Définitions intégrées d’Azure Policy pour le stockage Azure
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Stockage Azure. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Microsoft.Storage
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Sauvegarde Azure doit être activé pour les objets blob de comptes de stockage | Assurez la protection de vos comptes de stockage en activant Sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blobs sur les comptes de stockage avec une balise donnée dans un coffre de sauvegarde existant dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui contiennent une balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blob pour tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
| [Préversion] : Les comptes de stockage doivent être redondants interzone | Les comptes de stockage peuvent être configurés pour être redondants interzones ou non. Si le nom de la référence SKU d’un compte de stockage ne se termine pas par « ZRS » ou son type est « Stockage », il n’est pas redondant interzone. Cette stratégie garantit que vos comptes de stockage utilisent une configuration redondante interzone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure File Sync avec des points de terminaison privés | Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres de diagnostic des services BLOB vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services BLOB pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service BLOB nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de fichiers vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de fichier pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de fichier nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de File d’attente vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de File d'attente pour diffuser en continu des journaux vers un espace de travail Log Analytics quand un service de File d'attente nouveau ou mis à jour n'a pas ces paramètres de diagnostic. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurer les paramètres de diagnostic de comptes de stockage dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des comptes de stockage pour diffuser en continu des journaux à un espace de travail Log Analytics quand n’importe quel compte de stockage nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de table vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de table pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de table nouveau ou mis à jour n'a pas ces paramètres de diagnostic. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurer le transfert sécurisé de données sur un compte de stockage | L’option de sécurisation du transfert oblige le compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Modifier, Désactivé | 1.0.0 |
| Configurer le compte de stockage pour utiliser une connexion de liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte de stockage, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes de stockage pour désactiver l’accès réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Modifier, Désactivé | 1.0.1 |
| Configurez des comptes de stockage pour limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Modifier, Désactivé | 1.0.0 |
| Configurer l’accès public de votre compte de stockage pour qu’il ne soit pas autorisé | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | Modifier, Désactivé | 1.0.0 |
| Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. | Audit, Refuser, Désactivé | 1.0.0 |
| Déployer Defender pour le stockage (Classique) sur des comptes de stockage | Cette stratégie active Defender pour le stockage (classique) sur les comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.1 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) sur Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) sur Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un compte Stockage pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les movers Stockage (microsoft.storagemover/storagemovers) vers Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un Event Hub pour les movers Stockage (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les movers Stockage (microsoft.storagemover/storagemovers) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les movers Stockage (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les movers Stockage (microsoft.storagemover/storagemovers) sur Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un compte de Stockage Stockage movers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
| Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public | Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Modifier – Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. Notez que les comptes de stockage existants ne seront pas modifiés pour activer le contrôle de version du stockage Blob. Seuls les comptes de stockage nouvellement créés disposeront du contrôle de version du stockage Blob activé | Modifier, Désactivé | 1.0.0 |
| L’accès au réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. | Audit, Refuser, Désactivé | 1.0.0 |
| Le stockage file d’attente doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de file d’attente avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
| Les étendues de chiffrement de compte de stockage doivent utiliser le chiffrement double pour les données au repos | Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte de stockage afin de renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clés de compte de stockage ne doivent pas être expirées | Assurez-vous que les clés de compte de stockage utilisateur ne sont pas expirées quand la stratégie d’expiration de clé est définie pour améliorer la sécurité des clés de compte en intervenant quand les clés sont expirées. | Audit, Refuser, Désactivé | 3.0.0 |
| Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent être limités en fonction des références SKU autorisées | Limitez l’ensemble des références SKU de compte de stockage que votre organisation peut déployer. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent désactiver l’accès au réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir des stratégies de signature d’accès partagé (SAP) configurées | Vérifiez que la stratégie d’expiration des signatures d’accès partagé (SAP) est activée pour les comptes de stockage. Les utilisateurs utilisent une signature d’accès partagé pour déléguer l’accès aux ressources dans un compte de stockage Azure. Et la stratégie d’expiration de signature d’accès partagé recommande une limite d’expiration supérieure quand un utilisateur crée un jeton SAP. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir la version TLS minimale spécifiée | Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte de stockage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher la réplication d’objets inter-locataires | Auditez la restriction de la réplication d’objets pour votre compte de stockage. Par défaut, les utilisateurs peuvent configurer la réplication d’objets avec un compte de stockage source dans un locataire Azure AD et un compte de destination dans un autre locataire. Il s’agit d’un problème de sécurité, car les données du client peuvent être répliquées vers un compte de stockage détenu par le client. En affectant à allowCrossTenantReplication la valeur false, la réplication d’objets peut être configurée uniquement si les comptes source et de destination se trouvent dans le même locataire Azure AD. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Exigence d’audit d’Azure AD (Azure Active Directory) pour autoriser les requêtes pour votre compte de stockage. Par défaut, les requêtes peuvent être autorisées soit avec des informations d’identification Azure Active Directory, soit à l’aide de la clé d’accès au compte pour l’autorisation avec clé partagée. Entre ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| Le stockage table doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de table avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
Microsoft.StorageCache
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) sur Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) sur Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un compte Stockage pour les caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
Microsoft.StorageSync
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure File Sync avec des points de terminaison privés | Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. | DeployIfNotExists, Désactivé | 1.0.0 |
| Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public | Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| L’accès au réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. | Audit, Refuser, Désactivé | 1.0.0 |
Microsoft.ClassicStorage
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.