo pokud je nainstalovaný, ale objekt AgentConfigManager.MgmtSvcCfg objektu COM vrátí, že je zaregistrovaný do jiného pracovního prostoru, než je ID zadané v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditujte počítače s Windows, na kterých nejsou zadané služby nainstalovány, a "Spuštěno". | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud výsledek příkazu Prostředí Windows PowerShell Get-Service neobsahuje název služby s odpovídajícím stavem zadaným parametrem zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač nemá nainstalovaný software sériové konzoly nebo pokud číslo portu EMS nebo přenosová rychlost nejsou nakonfigurované se stejnými hodnotami jako parametry zásad. | auditIfNotExists | 3.0.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nejsou připojené k zadané doméně | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti Domain ve třídě služby WMI win32_computersystem neodpovídá hodnotě v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti StandardName ve třídě WMI Win32_TimeZone neodpovídá vybranému časovému pásmu pro parametr zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Tato zásada také nabízí možnost zkontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a jestli se mají hlásit certifikáty s vypršenou platností. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud úložiště důvěryhodných kořenových certifikátů počítače (Cert:\LocalMachine\Root) neobsahuje jeden nebo více certifikátů uvedených parametrem zásad. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-ExecutionPolicy vrátí jinou hodnotu, než která byla vybrána v parametru zásady. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud modul není k dispozici v umístění určeném proměnnou prostředí PSModulePath. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nenajde v žádné z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají ve skupině Správa istrators další účty | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje členy, které nejsou uvedené v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které se nerestartovaly během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nejsou kompatibilní, pokud vlastnost WMI LastBootUpTime ve třídě Win32_Operatingsystem je mimo rozsah dnů poskytovaných parametrem zásady. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nachází v některé z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování virtuálních počítačů s Windows s čekající restartováním | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač čeká na restartování z některého z následujících důvodů: údržba založená na komponentách, služba Windows Update, čekající přejmenování souboru, čekající přejmenování počítače, čekající na restartování správce konfigurace. Každá detekce má jedinečnou cestu registru. | auditIfNotExists | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Nakonfigurujte Linux Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Linux Serveru. Tím zajistíte, že k linuxovým serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na počítačích s Windows | Vytvoří přiřazení konfigurace hosta pro konfiguraci zadané verze zabezpečeného protokolu (TLS 1.1 nebo TLS 1.2) na počítači s Windows. | DeployIfNotExists, zakázáno | 1.0.1 |
| Nakonfigurujte časové pásmo na počítačích s Windows. | Tato zásada vytvoří přiřazení konfigurace hosta pro nastavení zadaného časového pásma na virtuálních počítačích s Windows. | deployIfNotExists | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Počítače s Linuxem by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. | Pokud na linuxovém serveru s podporou Azure Arc není nainstalovaný agent Log Analytics, počítače nevyhovují předpisům. | AuditIfNotExists, zakázáno | 1.1.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Počítače s Linuxem by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.2.0 |
| Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.1 |
| Místní metody ověřování by měly být na počítačích s Linuxem zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Linuxem nemají zakázané místní metody ověřování. Tím ověříte, že k linuxovým serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| Místní metody ověřování by měly být na Windows Serverech zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Windows nemají zakázané místní metody ověřování. Tím ověříte, že k Windows Serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Privátní koncové body pro přiřazení konfigurace hosta by měly být povolené. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke konfiguraci hosta pro virtuální počítače. Virtuální počítače nebudou kompatibilní, pokud nemají značku EnablePrivateNetworkGC. Tato značka vynucuje zabezpečenou komunikaci prostřednictvím privátního připojení ke konfiguraci hosta pro virtuální počítače. Privátní připojení omezuje přístup k provozu přicházejícímu jenom ze známých sítí a brání přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
| Počítače s Windows by měly nakonfigurovat Program Windows Defender tak, aby aktualizoval podpisy ochrany do jednoho dne. | Aby bylo možné zajistit odpovídající ochranu proti nově vydanému malwaru, musí být podpisy ochrany v programu Windows Defender pravidelně aktualizovány tak, aby odpovídaly nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly povolit ochranu v reálném čase v programu Windows Defender. | Počítače s Windows by měly v programu Windows Defender povolit ochranu v reálném čase, aby poskytovaly odpovídající ochranu proti nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. | Počítače nedodržují předpisy, pokud agent Log Analytics není nainstalovaný na Windows Serveru s podporou Služby Azure Arc. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Ovládací panely" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – Ovládací panely" pro přizpůsobení vstupu a prevenci povolení zamykací obrazovky. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – MSS (starší verze) | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – MSS (starší verze) pro automatické přihlášení, spořič obrazovky, chování sítě, bezpečnou knihovnu DLL a protokol událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky pro "Správa istrativní šablony – síť" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – síť" pro přihlášení hostů, souběžná připojení, síťový most, ICS a překlad názvů vícesměrového vysílání. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Systém" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – systém" pro nastavení, která řídí možnosti správy a vzdálenou pomoc. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Účty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Účty pro omezení použití prázdných hesel a stavu účtu hosta. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Audit | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Audit pro vynucení podkategorie zásad auditu a vypnutí, pokud se nedaří protokolovat audity zabezpečení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zařízení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zařízení pro zrušení připojení bez přihlášení, instalace ovladačů tisku a formátování/vysunutí média. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Interaktivní přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Interaktivní přihlášení pro zobrazení příjmení a vyžadování ctrl-alt-del. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Klient sítě Microsoftu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Klient sítě Microsoft pro síťového klienta nebo serveru Microsoft a smb v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Microsoft Network Server pro zakázání serveru SMB v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – konzola pro zotavení. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – konzola pro zotavení, aby bylo možné povolit kopírování diskety a přístup ke všem jednotkám a složkám. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Vypnutí | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Vypnutí pro povolení vypnutí bez přihlášení a vymazání stránkovacího souboru virtuální paměti. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Systémové objekty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Systémové objekty pro případ necitlivost pro subsystémy a oprávnění interních systémových objektů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Nastavení systému. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Nastavení systému pro pravidla certifikátů pro spustitelné soubory pro SRP a volitelné subsystémy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zabezpečení Nastavení – Zásady účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zabezpečení Nastavení – Zásady účtu pro historii hesel, věk, délku, složitost a ukládání hesel pomocí reverzibilního šifrování. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – přihlášení k účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení k účtu pro auditování ověření přihlašovacích údajů a dalších událostí přihlášení k účtu. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – Správa účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Správa účtů pro auditování aplikací, zabezpečení a správy skupin uživatelů a dalších událostí správy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Podrobné sledování pro auditování rozhraní DPAPI, vytváření/ukončení procesů, událostí RPC a aktivit PNP. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení pro auditování IPSec, zásad sítě, deklarací identity, uzamčení účtu, členství ve skupině a událostí přihlášení/odhlášení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přístup k objektům. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přístup k objektům pro auditování souborů, registru, SAM, úložiště, filtrování, jádra a dalších typů systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Změna zásad pro auditování změn v zásadách auditu systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Použití oprávnění k auditování nesmyslů a dalších použití oprávnění. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Systém. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Systém pro auditování ovladače IPsec, integrity systému, rozšíření systému, změny stavu a dalších systémových událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Přiřazení uživatelských práv pro povolení místního přihlášení, protokolu RDP, přístupu ze sítě a mnoha dalších aktivit uživatelů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na součásti systému Windows. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Součásti systému Windows pro základní ověřování, nešifrovaný provoz, účty Microsoft, telemetrii, Cortanu a další chování systému Windows. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na vlastnosti brány Windows Firewall. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Vlastnosti brány firewall systému Windows pro stav brány firewall, připojení, správu pravidel a oznámení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Tato definice není podporována ve Windows Serveru 2012 nebo 2012 R2. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly naplánovat, aby Program Windows Defender prováděl naplánovanou kontrolu každý den. | Pokud chcete zajistit detekci malwaru a minimalizovat jeho dopad na váš systém, doporučuje se, aby počítače s Windows Defenderem plánovala denní kontrolu. Ujistěte se, že je program Windows Defender podporovaný, předinstalovaný na zařízení a že jsou nasazené požadavky na konfiguraci hosta. Splnění těchto požadavků může vést k nepřesným výsledkům vyhodnocení. Další informace o konfiguraci hosta najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.0 |
| Počítače s Windows by měly používat výchozí server NTP. | Nastavte "time.windows.com" jako výchozí server NTP pro všechny počítače s Windows, aby se zajistilo, že protokoly ve všech systémech mají systémové hodiny, které jsou všechny synchronizované. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.1.1 |
HDInsight
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Clustery Azure HDInsight by se měly vložit do virtuální sítě. | Vkládání clusterů Azure HDInsight do virtuální sítě odemkne pokročilé funkce sítě a zabezpečení SLUŽBY HDInsight a poskytuje kontrolu nad konfigurací zabezpečení sítě. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli. | Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure HDInsight by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na clustery Azure HDInsight můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/hdi.pl. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Azure HDInsight pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do clusterů Azure HDInsight. Další informace najdete tady: https://aka.ms/hdi.pl. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Azure HDInsight s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na clustery Azure HDInsight můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/hdi.pl. | DeployIfNotExists, zakázáno | 1.0.0 |
Health Bot
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Roboti služby Azure Health by měli k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem (CMK) můžete spravovat šifrování neaktivních dat vašich robotů healthbotů. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíč CMK se běžně vyžaduje ke splnění standardů dodržování právních předpisů. CMK umožňuje šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://docs.microsoft.com/azure/health-bot/cmk | Audit, zakázáno | 1.0.0 |
Pracovní prostor služby Health Data Services
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovní prostor služby Azure Health Data Services by měl používat privátní propojení | Pracovní prostor služby Health Data Services by měl mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/healthcareapisprivatelink. | Audit, zakázáno | 1.0.0 |
Zdravotnická rozhraní API
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| CORS by neměl umožňovat přístup ke službě FHIR pro každou doménu. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke službě FHIR všem doménám. Pokud chcete chránit službu FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které mají povoleno připojení. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Služba DICOM by měla k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování neaktivních uložených dat ve službě DICOM služby Azure Health Data Services, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | Audit, zakázáno | 1.0.0 |
| Služba FHIR by měla k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování neaktivních uložených dat ve službě FHIR služby Azure Health Data Services, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | Audit, zakázáno | 1.0.0 |
Internet věcí
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Azure IoT Hub by měl k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem. | Šifrování neaktivních uložených dat ve službě IoT Hub pomocí klíče spravovaného zákazníkem přidá druhou vrstvu šifrování nad výchozími klíči spravovanými službami, umožňuje zákazníkům řídit klíče, vlastní zásady obměny a schopnost spravovat přístup k datům prostřednictvím řízení přístupu ke klíči. Klíče spravované zákazníkem musí být nakonfigurované při vytváření služby IoT Hub. Další informace o konfiguraci klíčů spravovaných zákazníkem najdete v tématu https://aka.ms/iotcmk. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Účty Služby Azure Device Update by měly k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem. | Šifrování neaktivních uložených dat ve službě Azure Device Update pomocí klíče spravovaného zákazníkem přidá druhou vrstvu šifrování nad výchozími klíči spravovanými službami, umožňuje zákazníkům řídit klíče, vlastní zásady obměny a schopnost spravovat přístup k datům prostřednictvím řízení přístupu ke klíči. Další informace najdete tady:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Device Update pro IoT Hub by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Device Update pro účty služby IoT Hub se sníží riziko úniku dat. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure IoT Hub by měl mít pro rozhraní APIS služby zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure IoT Hub pro ověřování rozhraní API služby vyžadovala výhradně identity Azure Active Directory. Další informace najdete tady: https://aka.ms/iothubdisablelocalauth. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace služby Azure Device Update pro účty služby IoT Hub pro zakázání přístupu k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k aktualizaci zařízení pro IoT Hub bylo možné přistupovat pouze z privátního koncového bodu. Tato zásada zakáže přístup k veřejné síti ve službě Device Update pro prostředky ioT Hubu. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Device Update pro účty služby IoT Hub pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body služby Device Updatefor IoT Hub. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Device Update pro účty služby IoT Hub s využitím privátního koncového bodu | Privátní koncový bod je privátní IP adresa přidělená uvnitř virtuální sítě vlastněné zákazníkem, přes kterou je prostředek Azure dostupný. Tato zásada nasadí privátní koncový bod pro službu Device Update pro centrum IoT, aby umožňovala službám ve vaší virtuální síti přístup k tomuto prostředku, aniž by se musel odesílat provoz do služby Device Update pro veřejný koncový bod služby IoT Hub. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace služby Azure IoT Hub pro zakázání místního ověřování | Zakažte místní metody ověřování, aby služba Azure IoT Hub k ověřování vyžadovala výhradně identity Azure Active Directory. Další informace najdete tady: https://aka.ms/iothubdisablelocalauth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace instancí zřizování zařízení služby IoT Hub pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a přeloží ji na instanci služby zřizování zařízení ioT Hubu. Další informace najdete tady: https://aka.ms/iotdpsvnet. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace instancí služby Zřizování zařízení ve službě IoT Hub tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro instanci zřizování zařízení IoT Hubu, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/iotdpsvnet. | Upravit, zakázáno | 1.0.0 |
| Konfigurace instancí služby Zřizování zařízení ioT Hubu s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na službu zřizování zařízení ioT Hubu můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace azure IoT Hubs pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body služby IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Nasazení – Konfigurace azure IoT Hubs s privátními koncovými body | Privátní koncový bod je privátní IP adresa přidělená uvnitř virtuální sítě vlastněné zákazníkem, přes kterou je prostředek Azure dostupný. Tato zásada nasadí privátní koncový bod pro centrum IoT, aby umožňovala službám ve vaší virtuální síti přístup ke službě IoT Hub, aniž by se musel odesílat provoz do veřejného koncového bodu služby IoT Hub. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace IoT Central pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body IoT Central. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace IoT Central s privátními koncovými body | Privátní koncový bod je privátní IP adresa přidělená uvnitř virtuální sítě vlastněné zákazníkem, přes kterou je prostředek Azure dostupný. Tato zásada nasadí privátní koncový bod pro ioT Central, aby umožňovala službám ve vaší virtuální síti přístup ke službě IoT Central, aniž by se musel odesílat provoz do veřejného koncového bodu IoT Central. | DeployIfNotExists, zakázáno | 1.0.0 |
| IoT Central by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na aplikaci IoT Central místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotcentral-network-security-using-pe. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Instance služby Zřizování zařízení služby IoT Hub by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby instance služby Zřizování zařízení služby IoT Hub nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení instancí zřizování zařízení ioT Hubu. Další informace najdete tady: https://aka.ms/iotdpsvnet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Úprava – Konfigurace služby Azure IoT Hubs tak, aby zakázala přístup k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k Azure IoT Hubu bylo možné přistupovat pouze z privátního koncového bodu. Tato zásada zakáže přístup k veřejné síti u prostředků ioT Hubu. | Upravit, zakázáno | 1.0.0 |
| Úprava – Konfigurace IoT Central pro zakázání přístupu k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že k IoT Central bude možné přistupovat pouze z privátního koncového bodu. Tato zásada zakáže přístup k veřejné síti u prostředků ioT Hubu. | Upravit, zakázáno | 1.0.0 |
| Privátní koncový bod by měl být povolený pro IoT Hub. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě IoT Hub. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | Audit, zakázáno | 1.0.0 |
| Přístup k veřejné síti pro účty služby Azure Device Update pro IoT Hub by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k účtům služby Azure Device Update pro IoT Hub bylo možné přistupovat pouze z privátního koncového bodu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Přístup k veřejné síti ve službě Azure IoT Hub by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k Azure IoT Hubu bylo možné přistupovat pouze z privátního koncového bodu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Přístup k veřejné síti by měl být pro IoT Central zakázaný. | Pokud chcete zlepšit zabezpečení IoT Central, ujistěte se, že není vystavený veřejnému internetu a že je možné k němu přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/iotcentral-restrict-public-access. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
Key Vault
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Klíče spravovaného HSM služby Azure Key Vault by měly mít datum vypršení platnosti. | Pokud chcete tuto zásadu použít ve verzi Preview, musíte nejprve postupovat podle těchto pokynů na adrese https://aka.ms/mhsmgovernance. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| [Preview]: Spravované klíče HSM služby Azure Key Vault by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud chcete tuto zásadu použít ve verzi Preview, musíte nejprve postupovat podle těchto pokynů na adrese https://aka.ms/mhsmgovernance. Pokud je klíč příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy, která klíč otočí. Klíče by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| [Preview]: Spravované klíče HSM služby Azure Key Vault využívající kryptografii s tři tečkami by měly mít zadané názvy křivek. | Pokud chcete tuto zásadu použít ve verzi Preview, musíte nejprve postupovat podle těchto pokynů na adrese https://aka.ms/mhsmgovernance. Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| [Preview]: Spravované klíče HSM služby Azure Key Vault využívající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Pokud chcete tuto zásadu použít ve verzi Preview, musíte nejprve postupovat podle těchto pokynů na adrese https://aka.ms/mhsmgovernance. Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| [Preview]: Spravovaný HSM služby Azure Key Vault by měl zakázat přístup k veřejné síti. | Zakažte přístup k veřejné síti pro spravovaný HSM služby Azure Key Vault, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Spravovaný HSM služby Azure Key Vault by měl používat privátní propojení. | Private Link poskytuje způsob připojení spravovaného HSM služby Azure Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Certifikáty by měly vydávat některé ze zadaných neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním vlastních nebo interních certifikačních autorit, které můžou vydávat certifikáty ve vašem trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace spravovaného HSM služby Azure Key Vault pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro spravovaný HSM služby Azure Key Vault, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Upravit, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace spravovaného HSM služby Azure Key Vault s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na spravovaný HSM služby Azure Key Vault můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. | Škodlivé odstranění spravovaného HSM služby Azure Key Vault může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit spravovaný HSM služby Azure Key Vault. Ochrana před vymazáním chrání před vnitřními útoky tím, že vynucuje povinnou dobu uchovávání pro obnovitelné odstranění spravovaného HSM služby Azure Key Vault. Nikdo ve vaší organizaci ani Microsoft nebude moct během doby uchovávání obnovitelného odstranění vyprázdnit spravovaný HSM služby Azure Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Key Vault by měl zakázat přístup k veřejné síti. | Zakažte přístup k veřejné síti pro váš trezor klíčů, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/akvprivatelink. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Azure Key Vault by měl používat model oprávnění RBAC. | Povolte model oprávnění RBAC napříč službami Key Vault. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Odepřít, Zakázáno | 1.0.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Certifikáty by měly být vydány zadanou integrovanou certifikační autoritou. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním integrovaných certifikačních autorit Azure, které můžou vydávat certifikáty ve vašem trezoru klíčů, jako je Digicert nebo GlobalSign. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Certifikáty by měly být vydány zadanou neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním jednoho vlastního nebo interního certifikačního úřadu, který může vydávat certifikáty ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
