Integrierte Azure Policy-Definitionen für Azure Batch
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Batch. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure Batch
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein. | Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Für Batch-Konten sollten die lokalen Authentifizierungsmethoden deaktiviert sein. | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Batch-Konten für die Deaktivierung der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Batch-Konten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | Modify, Disabled | 1.0.0 |
| Batch-Konten mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Batch-Konten können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Batch-Konto in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Batch-Konto in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) zum Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Für Batch-Konten müssen Warnungsregeln für Metriken konfiguriert sein | Hiermit wird die Konfiguration von Metrikwarnungsregeln für ein Batch-Konto überwacht, um die erforderliche Metrik zu aktivieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Batch-Konten müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| Öffentlicher Netzwerkzugriff muss für Batch-Konten deaktiviert sein | Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.