Předdefinované definice azure Policy pro síťové služby Azure
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro síťové služby Azure. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Síťové služby Azure
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Application Gateway by měly být odolné vůči zónám. | Služby Application Gateway je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedno. Application Gatewaysmthat mají další položku v poli zón se považují za zarovnané zóny. Naproti tomu aplikace Gatmways sn3 nebo více položek v poli zón jsou rozpoznány jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace trezorů služby Azure Recovery Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezorů služby Recovery Services. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace trezorů služby Recovery Services pro použití privátních zón DNS pro zálohování | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezoru služby Recovery Services. Další informace najdete tady: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Brány firewall by měly být odolné proti zónám. | Brány firewall je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedna. Brány firewall, které mají v poli zón přesně jednu položku, se považují za zarovnané do zóny. Naproti tomu brány firewall se 3 nebo více položkami v poli zón rozpoznávají jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Nástroje pro vyrovnávání zatížení by měly být odolné vůči zóně. | Nástroje pro vyrovnávání zatížení s jinou skladovou jednotkou než Basic dědí odolnost veřejných IP adres ve svém front-endu. V kombinaci se zásadou "Veřejné IP adresy by měly být odolné vůči zóně", tento přístup zajistí potřebnou redundanci, aby vydržela výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Brána NAT by měla být zarovnaná do zóny. | Bránu NAT je možné nakonfigurovat tak, aby byla zarovnaná do zóny nebo ne. Brána NAT, která má v poli zón přesně jednu položku, se považuje za zarovnanou zónu. Tato zásada zajišťuje, že je služba NAT Gateway nakonfigurovaná tak, aby fungovala v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Veřejné IP adresy by měly být odolné vůči zóně. | Veřejné IP adresy je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedna. Veřejné IP adresy, které jsou regionální, s přesně jednou položkou v poli zón jsou považovány za zarovnané. Naproti tomu veřejné IP adresy, které jsou regionální, s 3 nebo více položkami v poli zón jsou rozpoznány jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.1.0-preview |
| [Preview]: Předpony veřejných IP adres by měly být odolné vůči zóně. | Předpony veřejných IP adres je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní nebo ani jedno. Předpony veřejných IP adres, které mají v poli zón přesně jednu položku, se považují za zarovnané do zóny. Naproti tomu předpony veřejných IP adres se 3 nebo více položkami v poli zón rozpoznávají jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Brány virtuální sítě by měly být zónově redundantní. | Brány virtuální sítě je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Brány virtuální sítě, jejichž název skladové položky nebo vrstva nekončí sadou AZ, nejsou zónově redundantní. Tato zásada identifikuje brány virtuální sítě, které nemají redundanci potřebnou k tomu, aby vydržely výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. | Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 | Audit, zakázáno | 1.0.0 |
| Všechny prostředky protokolu toku by měly být ve stavu povoleného. | Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Konfigurace protokolů toku auditu pro každou virtuální síť | Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Aplikace Azure Gateway by se měla nasadit s Azure WAF | Vyžaduje, aby se prostředky brány Aplikace Azure nasazovaly s Azure WAF. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aplikace Azure Brána by měla mít povolené protokoly prostředků. | Povolte protokoly prostředků pro bránu Aplikace Azure (plus WAF) a streamujte je do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o příchozím webovém provozu a akcích provedených ke zmírnění útoků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
| Zásady brány Azure Firewall by měly povolit kontrolu protokolu TLS v rámci pravidel aplikace. | Povolení kontroly protokolu TLS se doporučuje, aby všechna pravidla aplikace zjistila, upozorňovala a zmírňovala škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Premium by měl nakonfigurovat platný zprostředkující certifikát pro povolení kontroly protokolu TLS. | Nakonfigurujte platný zprostředkující certifikát a povolte kontrolu protokolu TLS služby Azure Firewall Premium, abyste zjistili, upozorňovali a zmírňovali škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Front Door by měla mít povolené protokoly prostředků. | Povolte protokoly prostředků pro Azure Front Door (plus WAF) a streamujte je do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o příchozím webovém provozu a akcích provedených ke zmírnění útoků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Brány Azure VPN by neměly používat skladovou položku Basic. | Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. | Audit, zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Aplikace Azure Gateway by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Aplikace Azure Gateway mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Azure Front Door by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Pro waF služby Aplikace Azure Gateway by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací brány Aplikace Azure Gateway (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro WAF služby Azure Front Door by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací služby Azure Front Door (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Seznam obejití systému detekce a prevence neoprávněných vniknutí (IDPS) by měl být prázdný v zásadách brány firewall Premium. | Seznam obejití systému detekce a prevence neoprávněných vniknutí umožňuje nefiltrovat provoz na žádné IP adresy, rozsahy a podsítě zadané v seznamu obejití. Povolení ZPROSTŘEDKOVATELE IDENTITY se ale doporučuje pro všechny toky provozu, aby bylo možné lépe identifikovat známé hrozby. