Definiciones integradas de Azure Policy para los servicios de redes de Azure
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para los servicios de redes de Azure. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Servicios de redes de Azure
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de aplicaciones deben ser resistentes a zonas | Las puertas de enlace de aplicaciones se pueden configurar como alineadas con zonas, con redundancia de zona o ninguna de estas opciones. Las puertas de enlace de aplicaciones que tienen exactamente una entrada en su matriz de zonas se consideran alineadas con zonas. En cambio, las puertas de enlace de aplicaciones con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar almacenes de Azure Recovery Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los almacenes de Recovery Services. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configure almacenes de Recovery Services para usar zonas DNS privadas para las copias de seguridad | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el almacén de Recovery Services. Más información en: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: Los firewalls deben ser resistentes a zonas | Los firewalls se pueden configurar como alineados con zonas, con redundancia de zona o ninguna de estas opciones. Los firewalls que tienen exactamente una entrada en su matriz de zonas se consideran alineados con zonas. En cambio, los firewalls con 3 o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los equilibradores de carga deben ser resistentes a zonas | Los equilibradores de carga con una SKU distinta de Básica heredan la resistencia de las direcciones IP públicas en su front-end. Cuando se combina con la directiva "Las direcciones IP públicas deben ser resistentes a zonas", este enfoque garantiza la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: La puerta de enlace NAT debe estar alineada con la zona | La puerta de enlace NAT se puede configurar como alineada con zonas o no. La puerta de enlace NAT que tiene exactamente una entrada en su matriz de zonas se considera alineada con zonas. Esta directiva garantiza que una puerta de enlace NAT esté configurada para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las direcciones IP públicas deben ser resistentes a zonas | Las direcciones IP públicas se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Las direcciones IP públicas que son regionales y tienen exactamente una entrada en su matriz de zonas se consideran como alineadas con zonas. En cambio, las direcciones IP públicas que son regionales y tienen tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: los prefijos de IP pública deben ser resistentes a zonas | Los prefijos de IP pública se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Los prefijos de IP pública que tienen exactamente una entrada en su matriz de zonas se consideran como alineados por zonas. En cambio, los prefijos de IP pública con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de red virtual deben tener redundancia de zona | Las puertas de enlace de red virtual pueden configurarse para tener redundancia de zona o no. Las puertas de enlace de red virtual cuyo nombre o nivel de SKU no termina en "AZ" no son redundantes de zona. Esta directiva identifica las puertas de enlace de red virtual que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. | Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Configuración de registros de flujo de auditoría para cada red virtual | Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Azure Application Gateway debe implementarse con el WAF de Azure | Requiere que los recursos de Azure Application Gateway se implementen con el WAF de Azure. | Audit, Deny, Disabled | 1.0.0 |
| Azure Application Gateway debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Application Gateway (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| La directiva de Azure Firewall debe habilitar la inspección de TLS dentro de las reglas de aplicación | Se recomienda habilitar la inspección de TLS para que todas las reglas de aplicación detecten, alerten y mitiguen la actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Premium debería configurar un certificado intermedio válido para habilitar la inspección de TLS | Configure un certificado intermedio válido y habilite la inspección de TLS de Azure Firewall Premium para detectar, mitigar y alertar por actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Front Door (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de Azure VPN Gateway no deben usar la SKU "básica". | Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". | Audit, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Application Gateway debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Application Gateway tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Front Door debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Front Door tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La protección contra bots debe estar habilitada para el WAF de Azure Application Gateway | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Application Gateway | Audit, Deny, Disabled | 1.0.0 |
| La protección contra bots debe estar habilitada para el WAF de Azure Front Door | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Front Door | Audit, Deny, Disabled | 1.0.0 |