| Certifikáty by měly mít zadané aktivační události akce životnosti. | Spravujte požadavky organizace na dodržování předpisů tím, že určíte, jestli se akce životnosti certifikátu aktivuje v určitém procentu jeho životnosti nebo v určitém počtu dnů před vypršením jeho platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
| Platnost certifikátů by neměla vypršet do zadaného počtu dnů. | Spravujte certifikáty, jejichž platnost vyprší během zadaného počtu dnů, abyste měli jistotu, že má vaše organizace dostatek času na obměně certifikátu před vypršením platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
| Certifikáty by měly používat povolené typy klíčů. | Správa požadavků organizace na dodržování předpisů omezením typů klíčů povolených pro certifikáty | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Certifikáty používající kryptografii se třemi tečkami by měly mít povolené názvy křivek. | Umožňuje spravovat povolené názvy tří teček pro certifikáty ECC uložené v trezoru klíčů. Další informace najdete na adrese https://aka.ms/akvpolicy. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Spravujte požadavky organizace na dodržování předpisů zadáním minimální velikosti klíče pro certifikáty RSA uložené ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Konfigurace služby Azure Key Vault pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezoru klíčů. Další informace najdete tady: https://aka.ms/akvprivatelink. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace služby Azure Key Vault s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace trezorů klíčů pro povolení brány firewall | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Pak můžete nakonfigurovat konkrétní rozsahy IP adres, abyste omezili přístup k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Upravit, zakázáno | 1.1.1 |
| Nasazení – Konfigurace nastavení diagnostiky pro Azure Key Vault do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Azure Key Vault pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba Key Vault, která chybí. | DeployIfNotExists, zakázáno | 2.0.1 |
| Nasazení – Konfigurace nastavení diagnostiky do centra událostí, které se povolí ve spravovaném HSM služby Azure Key Vault | Nasadí nastavení diagnostiky spravovaného HSM služby Azure Key Vault pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakýkoli spravovaný HSM služby Azure Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro Službu Key Vault do centra událostí | Nasadí nastavení diagnostiky pro Službu Key Vault pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakékoli služby Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 3.0.1 |
| Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Klíče by měly být podporovány modulem hardwarového zabezpečení (HSM). | HSM je modul hardwarového zabezpečení, který ukládá klíče. HSM poskytuje fyzickou vrstvu ochrany kryptografických klíčů. Kryptografický klíč nemůže opustit fyzický HSM, který poskytuje vyšší úroveň zabezpečení než softwarový klíč. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče by měly být zadaným kryptografickým typem RSA nebo EC. | Některé aplikace vyžadují použití klíčů zálohovaných určitým kryptografickým typem. Vynucujte ve vašem prostředí konkrétní typ kryptografického klíče, RSA nebo EC. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče by měly mít zásadu obměně, která zajistí, že se jejich rotace naplánuje během zadaného počtu dnů po vytvoření. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximálního počtu dnů po vytvoření klíče, dokud se nebude muset otočit. | Audit, zakázáno | 1.0.0 |
| Klíče by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je klíč příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy, která klíč otočí. Klíče by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být klíč platný v rámci trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče by neměly být aktivní delší než zadaný počet dnů. | Zadejte počet dní, po který má být klíč aktivní. Klíče, které se používají po delší dobu, zvyšují pravděpodobnost, že by útočník mohl klíč ohrozit. Dobrým postupem zabezpečení je zajistit, aby klíče nebyly aktivní déle než dva roky. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii se třemi tečkami by měly mít zadané názvy křivek. | Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Protokoly prostředků ve spravovaném HSM služby Azure Key Vault by měly být povolené. | Pokud chcete znovu vytvořit záznamy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo když dojde k ohrožení sítě, můžete chtít auditovat povolením protokolů prostředků ve spravovaných HSM. Postupujte podle zde uvedených pokynů: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, zakázáno | 1.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Tajné kódy by měly mít nastavený typ obsahu. | Značka typu obsahu pomáhá identifikovat, jestli je tajným kódem heslo, připojovací řetězec atd. Různé tajné kódy mají různé požadavky na obměnu. Značka typu obsahu by měla být nastavena na tajné kódy. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Tajné kódy by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je tajný kód příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy pro obměně tajného kódu. Tajné kódy by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Tajné kódy by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být tajný kód platný v rámci vašeho trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Tajné kódy by neměly být aktivní déle než zadaný počet dnů. | Pokud jste tajné kódy vytvořili s datem aktivace nastaveným v budoucnu, musíte zajistit, aby vaše tajné kódy nebyly aktivní déle než zadaná doba trvání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Kubernetes
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes by měly používat jenom image podepsané notací. | Používejte obrázky podepsané notací, abyste zajistili, že obrázky pocházejí z důvěryhodných zdrojů a nebudou se zlými úmysly změněny. Další informace najdete na stránce https://aka.ms/aks/image-integrity | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Nejde upravit jednotlivé uzly | Nelze upravit jednotlivé uzly. Uživatelé by neměli upravovat jednotlivé uzly. Upravte fondy uzlů. Úprava jednotlivých uzlů může vést k nekonzistentnímu nastavení, provozním výzvám a potenciálním bezpečnostním rizikům. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Konfigurace clusterů Kubernetes s podporou Azure Arc pro instalaci rozšíření Microsoft Defender for Cloud | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, zakázáno | 7.1.0-preview |
| [Preview]: Nasazení integrity image ve službě Azure Kubernetes Service | Nasaďte clustery Azure Kubernetes s integritou i doplňky zásad. Další informace najdete na stránce https://aka.ms/aks/image-integrity | DeployIfNotExists, zakázáno | 1.0.5-preview |
| [Preview]: Image kontejneru clusteru Kubernetes musí obsahovat předpřipravený háček. | Vyžaduje, aby image kontejnerů obsahovaly předstop háku pro řádné ukončení procesů během vypnutí podu. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Image kontejneru clusteru Kubernetes by neměly obsahovat nejnovější značku image. | Vyžaduje, aby image kontejnerů v Kubernetes nepoužíly nejnovější značku, je osvědčeným postupem zajistit reprodukovatelnost, zabránit nezamýšleným aktualizacím a usnadnit ladění a vrácení zpět pomocí explicitních a verzí imagí kontejneru. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Kontejnery clusteru Kubernetes by měly načítat image jenom v případě, že jsou k dispozici tajné kódy pro vyžádání image. | Omezení vyžádání imagí kontejnerů za účelem vynucení přítomnosti ImagePullSecrets, zajištění zabezpečeného a autorizovaného přístupu k imagím v clusteru Kubernetes | Audit, Odepřít, Zakázáno | 1.1.0-preview |
| [Preview]: Clusterové služby Kubernetes by měly používat jedinečné selektory. | Ujistěte se, že služby v oboru názvů mají jedinečné selektory. Jedinečný selektor služeb zajišťuje, aby každá služba v oboru názvů byla jedinečně identifikovatelná na základě konkrétních kritérií. Tato zásada synchronizuje prostředky příchozího přenosu dat do OPA prostřednictvím Gatekeeperu. Před použitím ověřte, že nedojde k překročení kapacity paměti podů Gatekeeper. Parametry platí pro konkrétní obory názvů, ale synchronizují všechny prostředky tohoto typu napříč všemi obory názvů. Aktuálně ve verzi Preview pro Kubernetes Service (AKS). | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Cluster Kubernetes by měl implementovat přesné rozpočty přerušení podů. | Zabraňuje vadným rozpočtům přerušení podů a zajišťuje minimální počet provozních podů. Podrobnosti najdete v oficiální dokumentaci k Kubernetes. Spoléhá na replikaci dat Gatekeeper a synchronizuje všechny prostředky příchozího přenosu dat, které jsou s ním vymezené, do OPA. Než použijete tuto zásadu, ujistěte se, že synchronizované prostředky příchozího přenosu dat nebudou zatěžovat vaši kapacitu paměti. Přestože parametry vyhodnocují konkrétní obory názvů, všechny prostředky tohoto typu napříč obory názvů se budou synchronizovat. Poznámka: Aktuálně ve verzi Preview pro Kubernetes Service (AKS). | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Clustery Kubernetes by měly omezit vytváření daného typu prostředku. | Daný typ prostředku Kubernetes by neměl být nasazen v určitém oboru názvů. | Audit, Odepřít, Zakázáno | 2.2.0-preview |
| [Preview]: Musí mít nastavená pravidla proti spřažení. | Tato zásada zajišťuje, aby pody byly naplánované na různých uzlech v clusteru. Vynucením pravidel ochrany proti spřažení se dostupnost udržuje i v případě, že některý z uzlů nebude dostupný. Pody budou dál běžet na jiných uzlech, což zvyšuje odolnost. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Žádné popisky specifické pro AKS | Zabrání zákazníkům v použití konkrétních popisků AKS. AKS používá k označení komponent vlastněných AKS popisky s předponou kubernetes.azure.com . Zákazník by neměl tyto popisky používat. |
Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Tainty vyhrazeného systémového fondu | Omezuje taint CriticalAddonsOnly pouze na systémový fond. AKS používá taint CriticalAddonsOnly k tomu, aby pody zákazníků zůstaly mimo systémový fond. Zajišťuje jasné oddělení mezi komponentami AKS a pody zákazníků a také zabraňuje vyřazení podů zákazníků, pokud netolerují taint CriticalAddonsOnly. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Omezuje taint CriticalAddonsOnly pouze na systémový fond. | Aby nedocházelo k vyřazení uživatelských aplikací z fondů uživatelů a zachovalo se oddělení obav mezi fondy uživatelů a systémových fondů, nemělo by se u fondů uživatelů používat taint CriticalAddonsOnly. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví omezení procesoru kontejnerů clusteru Kubernetes na výchozí hodnoty v případě, že nejsou přítomny nebo překračují limity. | Nastavení limitů procesoru kontejneru, aby se zabránilo útokům na vyčerpání prostředků v clusteru Kubernetes. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví omezení paměti kontejnerů clusteru Kubernetes na výchozí hodnoty v případě, že nejsou přítomny nebo překračují limity. | Nastavení limitů paměti kontejneru, aby se zabránilo útokům na vyčerpání prostředků v clusteru Kubernetes. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví maximální počet podů na 1 pro prostředky PodDisruptionBudget. | Nastavení maximální hodnoty nedostupného podu na 1 zajistí, že během přerušení bude vaše aplikace nebo služba k dispozici. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví readOnlyRootFileSystem ve specifikaci podu v kontejnerech init na hodnotu true, pokud není nastavena. | Nastavení readOnlyRootFileSystem na true zvyšuje zabezpečení tím, že brání kontejnerům v zápisu do kořenového systému souborů. To funguje jenom pro kontejnery Linuxu. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví readOnlyRootFileSystem ve specifikaci podu na hodnotu true, pokud není nastavena. | Nastavení readOnlyRootFileSystem na true zvyšuje zabezpečení tím, že brání kontejnerům v zápisu do kořenového systému souborů. | Ztlumení, zakázáno | 1.1.0-preview |
| Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. | Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | AuditIfNotExists, zakázáno | 1.1.0 |
| Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Open Service Mesh. | Rozšíření Open Service Mesh poskytuje všechny standardní možnosti sítě služeb pro zabezpečení, správu provozu a pozorovatelnost aplikačních služeb. Další informace najdete tady: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Strimzi Kafka. | Rozšíření Strimzi Kafka poskytuje operátorům instalaci Kafka pro vytváření datových kanálů v reálném čase a streamovaných aplikací s možnostmi zabezpečení a pozorovatelnosti. Další informace najdete tady: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Clustery Azure Kubernetes by měly povolit rozhraní úložiště kontejnerů (CSI) | Rozhraní úložiště kontejnerů (CSI) je standardem pro zveřejnění libovolných systémů úložiště bloků a souborů pro kontejnerizované úlohy ve službě Azure Kubernetes Service. Další informace https://aka.ms/aks-csi-driver | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes by měly povolit Služba správy klíčů (Služba správy klíčů) | Pro zabezpečení clusteru Kubernetes použijte Služba správy klíčů (Služba správy klíčů) k šifrování neaktivních uložených uložených uložených dat atd. Další informace najdete tady: https://aka.ms/aks/kmsetcdencryption. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes by měly používat Azure CNI | Azure CNI je předpokladem pro některé funkce služby Azure Kubernetes Service, včetně zásad sítě Azure, fondů uzlů Windows a doplňků pro virtuální uzly. Další informace najdete tady: https://aka.ms/aks-azure-cni | Audit, zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly zakázat vyvolání příkazů. | Zakázání vyvolání příkazu může zvýšit zabezpečení tím, že se zabrání obejití omezeného síťového přístupu nebo řízení přístupu na základě role Kubernetes. | Audit, zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly povolit automatický upgrade clusteru. | Automatický upgrade clusteru AKS může zajistit, aby vaše clustery byly aktuální a nezmeškaly nejnovější funkce nebo opravy z AKS a upstreamového Kubernetes. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit nástroj Image Cleaner. | Nástroj Image Cleaner provádí automatickou zranitelnou, nepoužitou identifikaci a odebrání obrázku, což snižuje riziko zastaralých obrázků a zkracuje dobu potřebnou k jejich vyčištění. Další informace najdete tady: https://aka.ms/aks/image-cleaner. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit integraci s Microsoft Entra ID | Integrace Microsoft Entra ID spravované službou AKS může spravovat přístup ke clusterům konfigurací řízení přístupu na základě role Kubernetes (Kubernetes RBAC) na základě identity uživatele nebo členství ve skupině adresářů. Další informace najdete tady: https://aka.ms/aks-managed-aad. | Audit, zakázáno | 1.0.2 |
| Clustery Azure Kubernetes Service by měly povolit automatický upgrade operačního systému uzlu. | Automatický upgrade operačního systému uzlu AKS řídí aktualizace zabezpečení operačního systému na úrovni uzlu. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit identitu úloh. | Identita úloh umožňuje přiřadit každému podu Kubernetes jedinečnou identitu a přidružit ji k chráněným prostředkům Azure AD, jako je Azure Key Vault, a umožnit tak zabezpečený přístup k těmto prostředkům z podu. Další informace najdete tady: https://aka.ms/aks/wi. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o programu Microsoft Defender for Containers v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, zakázáno | 2.0.1 |
| Clustery Azure Kubernetes Service by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby clustery Azure Kubernetes Service měly k ověřování výhradně vyžadovat identity Azure Active Directory. Další informace najdete tady: https://aka.ms/aks-disable-local-accounts. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly používat spravované identity. | Pomocí spravovaných identit zabalte instanční objekty, zjednodušte správu clusteru a vyhněte se složitosti vyžadované pro spravované instanční objekty. Další informace najdete tady: https://aka.ms/aks-update-managed-identities | Audit, zakázáno | 1.0.1 |
| Privátní clustery Azure Kubernetes Service by měly být povolené. | Povolte funkci privátního clusteru pro cluster Azure Kubernetes Service, abyste zajistili, že síťový provoz mezi vaším serverem ROZHRANÍ API a fondy uzlů zůstane jenom v privátní síti. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Konfigurace clusterů Kubernetes s podporou Azure Arc pro instalaci rozšíření Azure Policy | Nasaďte rozšíření služby Azure Policy pro Azure Arc, abyste zajistili vynucení ve velkém měřítku a chránili clustery Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace clusterů Azure Kubernetes Service pro povolení profilu Defenderu | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.Defender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Přečtěte si další informace o programu Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, zakázáno | 4.1.0 |
| Konfigurace instalace rozšíření Flux v clusteru Kubernetes | Instalace rozšíření Flux v clusteru Kubernetes za účelem povolení nasazení fluxconfigurations v clusteru | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí zdroje kbelíku a tajných kódů ve službě KeyVault | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje kontejner SecretKey uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a certifikátu CERTIFIKAČNÍ autority HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje certifikát certifikační autority HTTPS. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč HTTPS uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů SSH | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí veřejného úložiště Git | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes se zadaným zdrojem kontejneru Flux v2 pomocí místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajné kódy uživatele a klíče HTTPS uložené ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps bez tajných kódů | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů SSH | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace integrovaných clusterů Azure Kubernetes Service s integrovaným Microsoft Entra ID s požadovaným přístupem ke skupině Správa | Zajistěte, aby se zlepšilo zabezpečení clusteru centrálním řízením přístupu Správa istratoru k integrovaným clusterům AKS s Microsoft Entra ID. | DeployIfNotExists, zakázáno | 2.1.0 |
| Konfigurace automatického upgradu operačního systému uzlu v clusteru Azure Kubernetes | Automatický upgrade operačního systému uzlu slouží k řízení aktualizací zabezpečení operačního systému na úrovni uzlů clusterů Azure Kubernetes Service (AKS). Další informace najdete na adrese https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, zakázáno | 1.0.1 |
| Nasazení – Konfigurace nastavení diagnostiky pro službu Azure Kubernetes Service do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro službu Azure Kubernetes Service pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 3.0.0 |
| Nasazení doplňku Azure Policy do clusterů Azure Kubernetes Service | Pomocí doplňku Azure Policy můžete spravovat a hlásit stav dodržování předpisů clusterů Azure Kubernetes Service (AKS). Další informace najdete na webu https://aka.ms/akspolicydoc. | DeployIfNotExists, zakázáno | 4.1.0 |
| Nasazení nástroje Image Cleaner ve službě Azure Kubernetes Service | Nasazení nástroje Image Cleaner v clusterech Azure Kubernetes Další informace najdete na stránce https://aka.ms/aks/image-cleaner | DeployIfNotExists, zakázáno | 1.0.4 |
| Nasazení plánované údržby pro plánování a řízení upgradů pro cluster Azure Kubernetes Service (AKS) | Plánovaná údržba umožňuje naplánovat týdenní časové intervaly údržby, abyste mohli provádět aktualizace a minimalizovat dopad úloh. Po naplánování dojde k upgradům pouze během vybraného okna. Další informace najdete tady: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Zakázání vyvolání příkazu v clusterech Azure Kubernetes Service | Zakázání vyvolání příkazu může zvýšit zabezpečení odmítnutím přístupu k příkazu invoke-command ke clusteru. | DeployIfNotExists, zakázáno | 1.2.0 |
| Ujistěte se, že kontejnery clusteru mají nakonfigurované testy připravenosti nebo aktivity. | Tato zásada vynucuje, aby všechny pody měly nakonfigurované testy připravenosti nebo aktivity. Typy sond můžou být libovolné z tcpSocket, httpGet a exec. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Kontejnery clusteru Kubernetes by neměly používat zakázaná rozhraní sysctl. | Kontejnery by neměly používat zakázaná rozhraní sysctl v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolený typ ProcMountType. | Kontejnery podů můžou v clusteru Kubernetes používat pouze povolené typy ProcMountTypes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené zásady vyžádání změn. | Omezení zásad vyžádání replikace kontejnerů tak, aby vynucovaly kontejnery tak, aby používaly pouze povolené image v nasazeních | Audit, Odepřít, Zakázáno | 3.1.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily seccomp. | Kontejnery podů můžou používat pouze povolené profily seccomp v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Svazky clusteru Kubernetes Pod FlexVolume by měly používat pouze povolené ovladače. | Svazky Pod FlexVolume by měly používat pouze povolené ovladače v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.1 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Pody a kontejnery clusteru Kubernetes by měly používat pouze povolené možnosti SELinuxu | Pody a kontejnery by měly používat pouze povolené možnosti SELinux v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody clusteru Kubernetes by měly používat pouze povolené typy svazků. | Pody můžou používat pouze povolené typy svazků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.1 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Pody clusteru Kubernetes by měly používat zadané popisky. | Pomocí zadaných popisků identifikujte pody v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clusterové služby Kubernetes by měly používat jenom povolené externí IP adresy. | Použijte povolené externí IP adresy, abyste se vyhnuli potenciálnímu útoku (CVE-2020-8554) v clusteru Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Cluster Kubernetes by neměl používat nahé pody. | Zablokujte používání nahých podů. V případě selhání uzlu nebudou přeplánované nahé pody. Pody by měly být spravovány nasazením, replicitou, procesem démon nebo úlohami. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Kontejnery clusteru Kubernetes pro Windows by neměly přepočítat procesor a paměť. | Požadavky na prostředky kontejneru Windows by měly být menší nebo rovny limitu prostředků nebo nezadané, aby se zabránilo nadměrnému omezení. Pokud je paměť Systému Windows nadměrně zřízená, zpracuje stránky na disku – což může zpomalit výkon – místo ukončení kontejneru s nedostatkem paměti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Kontejnery clusteru Kubernetes pro Windows by se neměly spouštět jako kontejner Správa istrator | Zabraňte použití kontejneru Správa istrator jako uživatel ke spouštění procesů kontejneru pro pody nebo kontejnery Windows. Toto doporučení je určené ke zlepšení zabezpečení uzlů Windows. Další informace naleznete v tématu https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Odepřít, Zakázáno | 1.1.0 |