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny objektů blob | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID objektu blob. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny blob_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod blob_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny dfs | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID dfs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny dfs_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu dfs_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny souborů | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID souboru. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny front | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS privátního koncového bodu groupID fronty. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny queue_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod queue_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny tabulek | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod groupID tabulky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny table_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod table_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID webové skupiny | Nakonfigurujte privátní skupinu zón DNS pro přepsání překladu DNS pro privátní koncový bod ID webové skupiny. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátního ID zóny DNS pro ID skupiny web_secondary | Nakonfigurujte privátní skupinu zón DNS tak, aby přepsala překlad DNS pro privátní koncový bod web_secondary groupID. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikací App Service pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS propojuje virtuální síť se službou App Service. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace oborů služby Azure Arc Private Link pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a překládá se na obory služby Azure Arc Private Link. Další informace najdete tady: https://aka.ms/arc/privatelink. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace účtů Azure Automation s privátními zónami DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Potřebujete správně nakonfigurovanou privátní zónu DNS pro připojení k účtu Azure Automation přes Azure Private Link. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Cache for Redis pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zónu DNS můžete propojit s vaší virtuální sítí a přeložit ji na Azure Cache for Redis. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť, aby se přeložily na službu Azure Cognitive Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovního prostoru Azure Databricks pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Databricks. Další informace najdete tady: https://aka.ms/adbpe. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace služby Azure Device Update pro účty služby IoT Hub pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body služby Device Updatefor IoT Hub. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Synchronizace souborů Azure pro použití privátních zón DNS | Pokud chcete získat přístup k privátním koncovým bodům pro rozhraní prostředků služby synchronizace úložiště z registrovaného serveru, musíte nakonfigurovat DNS tak, aby přeložil správné názvy na privátní IP adresy privátního koncového bodu. Tato zásada vytvoří požadované záznamy zóny Azure Privátní DNS a A pro rozhraní privátních koncových bodů služby synchronizace úložiště. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace clusterů Azure HDInsight pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do clusterů Azure HDInsight. Další informace najdete tady: https://aka.ms/hdi.pl. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Key Vault pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do trezoru klíčů. Další informace najdete tady: https://aka.ms/akvprivatelink. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace pracovního prostoru Azure Machine Učení tak, aby používal privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů azure machine Učení. Další informace najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Grafana spravovaných v Azure pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Managed Grafana. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na účet Media Services. Další informace najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Media Services můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků Azure Migrate pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do projektu Azure Migrate. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oboru služby Private Link služby Azure Monitor pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu do oboru privátního propojení služby Azure Monitor. Další informace najdete tady: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace pracovních prostorů Azure Synapse tak, aby používaly privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovního prostoru Azure Synapse. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace prostředků fondu hostitelů služby Azure Virtual Desktop pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad prostředků Azure Virtual Desktopu. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků pracovního prostoru Služby Azure Virtual Desktop pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad prostředků Azure Virtual Desktopu. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Azure Web PubSub pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do služby Azure Web PubSub. Další informace najdete tady: https://aka.ms/awps/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků BotService pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na prostředky související s BotService. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a překládá se na účty služeb Cognitive Services. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace registrů kontejnerů pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do služby Container Registry. Další informace najdete v: https://aka.ms/privatednszone a https://aka.ms/acr/private-link. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace účtů CosmosDB pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na účet CosmosDB. Další informace najdete tady: https://aka.ms/privatednszone. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace nastavení diagnostiky pro skupiny zabezpečení sítě Azure do pracovního prostoru služby Log Analytics | Nasaďte nastavení diagnostiky do skupin zabezpečení sítě Azure pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace prostředků přístupu k diskům pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad na spravovaný disk. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů centra událostí pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do oborů názvů centra událostí. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace instancí zřizování zařízení služby IoT Hub pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť a přeloží ji na instanci služby zřizování zařízení ioT Hubu. Další informace najdete tady: https://aka.ms/iotdpsvnet. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu | Analýzu provozu je možné povolit pro všechny skupiny zabezpečení sítě hostované v konkrétní oblasti s nastavením poskytovaným během vytváření zásad. Pokud už je povolená analýza provozu, zásady nepřepíšou jeho nastavení. Protokoly toku jsou také povolené pro skupiny zabezpečení sítě, které je nemají. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace skupin zabezpečení sítě pro použití konkrétního pracovního prostoru, účtu úložiště a zásad uchovávání toku pro analýzu provozu | Pokud už má povolenou analýzu provozu, zásada přepíše stávající nastavení pomocí těch, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace privátních zón DNS pro privátní koncové body připojené ke službě App Configuration | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zónu DNS je možné propojit s vaší virtuální sítí za účelem překladu instancí konfigurace aplikací. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace privátních zón DNS pro privátní koncové body, které se připojují ke službě Azure Data Factory | Privátní DNS záznamy umožňují privátní připojení k privátním koncovým bodům. Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Data Factory bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace o privátních koncových bodech a zónách DNS ve službě Azure Data Factory najdete v tématu https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služby Private Link pro Azure AD pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do Azure AD. Další informace najdete tady: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů služby Service Bus pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do oborů názvů služby Service Bus. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace virtuální sítě pro povolení služby Flow Log a Traffic Analytics | Protokoly analýzy provozu a toku je možné povolit pro všechny virtuální sítě hostované v konkrétní oblasti s nastavením poskytnutým během vytváření zásad. Tato zásada nepřepíše aktuální nastavení pro virtuální sítě, které už mají tuto funkci povolenou. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.1 |
| Konfigurace virtuálních sítí pro vynucení pracovního prostoru, účtu úložiště a intervalu uchovávání pro protokoly toku a analýzu provozu | Pokud už má virtuální síť povolenou analýzu provozu, tato zásada přepíše stávající nastavení těmi, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.2 |
| Nasazení – Konfigurace domén Azure Event Grid pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Další informace najdete tady: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Nasazení – Konfigurace témat služby Azure Event Grid pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Další informace najdete tady: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Nasazení – Konfigurace azure IoT Hubs pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body služby IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Nasazení – Konfigurace IoT Central pro použití privátních zón DNS | Azure Privátní DNS poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zóny DNS můžete použít k přepsání překladu DNS pomocí vlastních názvů domén pro privátní koncový bod. Tato zásada nasadí privátní zónu DNS pro privátní koncové body IoT Central. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace privátních zón DNS pro připojení privátních koncových bodů ke službě Azure SignalR | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť za účelem překladu na prostředek služby Azure SignalR. Další informace najdete tady: https://aka.ms/asrs/privatelink. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení – Konfigurace privátních zón DNS pro privátní koncové body, které se připojují k účtům Batch | Privátní DNS záznamy umožňují privátní připojení k privátním koncovým bodům. Připojení privátního koncového bodu umožňují zabezpečenou komunikaci povolením privátního připojení k účtům Batch bez nutnosti veřejných IP adres ve zdroji nebo cíli. Další informace o privátních koncových bodech a zónách DNS ve službě Batch najdete v tématu https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení prostředku protokolu toku s cílovou skupinou zabezpečení sítě | Konfiguruje protokol toku pro konkrétní skupinu zabezpečení sítě. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | deployIfNotExists | 1.1.0 |
| Nasazení prostředku protokolu toku s cílovou virtuální sítí | Konfiguruje protokol toku pro konkrétní virtuální síť. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | DeployIfNotExists, zakázáno | 1.1.1 |
| Nasazení diagnostického Nastavení pro skupiny zabezpečení sítě | Tato zásada automaticky nasadí nastavení diagnostiky do skupin zabezpečení sítě. Účet úložiště s názvem {storagePrefixParameter}{NSGLocation} se vytvoří automaticky. | deployIfNotExists | 2.0.1 |