| La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) debe estar vacía en Firewall Policy Premium | La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. Sin embargo, se recomienda habilitar el IDPS para que todos los flujos de tráfico identifiquen mejor las amenazas conocidas. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para file groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado file groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de App Service para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula una red virtual a una instancia de App Service. Más información en: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de ámbitos de Private Link de Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en ámbitos de Private Link de Azure Arc. Más información en: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurar las cuentas de Azure Automation con zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Es necesario que la zona DNS privada esté configurada correctamente para conectarse a la cuenta de Azure Automation a través de la Azure Private Link. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure Cache for Redis para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se puede vincular una zona DNS privada a la red virtual para que se resuelva en Azure Cache for Redis. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver el servicio Azure Cognitive Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configure el área de trabajo de Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las área de trabajo de Azure Databricks. Más información en: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de cuentas de Azure Device Update for IoT Hub para utilizar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de Device Update for IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure File Sync para usar zonas DNS privadas | Para tener acceso a los puntos de conexión privados de las interfaces de recursos del servicio de sincronización de almacenamiento desde un servidor registrado, debe configurar DNS para resolver los nombres correctos en las direcciones IP privadas del punto de conexión privado. Esta directiva crea la zona de DNS privado de Azure y los registros A necesarios para las interfaces de los puntos de conexión privados del servicio de sincronización de almacenamiento. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de clústeres de Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en clústeres de Azure HDInsight. Más información en: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar instancias de Azure Key Vault para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver en el almacén de claves. Más información en: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configure las áreas de trabajo de Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los recursos de Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el proyecto de Azure Migrate. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de su ámbito de Private Link de Azure Monitor para utilizar las zonas de DNS privado | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el ámbito de Private Link de Azure Monitor. Más información en: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las áreas de trabajo de Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver las áreas de trabajo de Azure Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configure los recursos del grupo de hosts de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los recursos del área de trabajo de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el servicio de Azure Web PubSub. Más información en: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los recursos de BotService para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se vincula una zona DNS privada a la red virtual para resolver los recursos relacionados con BotService. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las cuentas de Cognitive Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de las instancias de Container Registry para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en la instancia de Container Registry. Más información en https://aka.ms/privatednszone y https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar las cuentas de CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver la cuenta de CosmosDB. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Definición de la configuración de diagnóstico de los grupos de seguridad de red de Azure para un área de trabajo de Log Analytics | Implemente la configuración de diagnóstico en grupos de seguridad de red de Azure para transmitir registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los recursos de acceso al disco para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el disco administrado. Más información en: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres del centro de eventos para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver los espacios de nombres del centro de eventos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar instancias de aprovisionamiento de dispositivos de IoT Hub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver una instancia de servicio de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar grupos de seguridad de red para habilitar el análisis de tráfico | El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure los grupos de seguridad de red para usar un área de trabajo, una cuenta de almacenamiento y una directiva de retención de registros de flujo específicas para análisis de tráfico | Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurar zonas DNS privadas para puntos de conexión privados conectados a App Configuration | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolver las instancias de configuración de aplicaciones. Más información en: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las zonas DNS privadas para los puntos de conexión privados que se conectan a Azure Data Factory | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de los puntos de conexión privados permiten la comunicación segura al habilitar la conectividad privada con la instancia de Azure Data Factory sin necesidad de direcciones IP públicas en el origen o el destino. Para más información sobre los puntos de conexión privados y las zonas DNS en Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Private Link para que Azure AD use zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver en Azure AD. Más información en: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres de Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los espacios de nombres de Service Bus. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la red virtual para habilitar el registro de flujo y el análisis de tráfico | El análisis de tráfico y el registro de flujo se pueden habilitar para todas las redes virtuales hospedadas en una región determinada con la configuración proporcionada durante la creación de la directiva. Esta directiva no sobrescribe la configuración actual de las redes virtuales que ya tienen habilitada esta característica. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.1 |