| Kontejnery clusteru Kubernetes s Windows by se měly spouštět jenom se schválenými uživateli a doménovými skupinami uživatelů. | Řídí uživatele, kterého mohou pody a kontejnery Windows používat ke spuštění v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů na uzlech Windows, které mají zlepšit zabezpečení prostředí Kubernetes. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.1.0 |
| Clustery Kubernetes by měly zajistit, aby se role správce clusteru používala jenom v případě potřeby. | Role správce clusteru poskytuje široké možnosti nad prostředím a měla by se používat jenom tam, kde a v případě potřeby. | Audit, zakázáno | 1.0.0 |
| Clustery Kubernetes by měly minimalizovat použití zástupných znaků v roli a roli clusteru. | Použití zástupných znaků *může být bezpečnostní riziko, protože uděluje široká oprávnění, která nemusí být nutná pro konkrétní roli. Pokud má role příliš mnoho oprávnění, může ho útočník zneužít nebo ohrozit uživatele, aby získal neoprávněný přístup k prostředkům v clusteru. | Audit, zakázáno | 1.0.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clustery Kubernetes by neměly povolovat oprávnění pro úpravy koncového bodu role clusteru nebo system:aggregate-to-edit | Role clusteru/system:aggregate-to-edit by neměly umožňovat oprávnění k úpravám koncového bodu kvůli CVE-2021-25740, oprávnění koncového bodu a koncového boduSlice umožňují předávání mezi obory názvů. https://github.com/kubernetes/kubernetes/issues/103675 Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, zakázáno | 3.1.0 |
| Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly používat konkrétní možnosti zabezpečení. | Zabraňte konkrétním možnostem zabezpečení v clusterech Kubernetes, aby se zabránilo nechtěným oprávněním k prostředku podu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.1.0 |
| Clustery Kubernetes by měly používat třídu StorageClass ovladače Container Storage Interface (CSI). | CSI (Container Storage Interface) je standard pro zpřístupnění libovolných blokových a souborových systémů úložišť kontejnerizovaným úlohám v Kubernetes. Třída StorageClass ve stromu by měla být zastaralá, protože AKS verze 1.21. Další informace https://aka.ms/aks-csi-driver | Audit, Odepřít, Zakázáno | 2.2.0 |
| Clustery Kubernetes by měly používat interní nástroje pro vyrovnávání zatížení. | Použití interních nástrojů pro vyrovnávání zatížení k tomu, aby služba Kubernetes byla přístupná jenom aplikacím běžícím ve stejné virtuální síti jako cluster Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Prostředky Kubernetes by měly mít požadované poznámky | Ujistěte se, že jsou požadované poznámky připojené k danému typu prostředku Kubernetes, aby se zlepšila správa prostředků vašich prostředků Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Azure Kubernetes Service by měly být povolené. | Protokoly prostředků služby Azure Kubernetes Service můžou pomoct znovu vytvořit záznamy aktivit při vyšetřování incidentů zabezpečení. Povolte ho, abyste měli jistotu, že protokoly budou existovat v případě potřeby. | AuditIfNotExists, zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Lab Services
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Lab Services by měla povolit všechny možnosti automatického vypnutí. | Tato zásada poskytuje pomoc se správou nákladů vynucením všech možností automatického vypnutí v testovacím prostředí. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Služba Lab Services by neměla povolit virtuální počítače šablony pro testovací prostředí | Tato zásada brání vytvoření a přizpůsobení šablony virtuálních počítačů pro testovací prostředí spravovaná prostřednictvím služby Lab Services. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Lab Services by pro testovací prostředí měla vyžadovat uživatele, který není správcem. | Tato zásada vyžaduje, aby se pro testovací prostředí spravované prostřednictvím testovacích prostředí vytvořily uživatelské účty bez oprávnění správce. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Služba Lab Services by měla omezit povolené velikosti skladových položek virtuálních počítačů. | Tato zásada umožňuje omezit určité skladové položky výpočetních virtuálních počítačů pro testovací prostředí spravovaná prostřednictvím služby Lab Services. Tím se omezí určité velikosti virtuálních počítačů. | Audit, Odepřít, Zakázáno | 1.1.0 |
Lighthouse
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení správy ID tenanta pro onboarding prostřednictvím Služby Azure Lighthouse | Omezení delegování Služby Azure Lighthouse na konkrétní správu tenantů zvyšuje zabezpečení omezením těch, kteří můžou spravovat vaše prostředky Azure. | deny | 1.0.1 |
| Auditování delegování oborů na spravovaného tenanta | Auditování delegování rozsahů na spravovaného tenanta prostřednictvím Služby Azure Lighthouse | Audit, zakázáno | 1.0.0 |
Logic Apps
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem. | Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Logic Apps by se měla nasadit do prostředí integrační služby. | Nasazení Logic Apps do prostředí integrační služby ve virtuální síti odemkne pokročilé funkce zabezpečení a sítě Logic Apps a poskytuje větší kontrolu nad konfigurací sítě. Další informace najdete tady: https://aka.ms/integration-service-environment. Nasazení do prostředí integrační služby také umožňuje šifrování pomocí klíčů spravovaných zákazníkem, které poskytují rozšířenou ochranu dat tím, že umožňuje spravovat šifrovací klíče. Často se jedná o splnění požadavků na dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
Machine Learning
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Nasazení registru modelů Azure machine Učení jsou omezená s výjimkou povoleného registru. | Nasaďte pouze modely registru v povoleném registru a nejsou omezeny. | Odepřít, zakázáno | 1.0.0-preview |
| Výpočetní instance azure Učení by měla mít nečinné vypnutí. | Když máte plán nečinnosti vypnutí, sníží se náklady vypnutím výpočetních prostředků, které jsou nečinné po předem určeném období aktivity. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Machine Učení výpočetní instance by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru. | Ujistěte se, že výpočetní instance Azure Machine Učení běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Výpočetní prostředí Azure Machine Učení by mělo být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pro vaše výpočetní clustery a instance Azure machine Učení a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. | Audit, zakázáno | 1.0.1 |
| Výpočetní služby Azure Machine Učení by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočetní prostředky počítače Učení vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat v pracovním prostoru Azure Machine Učení pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.0.3 |
| Pracovní prostory služby Azure Machine Učení by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory počítače Učení nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Pracovní prostory azure machine Učení by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě. | Azure ML provádí přechod na novou platformu rozhraní API V2 v Azure Resource Manageru a pomocí parametru V1LegacyMode můžete řídit verzi platformy ROZHRANÍ API. Když povolíte parametr V1LegacyMode, budete moct zachovat pracovní prostory ve stejné izolaci sítě jako V1, i když nebudete mít nové funkce V2. Starší verzi režimu V1 doporučujeme zapnout jenom v případech, kdy chcete zachovat data řídicí roviny AzureML v privátních sítích. Další informace najdete tady: https://aka.ms/V1LegacyMode. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory azure machine Učení by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Učení by měly používat spravovanou identitu přiřazenou uživatelem. | Manange přístup k pracovnímu prostoru Azure ML a přidruženým prostředkům, Azure Container Registry, KeyVault, Storage a App Přehledy pomocí spravované identity přiřazené uživatelem. Ve výchozím nastavení používá pracovní prostor Azure ML spravovanou identitu přiřazenou systémem pro přístup k přidruženým prostředkům. Spravovaná identita přiřazená uživatelem umožňuje vytvořit identitu jako prostředek Azure a udržovat životní cyklus této identity. Další informace najdete na adrese https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace služby Azure Machine Učení Computes pro zakázání místních metod ověřování | Zakažte metody ověřování polohy tak, aby počítač Učení Computes vyžadoval výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Upravit, zakázáno | 2.1.0 |
| Konfigurace pracovního prostoru Azure Machine Učení tak, aby používal privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů azure machine Učení. Další informace najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Azure Machine Učení tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro pracovní prostory Azure Machine Učení, aby vaše pracovní prostory nejsou přístupné přes veřejný internet. To pomáhá chránit pracovní prostory před riziky úniku dat. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Upravit, zakázáno | 1.0.3 |
| Konfigurace pracovních prostorů Učení Azure pomocí privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovního prostoru azure machine Učení můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro pracovní prostory Azure Machine Učení do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro pracovní prostory Azure Machine Učení pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakýkoli pracovní prostor Azure Machine Učení, který chybí. | DeployIfNotExists, zakázáno | 1.0.1 |
| Protokoly prostředků ve službě Azure Machine Učení Workspaces by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Spravovaná aplikace
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definice aplikace pro spravovanou aplikaci by měla používat účet úložiště poskytnutý zákazníkem. | Pomocí vlastního účtu úložiště můžete řídit data definic aplikací, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Definici spravované aplikace můžete uložit v rámci účtu úložiště, který jste zadali během vytváření, aby bylo možné jeho umístění a přístup plně spravovat, abyste splnili zákonné požadavky na dodržování předpisů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Nasazení přidružení pro spravovanou aplikaci | Nasadí prostředek přidružení, který přidruží vybrané typy prostředků k zadané spravované aplikaci. Toto nasazení zásad nepodporuje vnořené typy prostředků. | deployIfNotExists | 1.0.0 |
Spravovaná Grafana
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Managed Grafana by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na managed Grafana můžete snížit rizika úniku dat. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Managed Grafana by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš pracovní prostor Azure Managed Grafana nebyl zpřístupněný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vašich pracovních prostorů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace řídicích panelů Grafana spravovaných v Azure s využitím privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Azure Managed Grafana můžete snížit rizika úniku dat. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Azure Managed Grafana tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro pracovní prostor Azure Managed Grafana, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. | Upravit, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Grafana spravovaných v Azure pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Managed Grafana. | DeployIfNotExists, zakázáno | 1.0.0 |
Spravovaná identita
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Federované přihlašovací údaje spravované identity z Azure Kubernetes by měly být z důvěryhodných zdrojů. | Tato zásada omezuje federování s clustery Azure Kubernetes jenom na clustery ze schválených tenantů, schválených oblastí a konkrétního seznamu výjimek dalších clusterů. | Audit, Zakázáno, Odepřít | 1.0.0-preview |
| [Preview]: Federované přihlašovací údaje spravované identity z GitHubu by měly být od vlastníků důvěryhodných úložišť. | Tato zásada omezuje federaci s úložišti GitHubu jenom na schválené vlastníky úložiště. | Audit, Zakázáno, Odepřít | 1.0.1-preview |
| [Preview]: Federované přihlašovací údaje spravované identity by měly být z povolených typů vystavitelů. | Tato zásada omezuje, jestli spravované identity můžou používat federované přihlašovací údaje, které jsou povolené běžné typy vystavitelů, a poskytuje seznam povolených výjimek vystavitele. | Audit, Zakázáno, Odepřít | 1.0.0-preview |
| [Preview]: Přiřazení předdefinované spravované identity přiřazené uživatelem ke škálovacím sadám virtuálních počítačů | Vytvořte a přiřaďte integrovanou spravovanou identitu přiřazenou uživatelem nebo přiřaďte předem vytvořenou spravovanou identitu přiřazenou uživatelem ve velkém měřítku ke škálovacím sadám virtuálních počítačů. Podrobnější dokumentaci najdete v aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
| [Preview]: Přiřazení předdefinované spravované identity přiřazené uživatelem k virtuálním počítačům | Vytvořte a přiřaďte předdefinované spravované identity přiřazené uživatelem nebo přiřaďte předem vytvořenou spravovanou identitu přiřazenou uživatelem ve velkém měřítku virtuálním počítačům. Podrobnější dokumentaci najdete v aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
Maps
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| CORS by neměl umožňovat přístup ke svému účtu mapy všem prostředkům. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke svému účtu mapy všem doménám. Povolte interakci s účtem mapy jenom u požadovaných domén. | Zakázáno, Audit, Odepřít | 1.0.0 |
Media Services
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty Azure Media Services by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby prostředky Media Services nebyly zpřístupněny na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení prostředků Media Services. Další informace najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty Azure Media Services by měly používat rozhraní API, které podporuje službu Private Link. | Účty Media Services by se měly vytvářet pomocí rozhraní API, které podporuje privátní propojení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty Azure Media Services, které umožňují přístup ke starší verzi rozhraní API v2, by se měly blokovat. | Starší verze rozhraní API služby Media Services v2 umožňuje žádosti, které není možné spravovat pomocí služby Azure Policy. Prostředky Media Services vytvořené pomocí rozhraní API 2020-05-01 nebo novější blokují přístup ke starší verzi rozhraní API v2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady klíče obsahu služby Azure Media Services by měly používat ověřování tokenů. | Zásady klíče obsahu definují podmínky, které musí být splněny pro přístup ke klíčům obsahu. Omezení tokenů zajišťuje přístup ke klíčům obsahu jenom uživatelům, kteří mají platné tokeny z ověřovací služby, například Microsoft Entra ID. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Úlohy Azure Media Services se vstupy HTTPS by měly omezit vstupní identifikátory URI na povolené vzory identifikátorů URI. | Omezte vstupy HTTPS používané úlohami Media Services na známé koncové body. Vstupy z koncových bodů HTTPS je možné úplně zakázat nastavením prázdného seznamu povolených vzorců zadávání úloh. Pokud vstupy úlohy určují baseUri, budou se vzory shodovat s touto hodnotou; pokud není nastavena vlastnost baseUri, vzor se porovná s vlastností "files". | Odepřít, zakázáno | 1.0.1 |
| Služba Azure Media Services by měla k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních účtů Media Services použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/mediaservicescmkdocs. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Media Services by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Media Services můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na účet Media Services. Další informace najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Media Services můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, zakázáno | 1.0.0 |
Migrace
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace prostředků Azure Migrate pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do projektu Azure Migrate. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
Mobilní síť
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace přístupu diagnostiky řídicí roviny jádra paketů pro použití typu ověřování Microsoft EntraID | Typ Authenticaton musí být Microsoft EntraID pro diagnostický přístup k jádru paketů přes místní rozhraní API. | Upravit, zakázáno | 1.0.0 |
| Přístup diagnostiky řídicí roviny jádra paketů by měl používat pouze typ ověřování Microsoft EntraID. | Typ Authenticaton musí být Microsoft EntraID pro diagnostický přístup k jádru paketů přes místní rozhraní API. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Skupina SIM by měla k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních tajných kódů SIM ve skupině SIM. Klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů a umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Odepřít, Zakázáno | 1.0.0 |
Sledování
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Konfigurace linuxových počítačů s podporou Služby Azure Arc s agenty Log Analytics připojenými k výchozímu pracovnímu prostoru služby Log Analytics | Chraňte své počítače s Linuxem s podporou Azure Arc pomocí funkcí Microsoft Defenderu pro cloud tím, že nainstalujete agenty Log Analytics, kteří odesílají data do výchozího pracovního prostoru služby Log Analytics vytvořeného microsoft defenderem pro cloud. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s Windows s podporou Služby Azure Arc s agenty Log Analytics připojenými k výchozímu pracovnímu prostoru služby Log Analytics | Chraňte počítače s Windows s podporou Azure Arc pomocí funkcí Microsoft Defenderu pro cloud tím, že nainstalujete agenty Log Analytics, kteří odesílají data do výchozího pracovního prostoru služby Log Analytics vytvořeného v programu Microsoft Defender for Cloud. | DeployIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Konfigurace spravované identity přiřazené systémem pro povolení přiřazení služby Azure Monitor na virtuálních počítačích | Nakonfigurujte spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které podporuje Azure Monitor, a nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení služby Azure Monitor a před použitím jakéhokoli rozšíření Služby Azure Monitor je nutné ji přidat do počítačů. Cílové virtuální počítače musí být v podporovaném umístění. | Upravit, zakázáno | 6.0.0-preview |
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. | Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Komponenty Přehledy aplikací by měly blokovat příjem protokolů a dotazování z veřejných sítí. | Vylepšení zabezpečení Přehledy aplikací blokováním příjmu protokolů a dotazováním z veřejných sítí Pouze sítě připojené k privátnímu propojení budou moct ingestovat a dotazovat protokoly této komponenty. Další informace najdete na adrese https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Komponenty Přehledy aplikací by měly blokovat příjem dat mimo Azure Active Directory. | Vynucení příjmu protokolů tak, aby vyžadovalo ověřování Azure Active Directory, zabrání útočníkovi neověřené protokoly, které by mohly vést k nesprávnému stavu, falešným výstrahám a nesprávným protokolům uloženým v systému. | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Součásti Přehledy aplikací s povolenou službou Private Link by měly pro profiler a ladicí program používat účty Bring Your Own Storage. | Pokud chcete podporovat zásady privátního propojení a klíčů spravovaných zákazníkem, vytvořte vlastní účet úložiště pro profiler a ladicí program. Další informace najdete v článku https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Aplikace Azure Brána by měla mít povolené protokoly prostředků. | Povolte protokoly prostředků pro bránu Aplikace Azure (plus WAF) a streamujte je do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o příchozím webovém provozu a akcích provedených ke zmírnění útoků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Front Door by měla mít povolené protokoly prostředků. | Povolte protokoly prostředků pro Azure Front Door (plus WAF) a streamujte je do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o příchozím webovém provozu a akcích provedených ke zmírnění útoků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Front Door Standard nebo Premium (Plus WAF) by měla mít povolené protokoly prostředků. | Povolte protokoly prostředků pro Azure Front Door Standard nebo Premium (plus WAF) a streamujte je do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o příchozím webovém provozu a akcích provedených ke zmírnění útoků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění služby Azure Log Search v pracovních prostorech služby Log Analytics by měla používat klíče spravované zákazníkem. | Ujistěte se, že upozornění služby Azure Log Search implementují klíče spravované zákazníkem, a to uložením textu dotazu pomocí účtu úložiště, který zákazník zadal pro dotazovaný pracovní prostor služby Log Analytics. Další informace najdete na adrese https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. | Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. | AuditIfNotExists, zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. | Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Protokoly služby Azure Monitor pro aplikační Přehledy by se měly propojit s pracovním prostorem služby Log Analytics. | Propojte komponentu Přehledy aplikace s pracovním prostorem služby Log Analytics pro šifrování protokolů. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k vašim datům ve službě Azure Monitor. Propojení komponenty s pracovním prostorem služby Log Analytics, který je povolený pomocí klíče spravovaného zákazníkem, zajišťuje, aby vaše aplikace Přehledy protokoly splňovaly tento požadavek na dodržování předpisů, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Obor privátního propojení služby Azure Monitor by měl blokovat přístup k prostředkům mimo privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě k prostředkům Azure prostřednictvím privátního koncového bodu k oboru služby Azure Monitor Private Link (AMPLS). Režimy přístupu služby Private Link jsou nastavené na amp; určují, jestli se požadavky na příjem dat a dotazy z vašich sítí můžou spojit se všemi prostředky, nebo jenom prostředky služby Private Link (aby se zabránilo exfiltraci dat). Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obor privátního propojení služby Azure Monitor by měl používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obor privátních propojení služby Azure Monitor můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Řešení Azure Monitoru Zabezpečení a audit musí být nasazené. | Tato zásada zajišťuje nasazení zabezpečení a auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace protokolů aktivit Azure pro streamování do zadaného pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro aktivitu Azure pro streamování protokolů auditu předplatných do pracovního prostoru služby Log Analytics za účelem monitorování událostí na úrovni předplatného. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace komponent Aplikace Azure Přehledy tak, aby zakázala přístup k veřejné síti pro příjem protokolů a dotazování | Zakažte příjem dat a dotazování komponent z veřejných sítí, abyste zlepšili zabezpečení. V tomto pracovním prostoru budou moct ingestovat a dotazovat se pouze sítě připojené k privátnímu propojení. Další informace najdete na adrese https://aka.ms/AzMonPrivateLink#configure-application-insights. | Upravit, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Služby Azure Log Analytics pro zakázání přístupu k veřejné síti pro příjem protokolů a dotazování | Zlepšení zabezpečení pracovního prostoru blokováním příjmu protokolů a dotazováním z veřejných sítí V tomto pracovním prostoru budou moct ingestovat a dotazovat se pouze sítě připojené k privátnímu propojení. Další informace najdete na adrese https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Upravit, zakázáno | 1.1.0 |
