Definiciones integradas de Azure Policy para Azure Storage

Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure Storage. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.

El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.

Microsoft.Storage

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Versión preliminar]: configuración de la copia de seguridad de cuentas de almacenamiento de blobs con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: configuración de la copia de seguridad de blobs para todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén de copia de seguridad de la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: [Versión preliminar]: no se debe permitir el acceso público a la cuenta de almacenamiento El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. audit, Audit, deny, Deny, disabled, Disabled 3.1.0: versión preliminar
Azure File Sync debe usar Private Link Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. AuditIfNotExists, Disabled 1.0.0
Configurar Azure File Sync con puntos de conexión privados Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. DeployIfNotExists, Disabled 1.0.0
Configurar ajustes de diagnóstico para Blob Services en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Blob Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Blob Service a la que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los servicios de archivos en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Servicios de archivo para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de archivos al que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los servicios de cola en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para los servicios de cola para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de cola al que le falta esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Establecer la configuración de diagnóstico de las cuentas de almacenamiento en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de las Cuentas de almacenamiento para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier cuenta de almacenamiento a la que falte dicha configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configurar los ajustes de diagnóstico para los Servicios de tablas en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de los Servicios de tablas para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia del Servicio de tablas a la que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Configuración de la transferencia segura de datos en una cuenta de almacenamiento La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Modificar, Deshabilitado 1.0.0
Configurar la cuenta de almacenamiento para usar una conexión de vínculo privado Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. DeployIfNotExists, Disabled 1.0.0
Configuración de las cuentas de almacenamiento para deshabilitar el acceso desde la red pública Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.1
Configurar el acceso público de la cuenta de almacenamiento para que no esté permitido El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. Modificar, Deshabilitado 1.0.0
Implementar Advanced Threat Protection en las cuentas de almacenamiento Esta directiva habilita Advanced Threat Protection en las cuentas de almacenamiento. DeployIfNotExists, Disabled 1.0.0
El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. Audit, Disabled 1.0.0
Las cuentas de HPC Cache deben usar la clave administrada por el cliente para el cifrado Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Disabled, Deny 2.0.0
Modificación: configurar Azure File Sync para deshabilitar el acceso a la red pública La directiva de la organización deshabilita el punto de conexión público accesible a Internet de Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. Modificar, Deshabilitado 1.0.0
El acceso a las redes públicas debe estar deshabilitado para Azure File Sync Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0
Queue Storage debería usar la clave administrada por el cliente para el cifrado Proteja su instancia de Queue Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Deny, Disabled 1.0.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Los ámbitos de cifrado de la cuenta de almacenamiento deben usar el cifrado doble para los datos en reposo. Habilite el cifrado de infraestructura para el cifrado en reposo de los ámbitos de cifrado de la cuenta de almacenamiento para mayor seguridad. El cifrado de infraestructura garantiza que los datos se cifren dos veces. Audit, Deny, Disabled 1.0.0
Las claves de la cuenta de almacenamiento no deben haber expirado Asegúrese de que las claves de la cuenta de almacenamiento del usuario no hayan expirado cuando la directiva de expiración de claves esté establecida; con el fin de mejorar la seguridad de las claves de cuenta, adopte medidas cuando estas expiren. Audit, Deny, Disabled 3.0.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento se deben limitar por SKU permitidas Restrinja el conjunto de SKU de cuenta de almacenamiento que la organización puede implementar. Audit, Deny, Disabled 1.1.0
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben deshabilitar el acceso desde la red pública Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.1
Las cuentas de almacenamiento deben tener un cifrado de infraestructura Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben tener configuradas directivas de firma de acceso compartido (SAS) Asegúrese de que las cuentas de almacenamiento tengan habilitada la directiva de expiración de firma de acceso compartido (SAS). Los usuarios utilizan una SAS para delegar el acceso a los recursos de la cuenta de Azure Storage. Además, la directiva de expiración de SAS recomienda un límite de expiración superior cuando un usuario crea un token de SAS. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben tener la versión mínima de TLS especificada Configure una versión mínima de TLS para la comunicación segura entre la aplicación cliente y la cuenta de almacenamiento. Para minimizar el riesgo de seguridad, la versión mínima recomendada de TLS es la versión más reciente publicada, que actualmente es TLS 1.2. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben evitar la replicación de objetos entre inquilinos Realice una auditoría de la restricción de replicación de objetos de la cuenta de almacenamiento. De manera predeterminada, los usuarios pueden configurar la replicación de objetos con una cuenta de almacenamiento de origen en un inquilino de Azure AD y una cuenta de destino en un inquilino diferente. Se trata de un problema de seguridad porque los datos del cliente se pueden replicar en una cuenta de almacenamiento propiedad del cliente. Al establecer el valor de allowCrossTenantReplication en false, la replicación de objetos solo se puede configurar si las cuentas de origen y de destino están en el mismo inquilino de Azure AD. Audit, Deny, Disabled 1.0.0
Las cuentas de almacenamiento deben evitar el acceso a claves compartidas Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso a través de la clave compartida y es el que Microsoft recomienda. Audit, Deny, Disabled 1.0.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. Audit, Deny, Disabled 1.0.1
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Disabled 1.0.3
Las cuentas de almacenamiento deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Table Storage debería usar una clave administrada por el cliente para el cifrado Proteja su instancia de Table Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Deny, Disabled 1.0.0

Microsoft.StorageCache

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de HPC Cache deben usar la clave administrada por el cliente para el cifrado Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Disabled, Deny 2.0.0

Microsoft.StorageSync

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure File Sync debe usar Private Link Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. AuditIfNotExists, Disabled 1.0.0
Configurar Azure File Sync con puntos de conexión privados Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. DeployIfNotExists, Disabled 1.0.0
Modificación: configurar Azure File Sync para deshabilitar el acceso a la red pública La directiva de la organización deshabilita el punto de conexión público accesible a Internet de Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. Modificar, Deshabilitado 1.0.0
El acceso a las redes públicas debe estar deshabilitado para Azure File Sync Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0

Microsoft.ClassicStorage

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Pasos siguientes