| Configuración de redes virtuales para aplicar el área de trabajo, la cuenta de almacenamiento y el intervalo de retención para los registros de flujo y Análisis de tráfico | Si una red virtual ya tiene habilitado el análisis de tráfico, esta directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.2 |
| Implementación: configurar los dominios de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar los temas de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar instancias de Azure IoT Hub para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Implementar: configurar IoT Central para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de zonas DNS privadas para conectar puntos de conexión privados a Azure SignalR Service | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el recurso de Azure SignalR Service. Más información en: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar las zonas DNS privadas de los puntos de conexión privados que se conectan a las cuentas de Batch | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Para obtener más información sobre los puntos de conexión y las zonas DNS privados en Batch, vea https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino | Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | deployIfNotExists | 1.1.0 |
| Implementación de un recurso de registro de flujo con la red virtual de destino | Configura el registro de flujo para una red virtual específica. Permitirá registrar información sobre el flujo de tráfico IP mediante una red virtual. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | DeployIfNotExists, Disabled | 1.1.1 |
| Implementar la configuración de diagnóstico para grupos de seguridad de red | Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". | deployIfNotExists | 2.0.1 |
| Implementar Network Watcher al crear redes virtuales. | Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación de la regla de límite de frecuencia para protegerse frente a ataques DDoS en WAF de Azure Front Door | La regla de límite de frecuencia del firewall de aplicaciones web (WAF) de Azure para Azure Front Door controla el número de solicitudes permitidas desde una IP de cliente determinada a la aplicación durante la duración de la limitación de frecuencia. | Audit, Deny, Disabled | 1.0.0 |
| La directiva de firewall Premium debe habilitar todas las reglas de firma del IDPS para supervisar todos los flujos de tráfico entrante y saliente | Se recomienda habilitar todas las reglas de firma del Sistema de detección y prevención de intrusiones (IDPS) para identificar mejor las amenazas conocidas en los flujos de tráfico. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| La directiva de firewall Premium debería habilitar el Sistema de detección y prevención de intrusiones (IDPS) | Activar el Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla. Para obtener más información sobre el Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. | deny | 1.0.0 |
| Migración de WAF de la configuración de WAF a la directiva de WAF en Application Gateway | Si solo tiene una configuración de WAF en lugar de una directiva de WAF, entonces es posible que quiera cambiar a la nueva directiva de WAF. En el futuro, la directiva de Firewall admitirá la configuración de directiva de WAF, los conjuntos de reglas administrados, las exclusiones y los grupos de reglas deshabilitados. | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben estar conectadas a una subred aprobada de la red virtual aprobada | Esta directiva impide que las interfaces de red se conecten a una red virtual o subred que no esté aprobada. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben deshabilitar el reenvío IP | Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Las interfaces de red no deben tener direcciones IP públicas. | Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las direcciones IP públicas deben tener los registros de recursos habilitados para Azure DDoS Protection. | Habilite los registros de recursos de las direcciones IP públicas en la configuración de diagnóstico para transmitirlos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico de ataque y las acciones realizadas para mitigar los ataques DDoS mediante las notificaciones, informes y registros de flujo. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| La suscripción debería configurar Azure Firewall Premium para proporcionar una capa adicional de protección | Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados. Implemente Azure Firewall Premium en su suscripción y asegúrese de que todo el tráfico del servicio está protegido por Azure Firewall Premium. Para más información sobre Azure Firewall Premium, consulte https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales deben estar conectadas a una red virtual aprobada | Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. | Audit, Deny, Disabled | 1.0.0 |
| Las redes virtuales deben protegerse con Azure DDoS Protection. | Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection. Para más información, visite https://aka.ms/ddosprotectiondocs. | Modificación, auditoría y deshabilitación | 1.0.1 |
| Las redes virtuales deben usar la puerta de enlace de red virtual especificada | Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) debe habilitar todas las reglas de firewall para Application Gateway | Habilitar todas las reglas de Web Application Firewall (WAF) refuerza la seguridad de las aplicaciones y protege las aplicaciones web frente a vulnerabilidades comunes. Para obtener más información sobre Web Application Firewall (WAF) con Application Gateway, visite https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.