| Konfigurace oboru služby Private Link služby Azure Monitor pro blokování přístupu k prostředkům mimo privátní propojení | Azure Private Link umožňuje připojit virtuální sítě k prostředkům Azure prostřednictvím privátního koncového bodu k oboru služby Azure Monitor Private Link (AMPLS). Režimy přístupu služby Private Link jsou nastavené na amp; určují, jestli se požadavky na příjem dat a dotazy z vašich sítí můžou spojit se všemi prostředky, nebo jenom prostředky služby Private Link (aby se zabránilo exfiltraci dat). Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Upravit, zakázáno | 1.0.0 |
| Konfigurace oboru služby Private Link služby Azure Monitor pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu do oboru privátního propojení služby Azure Monitor. Další informace najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů služby Private Link služby Azure Monitor s využitím privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory služby Private Link služby Azure Monitor můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace agenta závislostí na linuxových serverech s podporou Služby Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace agenta závislostí na linuxových serverech s podporou Služby Azure Arc pomocí nastavení agenta monitorování Azure | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí s nastavením agenta monitorování Azure. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 1.1.2 |
| Konfigurace agenta závislostí na serverech s Windows s podporou Služby Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace agenta závislostí na serverech s Windows s podporou Služby Azure Arc pomocí nastavení agenta monitorování Azure | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí s nastavením agenta monitorování Azure. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 1.1.2 |
| Konfigurace počítačů Se službou Linux Arc pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení počítačů Se systémem Linux Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 2.2.0 |
| Konfigurace počítačů s podporou Linuxu Arc pro spuštění agenta služby Azure Monitor | Automatizujte nasazení rozšíření agenta Azure Monitoru na počítačích s podporou Linuxu Arc pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je oblast podporovaná. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 2.4.0 |
| Konfigurace počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 6.3.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.2.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.5.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.6.0 |
| Konfigurace virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.2.0 |
| Konfigurace virtuálních počítačů s Linuxem pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitor na virtuálních počítačích s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.5.0 |
| Konfigurace virtuálních počítačů s Linuxem pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitor na virtuálních počítačích s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.6.0 |
| Konfigurace rozšíření Log Analytics na linuxových serverech s podporou Azure Arc Viz níže uvedené oznámení o vyřazení | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače Log Analytics. Přehledy virtuálních počítačů používají agenta Log Analytics ke shromažďování dat o výkonu hostovaného operačního systému a poskytují přehled o jejich výkonu. Zobrazit více - https://aka.ms/vminsightsdocs. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.1.1 |
| Konfigurace rozšíření Log Analytics na serverech s Windows s podporou Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače Log Analytics. Přehledy virtuálních počítačů používají agenta Log Analytics ke shromažďování dat o výkonu hostovaného operačního systému a poskytují přehled o jejich výkonu. Zobrazit více - https://aka.ms/vminsightsdocs. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 2.1.1 |
| Konfigurace pracovního prostoru služby Log Analytics a účtu automation pro centralizaci protokolů a monitorování | Nasaďte skupinu prostředků obsahující pracovní prostor služby Log Analytics a propojený účet Automation, abyste mohli centralizovat protokoly a monitorování. Účet Automation je aprerequisite pro řešení, jako jsou Aktualizace a Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Konfigurace počítačů s Windows Arc pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení počítačů s Windows Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 2.2.0 |
| Konfigurace počítačů s podporou služby Windows Arc pro spuštění agenta služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na počítačích s podporou Služby Windows Arc pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 2.4.0 |
| Konfigurace počítačů s Windows tak, aby byly přidružené k pravidlu shromažďování dat nebo ke koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Windows, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.5.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 3.3.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro spuštění agenta Služby Azure Monitor pomocí spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.4.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace virtuálních počítačů s Windows pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 3.3.0 |
| Konfigurace virtuálních počítačů s Windows pro spouštění agenta Služby Azure Monitor pomocí spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows za účelem shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 4.4.0 |
| Konfigurace virtuálních počítačů s Windows pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows za účelem shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.4.0 |
| U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a agent není nainstalovaný. Seznam imagí operačního systému se průběžně aktualizuje, protože se aktualizuje podpora. | AuditIfNotExists, zakázáno | 2.0.0 |
| Ve škálovacích sadách virtuálních počítačů by měl být povolený agent závislostí pro uvedené image virtuálních počítačů. | Hlásí škálovací sady virtuálních počítačů jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a agent není nainstalovaný. Seznam imagí operačního systému se průběžně aktualizuje, protože se aktualizuje podpora. | AuditIfNotExists, zakázáno | 2.0.0 |
| Nasazení – Konfigurace agenta závislostí pro povolení ve škálovacích sadách virtuálních počítačů s Windows | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. Pokud je upgrade škálovací sady nastavený na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace agenta závislostí pro povolení na virtuálních počítačích s Windows | Nasaďte agenta závislostí pro virtuální počítače s Windows, pokud je image virtuálního počítače v seznamu definovaném a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace nastavení diagnostiky pro pracovní prostor služby Log Analytics, který se má povolit ve spravovaném HSM služby Azure Key Vault | Nasadí nastavení diagnostiky spravovaného HSM služby Azure Key Vault pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli spravovaný HSM služby Azure Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows | Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace rozšíření Log Analytics pro povolení na virtuálních počítačích s Windows | Nasaďte rozšíření Log Analytics pro virtuální počítače s Windows, pokud je image virtuálního počítače v seznamu definovaném a rozšíření není nainstalované. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaném a agent není nainstalovaný. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Nasazení agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem pomocí nastavení agenta monitorování Azure | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem s nastavením agenta monitorování Azure, pokud je image virtuálního počítače (OS) v seznamu definovaná a agent není nainstalovaný. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. | DeployIfNotExists, zakázáno | 3.1.1 |
| Nasazení agenta závislostí pro virtuální počítače s Linuxem | Nasaďte agenta závislostí pro virtuální počítače s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaném a agent není nainstalovaný. | deployIfNotExists | 5.0.0 |
| Nasazení agenta závislostí pro virtuální počítače s Linuxem s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro virtuální počítače s Linuxem s nastavením agenta monitorování Azure, pokud je image virtuálního počítače (OS) v seznamu definovaná a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 3.1.1 |
| Nasazení agenta závislostí, který se má povolit ve škálovacích sadách virtuálních počítačů s Windows s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Windows s nastavením agenta monitorování Azure, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. Pokud je upgrade škálovací sady nastavený na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. | DeployIfNotExists, zakázáno | 1.2.2 |
| Nasazení agenta závislostí, který se má povolit na virtuálních počítačích s Windows s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro virtuální počítače s Windows s nastavením agenta monitorování Azure, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 1.2.2 |
| Nasazení diagnostického Nastavení pro účet Batch do centra událostí | Nasadí nastavení diagnostiky pro účet Batch pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakýkoli účet Batch, který chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro účet Batch do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro účet Batch pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli účet Batch, který chybí. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro Data Lake Analytics do centra událostí | Nasadí nastavení diagnostiky pro Data Lake Analytics pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Data Lake Analytics, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Data Lake Analytics do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Data Lake Analytics pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Data Lake Analytics, která chybí. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro Data Lake Storage Gen1 do centra událostí | Nasadí nastavení diagnostiky pro Data Lake Storage Gen1 pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli data Lake Storage Gen1, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Data Lake Storage Gen1 do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Data Lake Storage Gen1 pro streamování do místního pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakékoli nastavení diagnostiky Data Lake Storage Gen1, které chybí. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro centrum událostí do centra událostí | Nasadí nastavení diagnostiky pro centrum událostí pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakékoli centrum událostí, ve kterém chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 2.1.0 |
| Nasazení diagnostického Nastavení pro centrum událostí do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro centrum událostí pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakékoli centrum událostí, ve kterém chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Key Vault do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Službu Key Vault pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Key Vault, u které chybí tato nastavení diagnostiky. | DeployIfNotExists, zakázáno | 3.0.0 |
| Nasazení diagnostického Nastavení pro Logic Apps do centra událostí | Nasadí nastavení diagnostiky pro Logic Apps pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Logic Apps, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Logic Apps do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Logic Apps pro streamování do místního pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba Logic Apps, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro skupiny zabezpečení sítě | Tato zásada automaticky nasadí nastavení diagnostiky do skupin zabezpečení sítě. Účet úložiště s názvem {storagePrefixParameter}{NSGLocation} se vytvoří automaticky. | deployIfNotExists | 2.0.1 |
| Nasazení diagnostického Nastavení pro službu Search Services do centra událostí | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Vyhledávací služby do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení diagnostického Nastavení pro Service Bus do centra událostí | Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Service Bus do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. | DeployIfNotExists, zakázáno | 2.1.0 |
| Nasazení diagnostického Nastavení pro Stream Analytics do centra událostí | Nasadí nastavení diagnostiky pro Stream Analytics pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Stream Analytics, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení diagnostického Nastavení pro Stream Analytics do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Stream Analytics pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Stream Analytics, která chybí. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Linuxem. Viz níže uvedené oznámení o vyřazení | Nasazení rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaná a rozšíření není nainstalované. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. Oznámení o vyřazení: Agent Log Analytics se po 31. srpnu 2024 nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | deployIfNotExists | 3.0.0 |
| Nasazení rozšíření Log Analytics pro virtuální počítače s Linuxem Viz níže uvedené oznámení o vyřazení | Nasaďte rozšíření Log Analytics pro virtuální počítače s Linuxem, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | deployIfNotExists | 3.0.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro App Configuration (microsoft.appconfiguration/configurationstores) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro konfiguraci aplikace (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro App Configuration (microsoft.appconfiguration/configurationstores) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro konfiguraci aplikace (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu App Configuration (microsoft.appconfiguration/configurationstores) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro konfiguraci aplikace (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu App Service (microsoft.web/sites) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro službu App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro skupinu aplikací (microsoft.desktopvirtualization/applicationgroups) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro skupinu aplikací služby Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Přehledy aplikace (Microsoft.Přehledy/components) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Přehledy aplikací (Microsoft.Přehledy/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro zprostředkovatele ověření identity (microsoft.attestation/attestationproviders) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro poskytovatele ověření identity (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro poskytovatele ověření identity (microsoft.attestation/attestationproviders) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro poskytovatele ověření identity (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro poskytovatele ověření identity (microsoft.attestation/attestationproviders) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro poskytovatele ověření identity (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro účty Automation (microsoft.automation/automationaccounts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro účty Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro účty Automation (microsoft.automation/automationaccounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro účty Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro účty Automation (microsoft.automation/automationaccounts) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro účty Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro privátní cloudy AVS (microsoft.avs/privateclouds) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro privátní cloudy AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro privátní cloudy AVS (microsoft.avs/privateclouds) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro privátní cloudy AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro privátní cloudy AVS (microsoft.avs/privateclouds) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro privátní cloudy AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Azure Cache for Redis (microsoft.cache/redis) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Azure Cache for Redis (microsoft.cache/redis) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Azure Cache for Redis (microsoft.cache/redis) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu Azure Cosmos DB (microsoft.documentdb/databaseaccounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro službu Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru Log Analytics pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu Azure Machine Učení (microsoft.machinelearningservices/workspaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro službu Azure Machine Učení (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro službu Azure Machine Učení (microsoft.machinelearningservices/workspaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro službu Azure Machine Učení (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu Azure Machine Učení (microsoft.machinelearningservices/workspaces) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro azure machine Učení (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro registry kontejnerů (microsoft.containerregistry/registry) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro registry kontejnerů (microsoft.containerregistry/registry). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro registry kontejnerů (microsoft.containerregistry/registry) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro registry kontejnerů (microsoft.containerregistry/registry). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro registry kontejnerů (microsoft.containerregistry/registry) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro registry kontejnerů (microsoft.containerregistry/registry). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro domény Event Gridu (microsoft.eventgrid/domains) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro domény Event Gridu (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro domény Event Gridu (microsoft.eventgrid/domains) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro domény Event Gridu (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro domény Event Gridu (microsoft.eventgrid/domains) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro domény Event Gridu (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů partnerů event Gridu (microsoft.eventgrid/partnernamespaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro obory názvů partnerů služby Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů partnerů služby Event Grid (microsoft.eventgrid/partnernamespaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro obory názvů partnerů služby Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů partnerů služby Event Grid (microsoft.eventgrid/partnernamespaces) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro obory názvů partnerů služby Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro témata Event Gridu (microsoft.eventgrid/topics) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro témata event Gridu (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro témata Event Gridu (microsoft.eventgrid/topics) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro témata event Gridu (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro témata Event Gridu (microsoft.eventgrid/topics) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro témata Event Gridu (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro obory názvů služby Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro bránu firewall (microsoft.network/azurefirewalls) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro bránu firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.cdn/profiles) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro službu Front Door a profilů CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.cdn/profiles) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro profily služby Front Door a CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.cdn/profiles) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro profily služby Front Door a CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro službu Front Door a profilů CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro profily služby Front Door a CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro profily služby Front Door a CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro aplikaci Function App (microsoft.web/sites) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro aplikaci funkcí (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro fond hostitelů (microsoft.desktopvirtualization/hostpools) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro fond hostitelů služby Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro pracovní prostory log Analytics (microsoft.operationalinsights/workspaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro pracovní prostory služby Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro pracovní prostory log Analytics (microsoft.operationalinsights/workspaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro pracovní prostory služby Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro pracovní prostory služby Log Analytics (microsoft.operationalinsights/workspaces) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro pracovní prostory služby Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Media Services (microsoft.media/mediaservices) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Media Services (microsoft.media/mediaservices) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Media Services (microsoft.media/mediaservices) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro účty Microsoft Purview (microsoft.purview/accounts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro účty Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro účty Microsoft Purview (microsoft.purview/accounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro účty Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro účty Microsoft Purview (microsoft.purview/accounts) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro účty Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro flexibilní server PostgreSQL (microsoft.dbforpostgresql/flexibleservers) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro flexibilní server Azure Database for PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro SignalR (microsoft.signalrservice/signalr) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do centra událostí pro SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro SignalR (microsoft.signalrservice/signalr) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do pracovního prostoru služby Log Analytics pro SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro SignalR (microsoft.signalrservice/signalr) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql, servery nebo databáze) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql, servery nebo databáze) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro databáze SQL (microsoft.sql/servery/databáze) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro databáze SQL (microsoft.sql/servery/databáze). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstances) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstances) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro spravované instance SQL (microsoft.sql/managedinstance) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro spravované instance SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Analyzátory videí (microsoft.media/videoanalyzers) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Video Analyzers (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Analyzátory videí (microsoft.media/videoanalyzers) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Analyzátory videa (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Analyzátory videa (microsoft.media/videoanalyzers) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro analyzátory videa (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro svazky (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu Web PubSub Service (microsoft.signalrservice/webpubsub) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro službu Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro službu Web PubSub Service (microsoft.signalrservice/webpubsub) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro službu Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro službu Web PubSub Service (microsoft.signalrservice/webpubsub) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro službu Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro pracovní prostor (microsoft.desktopvirtualization/workspaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro pracovní prostor služby Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Počítače s podporou Služby Arc s Linuxem by měly mít nainstalovaného agenta Služby Azure Monitor. | Počítače s podporou Arc s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada bude auditovat počítače s podporou Arc v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 1.2.0 |
