Azure-tárolóregisztrációs adatbázisok megfelelőségének naplózása az Azure Policy használatával
Az Azure Policy egy azure-beli szolgáltatás, amellyel szabályzatdefiníciókat hozhat létre, rendelhet hozzá és kezelhet. Ezek a szabályzatdefiníciók különböző szabályokat és hatásokat kényszerítenek ki az erőforrásokra, így ezek az erőforrások megfelelnek a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek.
Ez a cikk az Azure Container Registry beépített szabályzatdefinícióit ismerteti. Ezekkel a definíciókkal naplózhatja az új és a meglévő regisztrációs adatbázisokat a megfelelőség érdekében.
Az Azure Policy használata díjmentes.
Beépített szabályzatdefiníciók
A következő beépített szabályzatdefiníciók az Azure Container Registryre vonatkoznak:
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Előzetes verzió]: A tárolóregisztrációs adatbázisnak zónaredundánsnak kell lennie | A tárolóregisztrációs adatbázis zónaredundánsként konfigurálható. Ha egy tárolóregisztrációs adatbázis zoneRedundancy tulajdonsága "Letiltva" értékre van állítva, az azt jelenti, hogy a beállításjegyzék nem zónaredundáns. A szabályzat kényszerítésével biztosítható, hogy a tárolóregisztrációs adatbázis megfelelően legyen konfigurálva a zóna rugalmassága érdekében, ezáltal csökkentve a zónakimaradások során az állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
[Előzetes verzió]: A tárolóregisztrációs adatbázisnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0-előzetes verzió |
Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | AuditIfNotExists, Disabled | 1.0.1 |
Konfigurálja a tárolóregisztrációs adatbázisokat a névtelen hitelesítés letiltásához. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhesse hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
Konfigurálja a tárolóregisztrációs adatbázisokat az ARM-célközönség jogkivonat-hitelesítésének letiltásához. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
Konfigurálja a tárolóregisztrációs adatbázisokat a helyi rendszergazdai fiók letiltásához. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.1 |
Tárolóregisztrációs adatbázisok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a tárolóregisztrációs adatbázis-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Módosítás, letiltva | 1.0.0 |
Konfigurálja a tárolóregisztrációs adatbázisokat az adattár hatókörű hozzáférési jogkivonatának letiltásához. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
Tárolóregisztrációs adatbázisok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a prémium szintű tárolóregisztrációs adatbázis erőforrásaihoz, csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/privateendpoints és https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
A tárolóregisztrációs adatbázisokban le kell tiltani a névtelen hitelesítést. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhessenek hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisokban le kell tiltani az ARM-célközönség jogkivonatának hitelesítését. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisoknak le kell tiltani az exportálást | Az exportálás letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a regisztrációs adatbázisban lévő adatok kizárólag az adatsíkon (docker pull) keresztül férhessenek hozzá. Az adatok nem helyezhetők át a beállításjegyzékből "acr import" vagy "acr transfer" használatával. Az exportálás letiltásához le kell tiltani a nyilvános hálózati hozzáférést. További információ: https://aka.ms/acr/export-policy. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisokban le kell tiltani a helyi rendszergazdai fiókot. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.1 |
A tárolóregisztrációs adatbázisoknak le kell tiltani az adattár hatókörű hozzáférési jogkivonatát. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisoknak olyan termékváltozatokkal kell rendelkezniük, amelyek támogatják a privát hivatkozásokat | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgás kockázata csökken. További információ: https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
A tárolóregisztrációs adatbázisoknak meg kell akadályoznia a gyorsítótárszabály létrehozását | Tiltsa le az Azure Container Registry gyorsítótárszabályainak létrehozását a gyorsítótár lekérésének megakadályozása érdekében. További információ: https://aka.ms/acr/cache. | Naplózás, megtagadás, letiltva | 1.0.0 |
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a tárolóregisztrációs eseményközpontba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Naplózás engedélyezése kategóriacsoportonként tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/registries) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/regiszries) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs tárfiókba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
A nyilvános hálózati hozzáférést le kell tiltani a tárolóregisztrációs adatbázisok esetében | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok nem érhetők el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a tárolóregisztrációs adatbázis erőforrásainak kitettségét. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
Szabályzat-hozzárendelések létrehozása
- Szabályzat-hozzárendelések létrehozása az Azure Portal, az Azure CLI, a Resource Manager-sablon vagy az Azure Policy SDK-k használatával.
- Szabályzat-hozzárendelés hatóköre erőforráscsoportra, előfizetésre vagy Azure felügyeleti csoportra. A tárolóregisztrációs szabályzat hozzárendelései a hatókörön belül meglévő és új tárolóregisztrációs adatbázisokra vonatkoznak.
- A szabályzatkényszerítés engedélyezése vagy letiltása bármikor.
Feljegyzés
A szabályzat-hozzárendelés létrehozása vagy frissítése után a hozzárendelés egy ideig tart, amíg kiértékeli a megadott hatókörben lévő erőforrásokat. A szabályzat-kiértékelési eseményindítókkal kapcsolatos információk megtekintése.
Szabályzatmegfelelés áttekintése
A szabályzat-hozzárendelések által létrehozott megfelelőségi információk elérése az Azure Portal, az Azure parancssori eszközei vagy az Azure Policy SDK-k használatával. További információ: Azure-erőforrások megfelelőségi adatainak lekérése.
Ha egy erőforrás nem megfelelő, annak számos oka lehet. A változás okának megállapításához vagy a felelős változás megtalálásához lásd : Meg nem felelés meghatározása.
Szabályzatmegfelelőség a portálon:
Válassza a Minden szolgáltatás lehetőséget, és keresse meg a Szabályzatot.
Válassza a Megfelelőség lehetőséget.
A szűrőkkel korlátozhatja a megfelelőségi állapotokat, vagy szabályzatokat kereshet.
Válasszon ki egy szabályzatot az összesített megfelelőségi adatok és események áttekintéséhez. Ha szükséges, válasszon egy adott beállításjegyzéket az erőforrás-megfelelőséghez.
Szabályzatmegfelelés az Azure CLI-ben
Az Azure CLI használatával is lekérheti a megfelelőségi adatokat. Használja például az az policy assignment list parancsot a parancssori felületen az alkalmazott Azure Container Registry-szabályzatok szabályzatazonosítóinak lekéréséhez:
az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table
Példa a kimenetre:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK) /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a
Ezután futtassa az az policy state list parancsot az adott szabályzatazonosító alá tartozó összes erőforrás JSON-formátumú megfelelőségi állapotának visszaadásához:
az policy state list \
--resource <policyID>
Vagy futtassa az az policy state list parancsot egy adott beállításerőforrás JSON-formátumú megfelelőségi állapotának visszaadásához, például a myregistryhez:
az policy state list \
--resource myregistry \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \
--resource-group myresourcegroup
Következő lépések
További információ az Azure Policy definícióiról és hatásairól.