| Nasazení služby Network Watcher při vytváření virtuálních sítí | Tato zásada vytvoří prostředek sledovacího modulu sítě v oblastech s virtuálními sítěmi. Potřebujete zajistit existenci skupiny prostředků s názvem networkWatcherRG, která se použije k nasazení instancí network watcheru. | DeployIfNotExists | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro bastions (microsoft.network/bastionhosts) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro bránu firewall (microsoft.network/azurefirewalls) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro bránu firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro službu Front Door a profilů CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro profily služby Front Door a CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro profily služby Front Door a CDN (microsoft.network/frontdoors) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro profily služby Front Door a CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro microsoft.network/p2svpngateways do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro veřejné IP adresy (microsoft.network/publicipaddresses) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro veřejné IP adresy (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro brány virtuální sítě (microsoft.network/virtualnetworkgateways) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro brány virtuální sítě (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS na WAF služby Azure Front Door | Pravidlo omezení rychlosti firewallu webových aplikací Azure (WAF) pro Azure Front Door řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit všechna pravidla podpisu IDPS pro monitorování všech příchozích a odchozích toků provozu. | Povolení všech pravidel pro detekci a prevenci neoprávněných vniknutí (IDPS) se doporučuje lépe identifikovat známé hrozby v tocích provozu. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit systém detekce a prevence neoprávněných vniknutí (IDPS). | Povolení systému pro detekci a prevenci neoprávněných vniknutí umožňuje monitorovat síť pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ji a volitelně se ji pokusit zablokovat. Další informace o systému detekce a prevence neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Podsítě brány by neměly být nakonfigurované se skupinou zabezpečení sítě. | Tato zásada odmítne, pokud je podsíť brány nakonfigurovaná se skupinou zabezpečení sítě. Přiřazení skupiny zabezpečení sítě k podsíti brány způsobí, že brána přestane fungovat. | deny | 1.0.0 |
| Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway | Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu budou zásady brány firewall podporovat nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla být připojená ke schválené podsíti schválené virtuální sítě. | Tato zásada blokuje připojení síťových rozhraní k virtuální síti nebo podsíti, která nejsou schválena. https://aka.ms/VirtualEnclaves | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla zakázat předávání IP | Tato zásada zakazuje síťová rozhraní, která povolila předávání IP. Nastavení předávání IP zakáže kontrolu zdroje a cíle síťového rozhraní Azure. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Síťová rozhraní by neměla mít veřejné IP adresy | Tato zásada zakazuje síťová rozhraní, která jsou nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům příchozí komunikaci s prostředky Azure a prostředkům Azure odchozí komunikaci s internetem. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Protokoly toku služby Network Watcher by měly mít povolenou analýzu provozu. | Analýza provozu analyzuje protokoly toku, aby poskytovala přehled o toku provozu ve vašem cloudu Azure. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další. | Audit, zakázáno | 1.0.1 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Veřejné IP adresy by měly mít povolené protokoly prostředků pro Azure DDoS Protection. | Povolte protokoly prostředků pro veřejné IP adresy v nastavení diagnostiky pro streamování do pracovního prostoru služby Log Analytics. Získejte podrobný přehled o provozu útoku a akcích provedených ke zmírnění útoků DDoS prostřednictvím oznámení, sestav a protokolů toků. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Předplatné by mělo nakonfigurovat Azure Firewall Premium tak, aby poskytovalo další vrstvu ochrany. | Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje požadavky vysoce citlivých a regulovaných prostředí. Nasaďte službu Azure Firewall Premium do svého předplatného a ujistěte se, že veškerý provoz služby je chráněný službou Azure Firewall Premium. Další informace o službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-premium | AuditIfNotExists, zakázáno | 1.0.0 |
| Virtuální počítače by měly být připojené ke schválené virtuální síti. | Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální sítě by měly být chráněné službou Azure DDoS Protection. | Chraňte své virtuální sítě před multilicenčními útoky a útoky pomocí služby Azure DDoS Protection. Další informace najdete na adrese https://aka.ms/ddosprotectiondocs. | Úprava, audit, zakázáno | 1.0.1 |
| Virtuální sítě by měly používat zadanou bránu virtuální sítě. | Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že brány VPN Gateway k ověřování používají pouze identity Azure Active Directory. Další informace o ověřování Azure AD najdete na adrese https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl povolit všechna pravidla brány firewall pro službu Application Gateway. | Povolení všech pravidel firewallu webových aplikací (WAF) posiluje zabezpečení vaší aplikace a chrání vaše webové aplikace před běžnými ohroženími zabezpečení. Další informace o firewallu webových aplikací (WAF) se službou Application Gateway najdete v tématu . https://aka.ms/waf-ag | Audit, Odepřít, Zakázáno | 1.0.1 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.