| Škálovací sady virtuálních počítačů s Linuxem by měly mít nainstalovaného agenta služby Azure Monitor. | Škálovací sady virtuálních počítačů s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada audituje škálovací sady virtuálních počítačů s podporovanými imagemi operačního systému v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Virtuální počítače s Linuxem by měly mít nainstalovaného agenta Služby Azure Monitor. | Virtuální počítače s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada bude auditovat virtuální počítače s podporovanými imagemi operačního systému v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Pracovní prostory služby Log Analytics by měly blokovat příjem protokolů a dotazování z veřejných sítí. | Zlepšení zabezpečení pracovního prostoru blokováním příjmu protokolů a dotazováním z veřejných sítí V tomto pracovním prostoru budou moct ingestovat a dotazovat se pouze sítě připojené k privátnímu propojení. Další informace najdete na adrese https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory služby Log Analytics by měly blokovat příjem dat mimo Azure Active Directory. | Vynucení příjmu protokolů tak, aby vyžadovalo ověřování Azure Active Directory, zabrání útočníkovi neověřené protokoly, které by mohly vést k nesprávnému stavu, falešným výstrahám a nesprávným protokolům uloženým v systému. | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Veřejné IP adresy by měly mít povolené protokoly prostředků pro Azure DDoS Protection. | Povolte protokoly prostředků pro veřejné IP adresy v nastavení diagnostiky pro streamování do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o provozu útoku a akcích provedených ke zmírnění útoků DDoS prostřednictvím oznámení, sestav a protokolů toků. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Protokoly prostředků by měly být povolené pro audit u podporovaných prostředků. | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Existence nastavení diagnostiky pro skupinu kategorií Audit u vybraných typů prostředků zajišťuje, že jsou tyto protokoly povolené a zachycené. Příslušné typy prostředků jsou ty, které podporují skupinu kategorií Audit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. | Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. | Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. | AuditIfNotExists, zakázáno | 1.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat na linuxové servery s podporou Azure Arc. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na linuxových serverech s podporou služby Azure Arc. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na serverech s Windows s podporou Služby Azure Arc. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na serverech s Windows s podporou služby Azure Arc. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat ve škálovacích sadách virtuálních počítačů s Linuxem. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta ve škálovacích sadách virtuálních počítačů s Linuxem. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na virtuálních počítačích s Linuxem. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci existujících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na virtuálních počítačích s Linuxem. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat do škálovacích sad virtuálních počítačů. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta ve škálovacích sadách virtuálních počítačů s Windows. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na virtuálních počítačích. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci existujících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na virtuálních počítačích s Windows. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Počítače s podporou Služby Windows Arc by měly mít nainstalovaného agenta Služby Azure Monitor. | Počítače s podporou Služby Windows Arc by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Počítače s podporou služby Windows Arc v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 1.2.0 |
| Škálovací sady virtuálních počítačů s Windows by měly mít nainstalovaného agenta služby Azure Monitor. | Škálovací sady virtuálních počítačů s Windows by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Škálovací sady virtuálních počítačů s podporovaným operačním systémem a v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Virtuální počítače s Windows by měly mít nainstalovaného agenta služby Azure Monitor. | Virtuální počítače s Windows by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Virtuální počítače s Windows s podporovaným operačním systémem a v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Sešity by se měly ukládat do účtů úložiště, které řídíte. | Při používání vlastního úložiště (BYOS) se vaše sešity nahrají do účtu úložiště, který řídíte. To znamená, že řídíte zásady šifrování neaktivních uložených dat, zásady správy životnosti a síťový přístup. Budete ale odpovídat za náklady spojené s tímto účtem úložiště. Další informace najdete na adrese https://aka.ms/workbooksByos. | odepřít, Odepřít, auditovat, Auditovat, Zakázáno, Zakázáno | 1.1.0 |
Síť
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Container Registry by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Container Registry, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0-preview |
| Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. | Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 | Audit, zakázáno | 1.0.0 |
| Všechny prostředky protokolu toku by měly být ve stavu povoleného. | Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Aplikace služby App Service by měly používat koncový bod služby virtuální sítě. | Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, zakázáno | 2.0.1 |
| Konfigurace protokolů toku auditu pro každou virtuální síť | Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Aplikace Azure Gateway by se měla nasadit s Azure WAF | Vyžaduje, aby se prostředky brány Aplikace Azure nasazovaly s Azure WAF. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány Azure Firewall by měly povolit kontrolu protokolu TLS v rámci pravidel aplikace. | Povolení kontroly protokolu TLS se doporučuje, aby všechna pravidla aplikace zjistila, upozorňovala a zmírňovala škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Premium by měl nakonfigurovat platný zprostředkující certifikát pro povolení kontroly protokolu TLS. | Nakonfigurujte platný zprostředkující certifikát a povolte kontrolu protokolu TLS služby Azure Firewall Premium, abyste zjistili, upozorňovali a zmírňovali škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Brány Azure VPN by neměly používat skladovou položku Basic. | Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. | Audit, zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Aplikace Azure Gateway by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Aplikace Azure Gateway mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Azure Front Door by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Pro waF služby Aplikace Azure Gateway by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací brány Aplikace Azure Gateway (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro WAF služby Azure Front Door by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací služby Azure Front Door (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Seznam obejití systému detekce a prevence neoprávněných vniknutí (IDPS) by měl být prázdný v zásadách brány firewall Premium. | Seznam obejití systému detekce a prevence neoprávněných vniknutí umožňuje nefiltrovat provoz na žádné IP adresy, rozsahy a podsítě zadané v seznamu obejití. Povolení ZPROSTŘEDKOVATELE IDENTITY se ale doporučuje pro všechny toky provozu, aby bylo možné lépe identifikovat známé hrozby. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro skupiny zabezpečení sítě Azure do pracovního prostoru služby Log Analytics | Nasaďte nastavení diagnostiky do skupin zabezpečení sítě Azure pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu | Analýzu provozu je možné povolit pro všechny skupiny zabezpečení sítě hostované v konkrétní oblasti s nastavením poskytovaným během vytváření zásad. Pokud už je povolená analýza provozu, zásady nepřepíšou jeho nastavení. Protokoly toku jsou také povolené pro skupiny zabezpečení sítě, které je nemají. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace skupin zabezpečení sítě pro použití konkrétního pracovního prostoru, účtu úložiště a zásad uchovávání toku pro analýzu provozu | Pokud už má povolenou analýzu provozu, zásada přepíše stávající nastavení pomocí těch, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace virtuální sítě pro povolení služby Flow Log a Traffic Analytics | Protokoly analýzy provozu a toku je možné povolit pro všechny virtuální sítě hostované v konkrétní oblasti s nastavením poskytnutým během vytváření zásad. Tato zásada nepřepíše aktuální nastavení pro virtuální sítě, které už mají tuto funkci povolenou. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.1 |
| Konfigurace virtuálních sítí pro vynucení pracovního prostoru, účtu úložiště a intervalu uchovávání pro protokoly toku a analýzu provozu | Pokud už má virtuální síť povolenou analýzu provozu, tato zásada přepíše stávající nastavení těmi, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.2 |
| Cosmos DB by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakoukoli službu Cosmos DB, která není nakonfigurovaná tak, aby používala koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Nasazení prostředku protokolu toku s cílovou skupinou zabezpečení sítě | Konfiguruje protokol toku pro konkrétní skupinu zabezpečení sítě. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | deployIfNotExists | 1.1.0 |
| Nasazení prostředku protokolu toku s cílovou virtuální sítí | Konfiguruje protokol toku pro konkrétní virtuální síť. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | DeployIfNotExists, zakázáno | 1.1.1 |
| Nasazení služby Network Watcher při vytváření virtuálních sítí | Tato zásada vytvoří prostředek sledovacího modulu sítě v oblastech s virtuálními sítěmi. Potřebujete zajistit existenci skupiny prostředků s názvem networkWatcherRG, která se použije k nasazení instancí network watcheru. | DeployIfNotExists | 1.0.0 |
| Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS na WAF služby Azure Front Door | Pravidlo omezení rychlosti firewallu webových aplikací Azure (WAF) pro Azure Front Door řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Centrum událostí by mělo používat koncový bod služby virtuální sítě. | Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit všechna pravidla podpisu IDPS pro monitorování všech příchozích a odchozích toků provozu. | Povolení všech pravidel pro detekci a prevenci neoprávněných vniknutí (IDPS) se doporučuje lépe identifikovat známé hrozby v tocích provozu. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit systém detekce a prevence neoprávněných vniknutí (IDPS). | Povolení systému pro detekci a prevenci neoprávněných vniknutí umožňuje monitorovat síť pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ji a volitelně se ji pokusit zablokovat. Další informace o systému detekce a prevence neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Podsítě brány by neměly být nakonfigurované se skupinou zabezpečení sítě. | Tato zásada odmítne, pokud je podsíť brány nakonfigurovaná se skupinou zabezpečení sítě. Přiřazení skupiny zabezpečení sítě k podsíti brány způsobí, že brána přestane fungovat. | deny | 1.0.0 |
| Služba Key Vault by měla používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway | Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu budou zásady brány firewall podporovat nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla zakázat předávání IP | Tato zásada zakazuje síťová rozhraní, která povolila předávání IP. Nastavení předávání IP zakáže kontrolu zdroje a cíle síťového rozhraní Azure. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Síťová rozhraní by neměla mít veřejné IP adresy | Tato zásada zakazuje síťová rozhraní, která jsou nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům příchozí komunikaci s prostředky Azure a prostředkům Azure odchozí komunikaci s internetem. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Protokoly toku služby Network Watcher by měly mít povolenou analýzu provozu. | Analýza provozu analyzuje protokoly toku, aby poskytovala přehled o toku provozu ve vašem cloudu Azure. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další. | Audit, zakázáno | 1.0.1 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| SQL Server by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakýkoli SQL Server, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty úložiště by měly používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Předplatné by mělo nakonfigurovat Azure Firewall Premium tak, aby poskytovalo další vrstvu ochrany. | Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje požadavky vysoce citlivých a regulovaných prostředí. Nasaďte službu Azure Firewall Premium do svého předplatného a ujistěte se, že veškerý provoz služby je chráněný službou Azure Firewall Premium. Další informace o službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-premium | AuditIfNotExists, zakázáno | 1.0.0 |
| Virtuální počítače by měly být připojené ke schválené virtuální síti. | Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální sítě by měly být chráněné službou Azure DDoS Protection. | Chraňte své virtuální sítě před multilicenčními útoky a útoky pomocí služby Azure DDoS Protection. Další informace najdete na adrese https://aka.ms/ddosprotectiondocs. | Úprava, audit, zakázáno | 1.0.1 |
| Virtuální sítě by měly používat zadanou bránu virtuální sítě. | Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že brány VPN Gateway k ověřování používají pouze identity Azure Active Directory. Další informace o ověřování Azure AD najdete na adrese https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl povolit všechna pravidla brány firewall pro službu Application Gateway. | Povolení všech pravidel firewallu webových aplikací (WAF) posiluje zabezpečení vaší aplikace a chrání vaše webové aplikace před běžnými ohroženími zabezpečení. Další informace o firewallu webových aplikací (WAF) se službou Application Gateway najdete v tématu . https://aka.ms/waf-ag | Audit, Odepřít, Zakázáno | 1.0.1 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Portál
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Sdílené řídicí panely by neměly obsahovat dlaždice Markdownu s vloženým obsahem. | Zakázat vytvoření sdíleného řídicího panelu, který má vložený obsah na dlaždicích Markdownu, a vynutit, aby se obsah uložil jako soubor markdownu hostovaný online. Pokud používáte vložený obsah na dlaždici Markdown, nemůžete spravovat šifrování obsahu. Konfigurací vlastního úložiště můžete šifrovat, dvakrát šifrovat a dokonce použít vlastní klíče. Povolením této zásady omezíte uživatele na používání rozhraní REST API 2020-09-01-preview nebo vyšší verze sdílených řídicích panelů. | Audit, Odepřít, Zakázáno | 1.0.0 |
Odolnost
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Služba API Management by měla být zónově redundantní | Službu API Management je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Služba API Management je zónově redundantní, pokud má název skladové položky Premium a má v poli zón alespoň dvě položky. Tato zásada identifikuje službu API Management Services, která nemá redundanci potřebnou k tomu, aby vydržela výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| [Preview]: Plány služby App Service by měly být zónově redundantní | Plány služby App Service je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Pokud je vlastnost zoneRedundant nastavena na false pro plán služby App Service, není nakonfigurována pro zónovou redundanci. Tato zásada identifikuje a vynucuje konfiguraci redundance zón pro plány služby App Service. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Application Gateway by měly být odolné vůči zónám. | Služby Application Gateway je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedno. Application Gatewaysmthat mají další položku v poli zón se považují za zarovnané zóny. Naproti tomu aplikace Gatmways sn3 nebo více položek v poli zón jsou rozpoznány jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Služba Azure AI Search by měla být zónově redundantní. | Službu Azure AI Search je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Zóny dostupnosti se používají při přidávání dvou nebo více replik do vyhledávací služby. Každá replika se umístí do jiné zóny dostupnosti v rámci oblasti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Azure Cache for Redis Enterprise &Flash by měl být zónově redundantní | Azure Cache for Redis Enterprise &Flash je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Instance Azure Cache for Redis Enterprise &Flash s méně než 3 položkami v poli zón nejsou zónově redundantní. Tato zásada identifikuje instance Azure Cache for Redis Enterprise &Flash, které nemají redundanci potřebnou k odstranění výpadku zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Azure Cache for Redis by měl být zónově redundantní. | Azure Cache for Redis je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Instance Azure Cache for Redis s méně než 2 položkami v poli zón nejsou zónově redundantní. Tato zásada identifikuje instance Azure Cache for Redis, které nemají redundanci potřebnou k tomu, aby vydržely výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Clustery Azure Data Exploreru by měly být zónově redundantní. | Clustery Azure Data Exploreru je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Cluster Azure Data Exploreru se považuje za zónově redundantní, pokud má v poli zón alespoň dvě položky. Tyto zásady pomáhají zajistit, aby clustery Azure Data Exploreru byly zónově redundantní. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Flexibilní server Azure Database for MySQL by měl být odolný vůči zónám. | Flexibilní server Azure Database for MySQL je možné nakonfigurovat tak, aby byl buď zarovnaný do zóny, zónově redundantní nebo ani jeden. Server MySQL, který má pohotovostní server vybraný ve stejné zóně pro zajištění vysoké dostupnosti, se považuje za zarovnaný do zóny. Server MySQL s vybraným pohotovostním serverem, který má být v jiné zóně pro zajištění vysoké dostupnosti, je naopak rozpoznán jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Flexibilní server Azure Database for PostgreSQL by měl být odolný vůči zóně. | Flexibilní server Azure Database for PostgreSQL je možné nakonfigurovat tak, aby byl buď zarovnaný do zóny, zónově redundantní nebo ani jeden. Server PostgreSQL, který má pohotovostní server vybraný ve stejné zóně pro zajištění vysoké dostupnosti, se považuje za zarovnaný do zóny. Server PostgreSQL s vybraným pohotovostním serverem, který má být v jiné zóně pro zajištění vysoké dostupnosti, je naopak rozpoznán jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Azure HDInsight by měl být zarovnaný do zóny. | Azure HDInsight je možné nakonfigurovat tak, aby byla zarovnaná do zóny nebo ne. Azure HDInsight, který má v poli zón přesně jednu položku, se považuje za zarovnanou zónu. Tato zásada zajišťuje, že je cluster Azure HDInsight nakonfigurovaný tak, aby fungoval v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Spravované clustery Azure Kubernetes Service by měly být zónově redundantní. | Spravované clustery Azure Kubernetes Service je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Zásady kontrolují fondy uzlů v clusteru a zajišťují, že jsou pro všechny fondy uzlů nastavené zóny avaialbilty. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Azure Managed Grafana by měl být zónově redundantní. | Azure Managed Grafana se dá nakonfigurovat tak, aby byla zónově redundantní nebo ne. Instance Azure Managed Grafana je zónově redundantní, protože vlastnost zoneRedundancy je nastavená na Enabled. Vynucování této zásady pomáhá zajistit, aby byla služba Azure Managed Grafana správně nakonfigurovaná pro odolnost zón a snížila riziko výpadků během výpadků zón. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Zálohování a Site Recovery by měly být zónově redundantní. | Zálohování a Site Recovery je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Zálohování a Site Recovery jsou zónově redundantní, pokud je vlastnost StandardTierStorageRedundancy nastavená na ZoneRedundant. Vynucení této zásady pomáhá zajistit, aby služba Backup a Site Recovery byly správně nakonfigurované pro odolnost zón a snížily riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Trezory záloh by měly být zónově redundantní | Trezory služby Backup je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Trezory záloh jsou zónově redundantní, pokud je typ nastavení úložiště nastavený na ZoneRedundant a považují se za odolné. Geograficky redundantní nebo místně redundantní trezory záloh se nepovažují za odolné. Vynucení této zásady pomáhá zajistit, aby se trezory služby Backup správně nakonfigurovaly pro odolnost zón a snížily riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Aplikace kontejneru by měla být zónově redundantní | Kontejnerová aplikace může být nakonfigurovaná tak, aby byla zónově redundantní nebo ne. Aplikace kontejneru je zónově redundantní, pokud je vlastnost ZoneRedundant spravovaného prostředí nastavená na hodnotu true. Tato zásada identifikuje kontejnerovou aplikaci, která nemá redundanci potřebnou k tomu, aby vydržela výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Instance kontejnerů by měly být zarovnané do zóny. | Instance kontejnerů je možné nakonfigurovat tak, aby byly zarovnané do zóny nebo ne. Jsou považovány za zarovnané do zóny, pokud mají v poli zón pouze jednu položku. Tato zásada zajišťuje, že jsou nakonfigurované tak, aby fungovaly v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Container Registry by měl být zónově redundantní. | Služba Container Registry může být nakonfigurovaná tak, aby byla zónově redundantní nebo ne. Pokud je vlastnost zoneRedundancy pro container Registry nastavena na Disabled, znamená to, že registr není zónově redundantní. Vynucení této zásady pomáhá zajistit, aby služba Container Registry byla správně nakonfigurovaná pro odolnost zón a snížila riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Účty databáze Cosmos by měly být zónově redundantní. | Účty služby Cosmos Database je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Pokud je vlastnost enableMultipleWriteLocations nastavená na true, musí mít všechna umístění vlastnost isZoneRedundant a musí být nastavena na true. Pokud je vlastnost enableMultipleWriteLocations nastavená na false, primární umístění (failoverPriority nastaveno na hodnotu 0) musí mít vlastnost isZoneRedundant a musí být nastavena na hodnotu true. Vynucením této zásady zajistíte, že účty služby Cosmos Database jsou správně nakonfigurované pro redundanci zón. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Služba Event Hubs by měla být zónově redundantní | Služba Event Hubs může být nakonfigurovaná tak, aby byla zónově redundantní nebo ne. Event Hubs jsou zónově redundantní, pokud je vlastnost zoneRedundant nastavená na true. Vynucování této zásady pomáhá zajistit, aby služba Event Hubs byla správně nakonfigurovaná pro odolnost zóny a snížila riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Brány firewall by měly být odolné proti zónám. | Brány firewall je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedna. Brány firewall, které mají v poli zón přesně jednu položku, se považují za zarovnané do zóny. Naproti tomu brány firewall se 3 nebo více položkami v poli zón rozpoznávají jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Nástroje pro vyrovnávání zatížení by měly být odolné vůči zóně. | Nástroje pro vyrovnávání zatížení s jinou skladovou jednotkou než Basic dědí odolnost veřejných IP adres ve svém front-endu. V kombinaci se zásadou "Veřejné IP adresy by měly být odolné vůči zóně", tento přístup zajistí potřebnou redundanci, aby vydržela výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Spravované disky by měla být odolná vůči zóně | Spravované disky lze nakonfigurovat tak, aby byla buď zarovnaná do zóny, zónově redundantní nebo ani jedna. Spravované disky s přesně jedním přiřazením zóny je zarovnaná zóna. Spravované disky s názvem skladové položky, která končí na ZRS, jsou zónově redundantní. Tato zásada pomáhá identifikovat a vynucovat tyto konfigurace odolnosti pro Spravované disky. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Brána NAT by měla být zarovnaná do zóny. | Bránu NAT je možné nakonfigurovat tak, aby byla zarovnaná do zóny nebo ne. Brána NAT, která má v poli zón přesně jednu položku, se považuje za zarovnanou zónu. Tato zásada zajišťuje, že je služba NAT Gateway nakonfigurovaná tak, aby fungovala v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Veřejné IP adresy by měly být odolné vůči zóně. | Veřejné IP adresy je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedna. Veřejné IP adresy, které jsou regionální, s přesně jednou položkou v poli zón jsou považovány za zarovnané. Naproti tomu veřejné IP adresy, které jsou regionální, s 3 nebo více položkami v poli zón jsou rozpoznány jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.1.0-preview |
| [Preview]: Předpony veřejných IP adres by měly být odolné vůči zóně. | Předpony veřejných IP adres je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní nebo ani jedno. Předpony veřejných IP adres, které mají v poli zón přesně jednu položku, se považují za zarovnané do zóny. Naproti tomu předpony veřejných IP adres se 3 nebo více položkami v poli zón rozpoznávají jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Service Bus by měl být zónově redundantní | Službu Service Bus je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Pokud je vlastnost zoneRedundant nastavená na false pro Service Bus, znamená to, že není nakonfigurovaná pro zónovou redundanci. Tato zásada identifikuje a vynucuje konfiguraci redundance zón pro instance služby Service Bus. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Clustery Service Fabric by měly být zónově redundantní. | Clustery Service Fabric je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Clustery Servicefabric, jejichž nodeType nemají nastavenou hodnotu multipleAvailabilityZones nastavenou na hodnotu True, nejsou zónově redundantní. Tato zásada identifikuje clustery Servicefabric, které nemají redundanci potřebnou k tomu, aby vydržely výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Databáze SQL by měly být zónově redundantní | Databáze SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Databáze s nastavením zoneRedundant nastaveným na false nejsou nakonfigurované pro redundanci zón. Tato zásada pomáhá identifikovat databáze SQL, které potřebují konfiguraci redundance zón, aby se zlepšila dostupnost a odolnost v rámci Azure. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Fondy elastické databáze SQL by měly být zónově redundantní | Fondy elastické databáze SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Fondy elastické databáze SQL jsou zónově redundantní, pokud je vlastnost zoneRedundant nastavená na true. Vynucování této zásady pomáhá zajistit, aby služba Event Hubs byla správně nakonfigurovaná pro odolnost zóny a snížila riziko výpadků během výpadků zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Spravované instance SQL by měly být zónově redundantní. | Spravované instance SQL je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Instance s nastavením zoneRedundant nastaveným na false nejsou nakonfigurované pro redundanci zóny. Tato zásada pomáhá identifikovat instance SQL ManagedInstance, které potřebují konfiguraci redundance zón, aby se zlepšila dostupnost a odolnost v rámci Azure. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Účty úložiště by měly být zónově redundantní | Účty úložiště je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Pokud název skladové položky účtu úložiště nekončí názvem ZRS nebo jeho druhem je Storage, není zónově redundantní. Tato zásada zajišťuje, že vaše účty úložiště používají konfiguraci zónově redundantní. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Škálovací sady virtuálních počítačů by měly být odolné vůči zónám. | Škálovací sady virtuálních počítačů je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedno. Škálovací sady virtuálních počítačů, které mají v poli zón přesně jednu položku, se považují za zarovnané. Naproti tomu škálovací sady virtuálních počítačů se 3 nebo více položkami v poli zón a kapacita nejméně 3 se rozpozná jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítače by měly být zarovnané do zóny. | Virtuální počítače je možné nakonfigurovat tak, aby byly zarovnané do zóny nebo ne. Jsou považovány za zarovnané do zóny, pokud mají v poli zón pouze jednu položku. Tato zásada zajišťuje, že jsou nakonfigurované tak, aby fungovaly v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Brány virtuální sítě by měly být zónově redundantní. | Brány virtuální sítě je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Brány virtuální sítě, jejichž název skladové položky nebo vrstva nekončí sadou AZ, nejsou zónově redundantní. Tato zásada identifikuje brány virtuální sítě, které nemají redundanci potřebnou k tomu, aby vydržely výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
Hledání
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Cognitive Search s by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure Cognitive Search k ověřování výhradně vyžadovala identity Azure Active Directory. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. Mějte na paměti, že i když je parametr zakázání místního ověřování stále ve verzi Preview, může efekt zamítnutí této zásady vést k omezené funkčnosti portálu Azure Cognitive Search, protože některé funkce portálu používají rozhraní GA API, které parametr nepodporuje. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Cognitive Search by k šifrování neaktivních uložených dat měly používat klíče spravované zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službě Azure Cognitive Search s poskytuje další kontrolu nad klíčem použitým k šifrování neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů pro správu šifrovacích klíčů dat pomocí trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služby Azure Cognitive Search by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše služby Azure Cognitive Search výhradně vyžadovaly identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu Azure Cognitive Search, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť, aby se přeložily na službu Azure Cognitive Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na službu Azure Cognitive Search můžete snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Security Center
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Linuxem Arc. | Nainstalujte na počítače s Linuxem Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte na škálovací sady virtuálních počítačů s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Nainstalujte na virtuální počítače s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Windows Arc. | Nainstalujte na počítače s Windows Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte na škálovací sady virtuálních počítačů s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Windows. | Nainstalujte na virtuální počítače s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na počítač s Linuxem Arc | Nainstalujte rozšíření ChangeTracking na počítače s Linuxem Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Linuxem. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované na počítači s Windows Arc | Nainstalujte rozšíření ChangeTracking na počítače s Windows Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Windows. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat do škálovacích sad virtuálních počítačů s Windows. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace agenta Azure Defenderu pro SQL na virtuálním počítači | Nakonfigurujte počítače s Windows tak, aby automaticky nainstalovaly agenta Azure Defenderu pro SQL, na kterém je nainstalovaný agent služby Azure Monitor. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Linuxem Arc | Nakonfigurujte počítače s Linuxem Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Linuxem | Nakonfigurujte škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Linuxem | Nakonfigurujte virtuální počítače s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Windows Arc | Nakonfigurujte počítače s Windows Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Windows | Nakonfigurujte škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Windows | Nakonfigurujte virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Linuxem Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Linuxem Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače Se systémem Linux Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 6.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Linuxem, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 5.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované virtuální počítače s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 7.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Linuxem, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 7.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů pro automatické povolení virtuálního počítače vTPM | Nakonfigurujte podporované virtuální počítače tak, aby automaticky povolovali virtuální počítače vTPM, aby usnadnily měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Windows Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače s Windows Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové škálovací sady virtuálních počítačů s Windows musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 4.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Windows, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Konfigurace virtuálníchpočítačůch | Nakonfigurujte virtuální počítače vytvořené pomocí imagí Sdílené galerie imagí tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla proaktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace VMSS vytvořené pomocí imagí sdílené galerie imagí image pro instalaci rozšíření Ověření identity hosta | Nakonfigurujte službu VMSS vytvořenou pomocí imagí sdílené galerie imagí, aby automaticky nainstalovala rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na hybridních počítačích s Linuxem | Nasadí agenta Microsoft Defender for Endpoint na hybridní počítače s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Linuxem | Nasadí agenta Microsoft Defenderu for Endpoint na příslušné image virtuálních počítačů s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na počítačích s Windows Azure Arc | Nasadí Microsoft Defender for Endpoint na počítačích s Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Windows | Nasadí Microsoft Defender for Endpoint na příslušné image virtuálních počítačů s Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | AuditIfNotExists, zakázáno | 4.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. | AuditIfNotExists, zakázáno | 3.1.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat zabezpečené spouštění. | Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku. | Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server Microsoftu nebo síť. Vystavené porty identifikované tímto doporučením musí být pro vaše trvalé zabezpečení uzavřeny. Pro každý identifikovaný port doporučení také poskytuje vysvětlení potenciální hrozby. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | Audit, zakázáno | 4.0.0-preview |
| [Preview]: Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Stav ověření identity hosta virtuálních počítačů by měl být v pořádku. | Ověření identity hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být důsledkem infekce bootkitu nebo rootkitu. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním, které mají nainstalované rozšíření Ověření hosta. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, zakázáno | 2.0.0-preview |
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. | Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, zakázáno | 1.0.1 |
| Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, nepoužívané a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, zakázáno | 1.0.1 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics. | Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure. | AuditIfNotExists, zakázáno | 1.0.1 |
| Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro opensourcové relační databáze by měl být povolený. | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Pro nechráněné flexibilní servery PostgreSQL by měl být povolený Azure Defender pro SQL. | Audit flexibilních serverů PostgreSQL bez Advanced Data Security | AuditIfNotExists, zakázáno | 1.0.0 |
| Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | AuditIfNotExists, zakázáno | 1.0.1 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, zakázáno | 1.0.1 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly být bezpečně nakonfigurované. | Chraňte instance rolí cloudové služby (rozšířená podpora) před útoky tím, že zajistíte, že se nezomení na žádná ohrožení zabezpečení operačního systému. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované řešení ochrany koncových bodů. | Chraňte instance rolí cloudových služeb (rozšířená podpora) před hrozbami a ohroženími zabezpečení tím, že zajistíte, že je na nich nainstalované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované aktualizace systému. | Zabezpečte instance rolí cloudových služeb (rozšířená podpora) tím, že zajistíte, aby na nich byly nainstalované nejnovější aktualizace zabezpečení a důležité aktualizace. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace advanced Threat Protection tak, aby byla povolená na flexibilních serverech Azure Database for MySQL | Povolte službu Advanced Threat Protection na flexibilních serverech Azure Database for MySQL a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace advanced Threat Protection tak, aby byla povolená na flexibilních serverech Azure Database for PostgreSQL | Povolte rozšířenou ochranu před internetovými útoky na flexibilních serverech Azure Database for PostgreSQL, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na SQL Serverech s podporou Služby Windows Arc. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte SQL Servery s podporou služby Windows Arc tak, aby automaticky nainstalovaly agenta Microsoft Defenderu for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Programu Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace SQL serverů s podporou arc s přidružením pravidel shromažďování dat k Programu Microsoft Defender pro SQL DCR | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a Microsoft Defenderem pro SQL DCR. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace SQL Serverů s podporou arc s přidružením pravidel shromažďování dat k programu Microsoft Defender pro uživatelem definované dcR v programu Microsoft Defender | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a programem Microsoft Defender for SQL uživatelem definovaným řadičem domény. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace aktivace Azure Defender for App Service | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace Azure Defender pro aktivaci databáze Azure SQL | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace Azure Defender pro aktivaci opensourcových relačních databází | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aktivace Azure Defender pro Resource Manager | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace aktivace Azure Defender pro servery | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace Azure Defender pro aktivaci SQL serverů na počítačích | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace základního programu Microsoft Defender pro úložiště tak, aby byla povolená (pouze monitorování aktivit) | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí základní možnosti Defenderu pro úložiště (monitorování aktivit). Pokud chcete povolit úplnou ochranu, která zahrnuje také kontrolu malwaru při nahrávání a detekci citlivých dat, použijte úplnou zásadu povolení: aka.ms/DefenderForStoragePolicy. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace počítačů pro příjem zprostředkovatele posouzení ohrožení zabezpečení | Azure Defender zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center. Když tuto zásadu povolíte, Azure Defender automaticky nasadí poskytovatele posouzení ohrožení zabezpečení Qualys do všech podporovaných počítačů, které ho ještě nemají nainstalované. | DeployIfNotExists, zakázáno | 4.0.0 |
| Konfigurace plánu CSPM v programu Microsoft Defender | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace povolení plánu Microsoft Defender CSPM | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.2 |
| Konfigurace aktivace Microsoft Defender for Azure Cosmos DB | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace plánu Microsoft Defender for Containers | Do plánu Defender for Containers se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace povolení Microsoft Defenderu pro kontejnery | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí programu Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označovaného také jako WDATP_EXCLUDE_LINUX_...) pro povolení automatického zřizování MDE pro servery s Linuxem. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí Microsoft Defenderu pro cloud (WDATP_UNIFIED_SOLUTION) | Nakonfiguruje nastavení integrace Microsoft Defenderu pro koncový bod v rámci programu Microsoft Defender for Cloud (označované také jako WDATP_UNIFIED_SOLUTION) pro povolení automatického zřizování sjednoceného agenta MDE pro Windows Server 2012R2 a 2016. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení integrace Microsoft Defenderu for Endpoint pomocí programu Microsoft Defender for Cloud (WDATP) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označované také jako WDATP), pro počítače s nižší úrovní Windows, které jsou nasazené do MDE prostřednictvím MMA, a automatické zřizování MDE ve Windows Serveru 2019 , Windows Virtual Desktopu a novějších verzích. Aby ostatní nastavení (WDATP_UNIFIED atd.) fungovala, musí být zapnutá. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace plánu Služby Key Vault v programu Microsoft Defender for Key Vault | Microsoft Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace plánu Microsoft Defenderu pro servery | Do Defenderu pro servery se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Microsoft Defenderu pro SQL pro povolení v pracovních prostorech Synapse | Povolte v pracovních prostorech Azure Synapse Microsoft Defender for SQL a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím SQL nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte microsoft Defender pro úložiště (Classic) tak, aby byl povolený. | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.2 |
| Konfigurace služby Microsoft Defender pro úložiště, která se má povolit | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí všechny možnosti Defenderu pro úložiště; Monitorování aktivit, kontrola malwaru a detekce citlivých dat. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace služby SQL Virtual Machines pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows SQL. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte službu Windows SQL Virtual Machines tak, aby automaticky nainstalovala rozšíření Microsoft Defender for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace služby SQL Virtual Machines tak, aby automaticky nainstalovala Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace pracovního prostoru Microsoft Defenderu pro SQL Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.2.0 |
| Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem | Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem ve velkém měřítku virtuálním počítačům SQL | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Nasazení – Konfigurace pravidel potlačení pro výstrahy služby Azure Security Center | Potlačte upozornění služby Azure Security Center, abyste snížili únavu výstrah nasazením pravidel potlačení ve vaší skupině pro správu nebo předplatném. | deployIfNotExists | 1.0.0 |
| Nasazení exportu do centra událostí jako důvěryhodné služby pro data Microsoft Defenderu pro cloud | Povolte export do centra událostí jako důvěryhodnou službu Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do centra událostí jako konfiguraci důvěryhodné služby s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení exportu do centra událostí pro data Microsoft Defenderu pro cloud | Povolení exportu do centra událostí Microsoft Defenderu pro cloudová data Tato zásada nasadí export do konfigurace centra událostí s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.2.0 |
| Nasazení exportu do pracovního prostoru služby Log Analytics pro data Microsoft Defenderu pro cloud | Povolte export do pracovního prostoru Služby Log Analytics v Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do konfigurace pracovního prostoru služby Log Analytics s vašimi podmínkami a cílovým pracovním prostorem v přiřazeným oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.1.0 |
| Nasazení automatizace pracovních postupů pro upozornění Microsoft Defenderu pro cloud | Povolte automatizaci upozornění Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| Nasazení automatizace pracovních postupů pro doporučení Microsoft Defenderu pro cloud | Povolte automatizaci doporučení Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| Nasazení automatizace pracovních postupů pro Microsoft Defender pro dodržování právních předpisů v cloudu | Povolte automatizaci dodržování právních předpisů v programu Microsoft Defender pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.1.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Povolení Microsoft Defenderu pro cloud ve vašem předplatném | Identifikuje existující předplatná, která nejsou monitorována programem Microsoft Defender for Cloud, a chrání je pomocí bezplatných funkcí Defenderu pro cloud. Předplatná, která už jsou monitorovaná, budou považována za vyhovující. Pokud chcete zaregistrovat nově vytvořená předplatná, otevřete kartu dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 1.0.1 |
| Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s vlastním pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných pro monitorování a shromažďování dat zabezpečení pomocí vlastního pracovního prostoru. | DeployIfNotExists, zakázáno | 1.0.0 |
| Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s výchozím pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných, abyste mohli monitorovat a shromažďovat data zabezpečení pomocí výchozího pracovního prostoru ASC. | DeployIfNotExists, zakázáno | 1.0.0 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná zde – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zdokumentované zde - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Na instance rolí cloudových služeb (rozšířená podpora) by se měl nainstalovat agent Log Analytics. | Security Center shromažďuje data z instancí rolí Cloud Services (rozšířená podpora) za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 2.0.0 |
| Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center. | Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 1.0.0 |
| Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center. | Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, zakázáno | 1.0.2 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Funkce CSPM v programu Microsoft Defender by měla být povolená. | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená rozhraní MICROSOFT Defender for API. | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí pro monitorování běžných útoků založených na rozhraní API a chybných konfigurací zabezpečení. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender pro službu Azure Cosmos DB. | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| U nechráněných pracovních prostorů Synapse by měl být povolený Microsoft Defender pro SQL. | Povolte Defender for SQL k ochraně pracovních prostorů Synapse. Defender for SQL monitoruje synapse SQL a zjišťuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.0 |
| Stav Microsoft Defenderu pro SQL by měl být chráněný pro SQL servery s podporou Arc. | Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL, zjišťování a klasifikaci citlivých dat. Po povolení stav ochrany znamená, že se prostředek aktivně monitoruje. I když je defender povolený, musí být na agentu, počítači, pracovním prostoru a SQL Serveru ověřeno více nastavení konfigurace, aby se zajistila aktivní ochrana. | Audit, zakázáno | 1.0.1 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Nastavení předplatných pro přechod na alternativní řešení posouzení ohrožení zabezpečení | Microsoft Defender pro cloud nabízí kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Povolení této zásady způsobí, že Defender for Cloud automaticky rozšíří zjištění z integrovaného řešení správa ohrožení zabezpečení Microsoft Defenderu do všech podporovaných počítačů. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Automatické zřizování cílené na SQL server by mělo být povolené pro sql servery v plánu počítačů. | Pokud chcete zajistit ochranu virtuálních počítačů SQL a SQL Serverů s podporou arc, ujistěte se, že je agent monitorování Azure cílený na SQL nakonfigurovaný tak, aby se automaticky nasazoval. To je také nezbytné, pokud jste dříve nakonfigurovali automatické zřizování agenta Microsoft Monitoring Agent, protože tato komponenta je zastaralá. Víc se uč: https://aka.ms/SQLAMAMigration | AuditIfNotExists, zakázáno | 1.0.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. | Umožňuje auditovat, jestli chybí nějaké aktualizace zabezpečení systému nebo důležité aktualizace, které by se měly nainstalovat, aby bylo jisté, že škálovací sady virtuálních počítačů s Windows a Linuxem jsou zabezpečené. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
| Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit. | Auditujte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazují se jako doporučení ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. | Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
Security Center – podrobné ceny
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace Azure Defenderu pro servery tak, aby byla zakázaná pro všechny prostředky (úroveň prostředků) | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly zakázané pro prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (podplán P1) pro všechny prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (s dílčím plánem P1) pro všechny prostředky (úroveň prostředků). | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
Service Bus
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechna autorizační pravidla kromě RootManageSharedAccessKey by se měla odebrat z oboru názvů služby Service Bus. | Klienti služby Service Bus by neměli používat zásady přístupu na úrovni oboru názvů, které poskytují přístup ke všem frontám a tématům v oboru názvů. Pokud chcete zajistit soulad s modelem zabezpečení s nejnižšími oprávněními, měli byste vytvořit zásady přístupu na úrovni entit pro fronty a témata, abyste měli přístup pouze ke konkrétní entitě. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Obory názvů služby Azure Service Bus by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby obory názvů služby Azure Service Bus pro ověřování vyžadovaly výhradně identity ID Microsoft Entra. Další informace najdete tady: https://aka.ms/disablelocalauth-sb. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů služby Azure Service Bus pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše obory názvů Azure ServiceBus vyžadovaly výhradně identity ID Microsoft Entra pro ověřování. Další informace najdete tady: https://aka.ms/disablelocalauth-sb. | Upravit, zakázáno | 1.0.1 |
| Konfigurace oborů názvů služby Service Bus pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do oborů názvů služby Service Bus. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů služby Service Bus s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory názvů služby Service Bus můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Obory názvů služby Service Bus by měly zakázat přístup k veřejné síti | Služba Azure Service Bus by měla mít zakázaný přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Odepřít, Zakázáno | 1.1.0 |
| Obory názvů služby Service Bus by měly mít povolené dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. | Audit, zakázáno | 1.0.0 |
Service Fabric
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
SignalR
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure SignalR by měla zakázat přístup k veřejné síti. | Pokud chcete zlepšit zabezpečení prostředku služby Azure SignalR, ujistěte se, že není vystavený veřejnému internetu a že je možné k němu přistupovat pouze z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/asrs/networkacls. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Služba Azure SignalR by měla povolit diagnostické protokoly. | Audit povolení diagnostických protokolů To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure SignalR pro ověřování výhradně vyžadovala identity Azure Active Directory. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat skladovou položku s povolenou službou Private Link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli, které chrání vaše prostředky před riziky úniku veřejných dat. Zásady vás omezují na skladové položky s podporou služby Private Link pro službu Azure SignalR. Další informace o službě Private Link najdete tady: https://aka.ms/asrs/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Konfigurace služby Azure SignalR pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše služba Azure SignalR pro ověřování výhradně vyžadovala identity Azure Active Directory. | Upravit, zakázáno | 1.0.0 |
| Konfigurace privátních koncových bodů do služby Azure SignalR | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky služby Azure SignalR Můžete snížit rizika úniku dat. Další informace najdete na adrese https://aka.ms/asrs/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace privátních zón DNS pro připojení privátních koncových bodů ke službě Azure SignalR | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na prostředek služby Azure SignalR. Další informace najdete tady: https://aka.ms/asrs/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Úprava prostředků služby Azure SignalR a zakázání přístupu k veřejné síti | Pokud chcete zlepšit zabezpečení prostředku služby Azure SignalR, ujistěte se, že není vystavený veřejnému internetu a že je možné k němu přistupovat pouze z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/asrs/networkacls. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Upravit, zakázáno | 1.1.0 |
Site Recovery
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Konfigurace trezorů služby Azure Recovery Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezorů služby Recovery Services. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace privátních koncových bodů v trezorech služby Azure Recovery Services | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky site recovery trezorů služby Recovery Services můžete snížit rizika úniku dat. Pokud chcete používat privátní propojení, musí být identita spravované služby přiřazena k trezorům služby Recovery Services. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Trezory služby Recovery Services by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezory služby Azure Recovery Services se sníží riziko úniku dat. Další informace o privátních propojeních pro Azure Site Recovery najdete tady: https://aka.ms/HybridScenarios-PrivateLink a https://aka.ms/AzureToAzure-PrivateLink. | Audit, zakázáno | 1.0.0-preview |
SQL
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro servery MySQL by měl být zřízen správce Microsoft Entra. | Audit zřizování správce Microsoft Entra pro váš server MySQL za účelem povolení ověřování Microsoft Entra. Ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.1.1 |
| Správce Microsoft Entra by měl být zřízený pro servery PostgreSQL. | Audit zřizování správce Microsoft Entra pro váš server PostgreSQL za účelem povolení ověřování Microsoft Entra. Ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.1 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Flexibilní server Azure MySQL by měl mít povoleno pouze ověřování Microsoft Entra Only | Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server Azure MySQL byl přístupný výhradně identitami Microsoft Entra. | AuditIfNotExists, zakázáno | 1.0.1 |
| Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Azure SQL Database by měl mít povolené ověřování pouze Microsoft Entra-only | Vyžadovat, aby logické servery Azure SQL používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření serverů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure SQL Database by při vytváření mělo mít povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se logické servery Azure SQL vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
| Spravovaná instance Azure SQL by měla mít povolené ověřování microsoft Entra-only | Vyžadovat, aby spravovaná instance Azure SQL používala ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření spravovaných instancí Azure SQL s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Spravované instance Azure SQL by měly zakázat přístup k veřejné síti. | Zakázání veřejného síťového přístupu (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze z virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete v tématu https://aka.ms/mi-public-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Při vytváření by měly mít spravované instance Azure SQL povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se vytvořila spravovaná instance Azure SQL s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
| Konfigurace rozšířené ochrany před internetovými útoky pro povolení na serverech Azure Database for MariaDB | Povolte rozšířenou ochranu před internetovými útoky na serverech Azure database for MariaDB mimo úroveň Basic a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace rozšířené ochrany před internetovými útoky pro povolení na serverech Azure Database for MySQL | Povolte rozšířenou ochranu před internetovými útoky na serverech Azure database for MySQL mimo úroveň Basic a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace rozšířené ochrany před internetovými útoky pro povolení na serverech Azure Database for PostgreSQL | Povolte rozšířenou ochranu před internetovými útoky na serverech Azure database for PostgreSQL mimo úroveň Basic a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace azure Defenderu pro povolení ve spravovaných instancích SQL | Povolte azure Defender ve službě Azure SQL Managed Instances, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace azure Defenderu tak, aby byla povolená na SQL Serverech | Povolte Azure Defender na vašich SQL Serverech Azure, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists | 2.1.0 |
| Konfigurace nastavení diagnostiky databázových serverů Azure SQL pro pracovní prostor služby Log Analytics | Povolí protokoly auditování pro server služby Azure SQL Database a streamuje protokoly do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli SQL Server, u kterého chybí toto auditování. | DeployIfNotExists, zakázáno | 1.0.2 |
| Konfigurace Azure SQL Serveru pro zakázání přístupu k veřejné síti | Zakázání vlastnosti přístupu k veřejné síti vypne veřejné připojení, aby k Azure SQL Serveru bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup k veřejné síti pro všechny databáze v rámci Azure SQL Serveru. | Upravit, zakázáno | 1.0.0 |
| Konfigurace Azure SQL Serveru pro povolení připojení privátního koncového bodu | Připojení privátního koncového bodu umožňuje privátní připojení ke službě Azure SQL Database prostřednictvím privátní IP adresy ve virtuální síti. Tato konfigurace zlepšuje stav zabezpečení a podporuje síťové nástroje a scénáře Azure. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace SQL serverů tak, aby měly povolené auditování | Aby se zajistilo, že se zachytí operace prováděné s vašimi prostředky SQL, měly by mít servery SQL povolené auditování. To se někdy vyžaduje pro dodržování regulačních standardů. | DeployIfNotExists, zakázáno | 3.0.0 |
| Konfigurace SQL serverů tak, aby měly povolené auditování v pracovním prostoru služby Log Analytics | Aby se zajistilo, že se zachytí operace prováděné s vašimi prostředky SQL, měly by mít servery SQL povolené auditování. Pokud auditování není povolené, tato zásada nakonfiguruje události auditování tak, aby proudily do zadaného pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
| Připojení omezování by mělo být povolené pro databázové servery PostgreSQL. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení omezování Připojení. Toto nastavení umožňuje dočasné omezování připojení na IP adresu pro příliš mnoho neplatných selhání přihlášení pomocí hesla. | AuditIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace nastavení diagnostiky pro databáze SQL do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro služby SQL Database pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba SQL Database, která neobsahuje toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 4.0.0 |
| Nasazení Advanced Data Security na SQL serverech | Tato zásada umožňuje rozšířené zabezpečení dat na SQL Serverech. To zahrnuje zapnutí detekce hrozeb a posouzení ohrožení zabezpečení. Automaticky vytvoří účet úložiště ve stejné oblasti a skupině prostředků jako SQL Server pro ukládání výsledků kontroly s předponou sqlva. | DeployIfNotExists | 1.3.0 |
| Nasazení diagnostického Nastavení pro Azure SQL Database do centra událostí | Nasadí nastavení diagnostiky pro Azure SQL Database pro streamování do místního centra událostí v jakékoli službě Azure SQL Database, ve které chybí toto nastavení diagnostiky, se vytvoří nebo aktualizuje. | DeployIfNotExists | 1.2.0 |
| Nasazení transparentního šifrování dat databáze SQL | Umožňuje transparentní šifrování dat v databázích SQL. | DeployIfNotExists, zakázáno | 2.2.0 |
| Pro databázové servery PostgreSQL by se měly protokolovat odpojení. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro databázové servery PostgreSQL by měly být povolené kontrolní body protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_checkpoints nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pro databázové servery PostgreSQL by měla být povolená připojení protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_connections nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pro databázové servery PostgreSQL by se měla povolit doba trvání protokolu. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_duration nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
| Server MariaDB by měl používat koncový bod služby virtuální sítě. | Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure Database for MariaDB a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud služba Azure Database for MariaDB používá koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.2 |
| Server MySQL by měl používat koncový bod služby virtuální sítě. | Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure Database for MySQL a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud se používá koncový bod služby pro virtuální síť Azure Database for MySQL. | AuditIfNotExists, zakázáno | 1.0.2 |
| Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Server PostgreSQL by měl používat koncový bod služby virtuální sítě. | Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do Služby Azure Database for PostgreSQL a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud služba Azure Database for PostgreSQL používá koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.2 |
| Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Nastavení auditování SQL by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | Vlastnost AuditActionsAndGroups by měla obsahovat alespoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP, aby se zajistilo důkladné protokolování auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sql Database by se měla vyhnout použití redundance zálohování GRS | Databáze by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. | Odepřít, zakázáno | 2.0.0 |
| Spravovaná instance SQL by měla mít minimální verzi protokolu TLS verze 1.2. | Nastavení minimální verze protokolu TLS na verzi 1.2 zlepšuje zabezpečení tím, že zajišťuje, aby ke službě SQL Managed Instance bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, zakázáno | 1.0.1 |
| Spravované instance SQL by se měly vyhnout použití redundance zálohování GRS | Spravované instance by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. | Odepřít, zakázáno | 2.0.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Pravidlo brány firewall virtuální sítě ve službě Azure SQL Database by mělo být povolené pro povolení provozu ze zadané podsítě. | Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure SQL Database a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. | AuditIfNotExists | 1.0.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Spravovaná instance SQL
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Šifrování klíče spravovaného zákazníkem se musí používat jako součást šifrování CMK pro instance spravované službou Arc SQL. | Jako součást šifrování CMK je potřeba použít šifrování klíče spravovaného zákazníkem. Další informace najdete na adrese https://aka.ms/EnableTDEArcSQLMI. | Audit, zakázáno | 1.0.0 |
| Protokol TLS 1.2 se musí používat pro spravované instance Arc SQL. | V rámci nastavení sítě microsoft doporučuje povolit protokol TLS 1.2 pouze pro protokoly TLS na SQL Serverech. Další informace o nastavení sítě pro SQL Server najdete na adrese https://aka.ms/TlsSettingsSQLServer. | Audit, zakázáno | 1.0.0 |
| transparentní šifrování dat musí být povolené pro spravované instance Arc SQL. | Povolení transparentního šifrování neaktivních uložených dat ve službě SQL Managed Instance s podporou služby Azure Arc Další informace najdete na adrese https://aka.ms/EnableTDEArcSQLMI. | Audit, zakázáno | 1.0.0 |
SQL Server
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Povolení identity přiřazené systémem k virtuálnímu počítači SQL | Povolte identitu přiřazenou systémem ve velkém měřítku na virtuální počítače SQL. Tuto zásadu musíte přiřadit na úrovni předplatného. Přiřazení na úrovni skupiny prostředků nebude fungovat podle očekávání. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| Nakonfigurujte servery s podporou arc s nainstalovaným rozšířením SQL Serveru a povolte nebo zakažte hodnocení osvědčených postupů SQL. | Povolte nebo zakažte hodnocení osvědčených postupů SQL na instancích SQL Serveru na serverech s podporou Arc a vyhodnoťte osvědčené postupy. Další informace najdete na adrese https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, zakázáno | 1.0.1 |
| Přihlaste se k odběru opravňujících instancí SQL Serverů s podporou arc k rozšířenému Aktualizace zabezpečení. | Přihlaste se k odběru oprávněných instancí SQL Serverů s podporou arc s typem licence nastaveným na placené nebo průběžné platby pro rozšířenou Aktualizace zabezpečení. Další informace o rozšířených aktualizacích https://go.microsoft.com/fwlink/?linkid=2239401zabezpečení . | DeployIfNotExists, zakázáno | 1.0.0 |
Stack HCI
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Servery Azure Stack HCI by měly mít konzistentně vynucené zásady řízení aplikací. | Minimálně použijte základní zásadu Microsoft WDAC v vynuceném režimu na všech serverech Azure Stack HCI. Použité zásady řízení aplikací v programu Windows Defender (WDAC) musí být konzistentní na serverech ve stejném clusteru. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Servery Azure Stack HCI by měly splňovat požadavky na zabezpečené jádro. | Ujistěte se, že všechny servery Azure Stack HCI splňují požadavky na zabezpečené jádro. Povolení požadavků na server se zabezpečeným jádrem: 1. Na stránce clusterů Azure Stack HCI přejděte do centra Windows Správa Center a vyberte Připojení. 2. Přejděte na rozšíření Zabezpečení a vyberte Zabezpečené jádro. 3. Vyberte libovolné nastavení, které není povoleno, a klikněte na Povolit. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Systémy Azure Stack HCI by měly mít šifrované svazky. | Pomocí BitLockeru můžete šifrovat operační systém a datové svazky v systémech Azure Stack HCI. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Sítě hostitelů a virtuálních počítačů by měly být chráněné v systémech Azure Stack HCI. | Ochrana dat v Azure Stack HCI hostuje síť a připojení k síti virtuálních počítačů. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
Úložiště
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Svazky SMB služby Azure NetApp Files by měly používat šifrování SMB3. | Zákaz vytváření svazků SMB bez šifrování SMB3 za účelem zajištění integrity dat a ochrany osobních údajů dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Svazky Azure NetApp Files typu NFSv4.1 by měly používat šifrování dat Kerberos. | Povolte použití režimu zabezpečení protokolu Kerberos (5p), aby se zajistila šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Svazky Azure NetApp Files typu NFSv4.1 by měly používat integritu dat Kerberos nebo ochranu osobních údajů | Ujistěte se, že je vybrána alespoň integrita protokolu Kerberos (krb5i) nebo ochrana osobních údajů protokolu Kerberos (krb5p), aby se zajistila integrita dat a ochrana osobních údajů dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Svazky Azure NetApp Files by neměly používat typ protokolu NFSv3 | Zakázat použití typu protokolu NFSv3, aby se zabránilo nezabezpečenému přístupu ke svazkům. NFSv4.1 s protokolem Kerberos by se měl použít pro přístup ke svazkům NFS, aby se zajistila integrita a šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny objektů blob | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID objektu blob. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny blob_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod blob_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny dfs | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID dfs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny dfs_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu dfs_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny souborů | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID souboru. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny front | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID fronty. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny queue_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod queue_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny tabulek | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod groupID tabulky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny table_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod table_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID webové skupiny | Nakonfigurujte privátní skupinu zón DNS pro přepsání překladu DNS pro privátní koncový bod ID webové skupiny. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny web_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod web_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Synchronizace souborů Azure pro použití privátních zón DNS | Pokud chcete získat přístup k privátním koncovým bodům pro rozhraní prostředků služby synchronizace úložiště z registrovaného serveru, musíte nakonfigurovat DNS tak, aby přeložil správné názvy na privátní IP adresy privátního koncového bodu. Tato zásada vytvoří požadované záznamy zóny Azure Privátní DNS a A pro rozhraní privátních koncových bodů služby synchronizace úložiště. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace Synchronizace souborů Azure s privátními koncovými body | Privátní koncový bod se nasadí pro uvedený prostředek služby synchronizace úložiště. To vám umožní adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP adres sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Existence jednoho nebo více privátních koncových bodů sama o sobě nezakážuje veřejný koncový bod. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro službu Blob Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro službu Blob Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba blob, která chybí, tato nastavení diagnostiky. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro Souborové služby do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Souborovou službu pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud je vytvořená nebo aktualizovaná nějaká souborová služba, která chybí. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro službu Queue Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Queue Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje nějaká služba fronty, která chybí. Poznámka: Tato zásada se neaktivuje při vytváření účtu úložiště a vyžaduje vytvoření úlohy nápravy, aby bylo možné účet aktualizovat. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurace nastavení diagnostiky pro účty úložiště do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro účty úložiště pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje všechny účty úložiště, u kterých chybí toto nastavení diagnostiky. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro Table Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Table Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje nějaká služba table Service, u které chybí tato nastavení diagnostiky. Poznámka: Tato zásada se neaktivuje při vytváření účtu úložiště a vyžaduje vytvoření úlohy nápravy, aby bylo možné účet aktualizovat. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurace zabezpečeného přenosu dat v účtu úložiště | Zabezpečený přenos je možnost, která vynutí účet úložiště přijímat požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtu úložiště pro použití připojení privátního propojení | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na účet úložiště můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů úložiště pro zakázání přístupu k veřejné síti | Pokud chcete zlepšit zabezpečení účtů úložiště, ujistěte se, že nejsou vystavené veřejnému internetu a dají se k nim přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/storageaccountpublicnetworkaccess. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Upravit, zakázáno | 1.0.1 |
| Nakonfigurujte veřejný přístup k účtu úložiště tak, aby se nepovolil. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtu úložiště pro povolení správy verzí objektů blob | Správu verzí úložiště objektů blob můžete povolit, aby se předchozí verze objektu automaticky udržovaly. Pokud je povolená správa verzí objektů blob, můžete získat přístup ke starším verzím objektu blob, abyste obnovili data, pokud jsou upravená nebo odstraněná. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nasazení Defenderu pro úložiště (Classic) v účtech úložiště | Tato zásada povolí Defender for Storage (Classic) u účtů úložiště. | DeployIfNotExists, zakázáno | 1.0.1 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. | Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Úprava – Konfigurace Synchronizace souborů Azure pro zakázání přístupu k veřejné síti | Veřejný koncový bod přístupný z internetu Synchronizace souborů Azure jsou zakázány zásadami vaší organizace. Ke službě Synchronizace úložiště můžete stále přistupovat prostřednictvím jeho privátních koncových bodů. | Upravit, zakázáno | 1.0.0 |
| Úprava – Konfigurace účtu úložiště pro povolení správy verzí objektů blob | Správu verzí úložiště objektů blob můžete povolit, aby se předchozí verze objektu automaticky udržovaly. Pokud je povolená správa verzí objektů blob, můžete získat přístup ke starším verzím objektu blob, abyste obnovili data, pokud jsou upravená nebo odstraněná. Upozorňujeme, že stávající účty úložiště nebudou upraveny tak, aby povolovaly správu verzí služby Blob Storage. Povolení správy verzí úložiště objektů blob budou mít jenom nově vytvořené účty úložiště. | Upravit, zakázáno | 1.0.0 |
| Přístup k veřejné síti by měl být pro Synchronizace souborů Azure zakázaný. | Zakázání veřejného koncového bodu umožňuje omezit přístup k prostředku služby synchronizace úložiště na žádosti určené pro schválené privátní koncové body v síti vaší organizace. Není nic ze své podstaty nezabezpečené o povolení požadavků na veřejný koncový bod, ale můžete chtít zakázat jeho splnění zákonných, právních nebo organizačních zásad. Veřejný koncový bod pro službu synchronizace úložiště můžete zakázat nastavením příchozítrafficPolicy prostředku na AllowVirtualNetworksOnly. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Queue Storage by pro šifrování měl používat klíč spravovaný zákazníkem. | Zabezpečte úložiště front s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory šifrování účtu úložiště by měly používat dvojité šifrování neaktivních uložených dat. | Pokud chcete přidat zabezpečení, povolte šifrování infrastruktury pro šifrování neaktivních rozsahů šifrování účtu úložiště. Šifrování infrastruktury zajišťuje, že se vaše data šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Platnost klíčů účtu úložiště by neměla vypršená. | Ujistěte se, že po nastavení zásad vypršení platnosti klíče nevypršela platnost klíčů účtu uživatele, aby se zlepšilo zabezpečení klíčů účtu provedením akce při vypršení platnosti klíčů. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly být omezené povolenými skladovými jednotkami | Omezte sadu skladových položek účtu úložiště, které může vaše organizace nasadit. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zakázat přístup k veřejné síti | Pokud chcete zlepšit zabezpečení účtů úložiště, ujistěte se, že nejsou vystavené veřejnému internetu a dají se k nim přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/storageaccountpublicnetworkaccess. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly mít nakonfigurované zásady sdíleného přístupového podpisu (SAS). | Ujistěte se, že účty úložiště mají povolené zásady vypršení platnosti sdíleného přístupového podpisu (SAS). Uživatelé používají SAS k delegování přístupu k prostředkům v účtu Azure Storage. Zásady vypršení platnosti SAS navíc doporučují horní limit vypršení platnosti, když uživatel vytvoří token SAS. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly mít zadanou minimální verzi protokolu TLS. | Nakonfigurujte minimální verzi protokolu TLS pro zabezpečenou komunikaci mezi klientskou aplikací a účtem úložiště. Aby se minimalizovalo riziko zabezpečení, doporučená minimální verze protokolu TLS je nejnovější vydaná verze, což je aktuálně TLS 1.2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zabránit replikaci objektů mezi tenanty | Audit omezení replikace objektů pro váš účet úložiště Ve výchozím nastavení můžou uživatelé nakonfigurovat replikaci objektů se zdrojovým účtem úložiště v jednom tenantovi Azure AD a cílovým účtem v jiném tenantovi. Jedná se o bezpečnostní problém, protože data zákazníka je možné replikovat do účtu úložiště, který vlastní zákazník. Nastavením allowCrossTenantReplication na false je možné nakonfigurovat replikaci objektů pouze v případě, že jsou zdrojové i cílové účty ve stejném tenantovi Azure AD. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zabránit přístupu ke sdíleným klíčům | Audit požadavků azure Active Directory (Azure AD) na autorizaci požadavků na váš účet úložiště Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace nabízí autorizace přes Azure AD vyšší zabezpečení a snadnější použití než autorizace pomocí sdíleného klíče, a proto ji Microsoft doporučuje. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Table Storage by pro šifrování měla používat klíč spravovaný zákazníkem. | Zabezpečte úložiště tabulek s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
Stream Analytics
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. | Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Úloha Stream Analytics by se měla připojit k důvěryhodným vstupům a výstupům. | Ujistěte se, že úlohy Stream Analytics nemají libovolná vstupní nebo výstupní připojení, která nejsou definovaná v seznamu povolených. Tím zkontrolujete, že úlohy Stream Analytics nevyfiltrují data připojením k libovolným jímce mimo vaši organizaci. | Odepřít, zakázáno, auditovat | 1.1.0 |
| Úloha Stream Analytics by měla používat spravovanou identitu k ověřování koncových bodů. | Ujistěte se, že se úlohy Stream Analytics připojují jenom ke koncovým bodům pomocí ověřování spravované identity. | Odepřít, zakázáno, auditovat | 1.0.0 |
Synapse
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování v pracovním prostoru Synapse by mělo být povolené. | Auditování pracovního prostoru Synapse by mělo být povolené ke sledování databázových aktivit ve všech databázích ve vyhrazených fondech SQL a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vyhrazené fondy SQL služby Azure Synapse Analytics by měly povolit šifrování. | Povolení transparentního šifrování dat pro vyhrazené fondy SQL služby Azure Synapse Analytics za účelem ochrany neaktivních uložených dat a splnění požadavků na dodržování předpisů Upozorňujeme, že povolení transparentního šifrování dat pro fond může mít vliv na výkon dotazů. Další podrobnosti můžou odkazovat na https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, zakázáno | 1.0.0 |
| SQL Server pracovního prostoru Azure Synapse by měl používat protokol TLS verze 1.2 nebo novější. | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajistíte, že k SQL serveru pracovního prostoru Azure Synapse bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Synapse by měly umožňovat odchozí přenos dat pouze schváleným cílům. | Zvyšte zabezpečení pracovního prostoru Synapse tím, že povolíte odchozí přenos dat jenom schváleným cílům. To pomáhá předejít exfiltraci dat tím, že před odesláním dat ověřuje cíl. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Pracovní prostory Azure Synapse by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostor Synapse není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení pracovních prostorů Synapse. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Konfigurace vyhrazené verze protokolu TLS pracovního prostoru Azure Synapse | Zákazníci můžou zvýšit nebo snížit minimální verzi protokolu TLS pomocí rozhraní API pro nové pracovní prostory Synapse nebo existující pracovní prostory. Uživatelé, kteří potřebují používat nižší verzi klienta v pracovních prostorech, se můžou připojit, zatímco uživatelé, kteří mají požadavek na zabezpečení, můžou zvýšit minimální verzi protokolu TLS. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Upravit, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Azure Synapse pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro váš pracovní prostor Synapse, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Upravit, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Azure Synapse tak, aby používaly privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovního prostoru Azure Synapse. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace pracovních prostorů Azure Synapse s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovních prostorů Azure Synapse můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Synapse tak, aby byly povolené auditování | Aby se zajistilo, že se zaznamenávají operace s vašimi prostředky SQL, měly by pracovní prostory Synapse mít povolené auditování. To se někdy vyžaduje pro dodržování regulačních standardů. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace pracovních prostorů Synapse tak, aby byly povolené auditování v pracovním prostoru služby Log Analytics | Aby se zajistilo, že se zaznamenávají operace s vašimi prostředky SQL, měly by pracovní prostory Synapse mít povolené auditování. Pokud auditování není povolené, tato zásada nakonfiguruje události auditování tak, aby proudily do zadaného pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Synapse tak, aby pro ověřování používaly pouze identity Microsoft Entra | Vyžadovat a překonfigurovat pracovní prostory Synapse tak, aby používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Brání povolení místního ověřování a opětovné povolení ověřování Microsoft Entra-only u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Upravit, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Synapse tak, aby při vytváření pracovního prostoru používaly pouze identity Microsoft Entra pro ověřování | Vyžadovat a překonfigurovat pracovní prostory Synapse tak, aby se vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Upravit, zakázáno | 1.2.0 |
| Pravidla brány firewall protokolu IP v pracovních prostorech Azure Synapse by se měla odebrat. | Odebrání všech pravidel brány firewall protokolu IP zlepšuje zabezpečení tím, že zajišťuje, aby k vašemu pracovnímu prostoru Azure Synapse bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace audituje vytváření pravidel brány firewall, která umožňují přístup k veřejné síti v pracovním prostoru. | Audit, zakázáno | 1.0.0 |
| Měla by být povolena virtuální síť spravovaného pracovního prostoru v pracovních prostorech Azure Synapse. | Povolením virtuální sítě spravovaného pracovního prostoru zajistíte, že je váš pracovní prostor izolovaný od jiných pracovních prostorů. Integrace dat a prostředky Sparku nasazené v této virtuální síti také poskytují izolaci na úrovni uživatele pro aktivity Sparku. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Privátní koncové body spravované službou Synapse by se měly připojovat jenom k prostředkům ve schválených tenantech Azure Active Directory. | Chraňte pracovní prostor Synapse tím, že povolíte připojení jenom k prostředkům ve schválených tenantech Azure Active Directory (Azure AD). Schválené tenanty Azure AD je možné definovat během přiřazování zásad. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Nastavení auditování pracovního prostoru Synapse by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | Aby se zajistilo, že protokoly auditu jsou co nejdůkladnější, musí vlastnost AuditActionsAndGroups obsahovat všechny relevantní skupiny. Doporučujeme přidat aspoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP a BATCH_COMPLETED_GROUP. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pracovní prostory Synapse by měly mít povolené ověřování pouze Microsoft Entra. | Vyžadovat, aby pracovní prostory Synapse používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Synapse by měly při vytváření pracovního prostoru používat pouze identity Microsoft Entra pro ověřování. | Vyžadovat, aby se pracovní prostory Synapse vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.2.0 |
| Pracovní prostory Synapse s auditem SQL do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyšším | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL pracovního prostoru Synapse na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 2.0.0 |
| V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Zásady systému
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolené oblasti nasazení prostředků | Tato zásada udržuje sadu nejlepších dostupných oblastí, ve kterých může vaše předplatné nasazovat prostředky. Cílem této zásady je zajistit, aby vaše předplatné získalo úplný přístup ke službám Azure s optimálním výkonem. Pokud potřebujete další nebo jiné oblasti, obraťte se na podporu. | deny | 1.0.0 |
Značky
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidat značku do skupin prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky přidají zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Přidat značku do prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Značky ve skupinách prostředků se neupravují. | modify (úprava) | 1.0.0 |
| Přidání značky k předplatným | Přidá zadanou značku a hodnotu do předplatných prostřednictvím úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
| Přidat nebo nahradit značku ve skupinách prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků přidají nebo nahradí zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Přidat nebo nahradit značku v prostředcích | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Značky ve skupinách prostředků se neupravují. | modify (úprava) | 1.0.0 |
| Přidání nebo nahrazení značky u předplatných | Přidá nebo nahradí zadanou značku a hodnotu u předplatných prostřednictvím úlohy nápravy. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
| Připojit značku a její hodnotu ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a její hodnotu ze skupiny prostředků. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu ke skupinám prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky skupin prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto skupin prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu k prostředkům | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. Tyto zásady se nevztahují na skupiny prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.1 |
| Zdědit značku ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Zdědit značku ze skupiny prostředků, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Zdědit značku z předplatného | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Zdědit značku z předplatného, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Vyžadovat značku a její hodnotu ve skupinách prostředků | Tyto zásady vynucují požadovanou značku a její hodnotu ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku a její hodnotu v prostředcích | Tyto zásady vynucují požadovanou značku a její hodnotu. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
| Vyžadovat značku ve skupinách prostředků | Tyto zásady vynucují existenci značky ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku v prostředcích | Tyto zásady vynucují existenci značky. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
| Vyžaduje, aby prostředky neměly určitou značku. | Odmítne vytvoření prostředku, který obsahuje danou značku. Tyto zásady se nevztahují na skupiny prostředků. | Audit, Odepřít, Zakázáno | 2.0.0 |
Důvěryhodné spuštění
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Disky a image operačního systému by měly podporovat TrustedLaunch | TrustedLaunch zlepšuje zabezpečení virtuálního počítače, který vyžaduje podporu image disku a operačního systému operačního systému (Gen 2). Další informace o TrustedLaunch najdete na stránce https://aka.ms/trustedlaunch | Audit, zakázáno | 1.0.0 |
| Virtuální počítač by měl mít povolenou funkci TrustedLaunch. | Povolte na virtuálním počítači trustedLaunch pro lepší zabezpečení, použijte skladovou položku virtuálního počítače (Gen 2), která podporuje TrustedLaunch. Další informace o TrustedLaunch najdete na stránce https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, zakázáno | 1.0.0 |
Virtuální enklávy
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Nakonfigurujte účty úložiště tak, aby omezovaly síťový přístup pouze prostřednictvím konfigurace vynechat seznam ACL sítě. | Pokud chcete zlepšit zabezpečení účtů úložiště, povolte přístup pouze prostřednictvím obejití seznamu ACL sítě. Tato zásada by se měla používat v kombinaci s privátním koncovým bodem pro přístup k účtu úložiště. | Upravit, zakázáno | 1.0.0 |
| Nepovolit vytváření typů prostředků mimo seznam povolených | Tato zásada brání nasazení typů prostředků mimo explicitně povolené typy, aby se zachovalo zabezpečení ve virtuální enklávě. https://aka.ms/VirtualEnclaves | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolit vytváření zadaných typů prostředků nebo typů v rámci konkrétních poskytovatelů | Poskytovatelé prostředků a typy zadané prostřednictvím seznamu parametrů nesmí být vytvořeny bez explicitního schválení od týmu zabezpečení. Pokud je přiřazení zásady udělenou výjimkou, je možné prostředek využít v rámci enklávy. https://aka.ms/VirtualEnclaves | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla být připojená ke schválené podsíti schválené virtuální sítě. | Tato zásada blokuje připojení síťových rozhraní k virtuální síti nebo podsíti, která nejsou schválena. https://aka.ms/VirtualEnclaves | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti pouze prostřednictvím konfigurace vynechat seznam ACL sítě. | Pokud chcete zlepšit zabezpečení účtů úložiště, povolte přístup pouze prostřednictvím obejití seznamu ACL sítě. Tato zásada by se měla používat v kombinaci s privátním koncovým bodem pro přístup k účtu úložiště. | Audit, Odepřít, Zakázáno | 1.0.0 |
VM Image Builder
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Web PubSub
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Web PubSub by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure Web PubSub nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení služby Azure Web PubSub. Další informace najdete tady: https://aka.ms/awps/networkacls. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Web PubSub by měla povolit diagnostické protokoly. | Audit povolení diagnostických protokolů To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Web PubSub by měla mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure Web PubSub service pro ověřování výhradně vyžadovala identity Azure Active Directory. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Web PubSub by měla používat skladovou položku, která podporuje privátní propojení. | S podporovanou skladovou jednotkou umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Web PubSub Pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše služba Azure Web PubSub pro ověřování výhradně vyžadovala identity Azure Active Directory. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Web PubSub Pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek Azure Web PubSub, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/awps/networkacls. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služby Azure Web PubSub pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do služby Azure Web PubSub. Další informace najdete tady: https://aka.ms/awps/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Web PubSub Service s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na službu Azure Web PubSub můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.