Beépített Azure Policy-definíciók Azure-alkalmazás konfigurációhoz
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe Azure-alkalmazás konfigurációhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure App Configuration
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alkalmazáskonfigurációnak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://aka.ms/appconfig/private-endpoint. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az alkalmazáskonfigurációnak ügyfél által felügyelt kulcsot kell használnia | Az ügyfél által kezelt kulcsok fokozott adatvédelmet biztosítanak, lehetővé téve a titkosítási kulcsok kezelését. Ez gyakran szükséges a megfelelőségi követelmények teljesítéséhez. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az alkalmazáskonfigurációnak olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Támogatott termékváltozat használata esetén az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az alkalmazáskonfigurációnak georeplikációt kell használnia | A georeplikációs funkcióval replikákat hozhat létre az aktuális konfigurációs tár más pontjain a nagyobb rugalmasság és rendelkezésre állás érdekében. Emellett a többrégiós replikák lehetővé teszi a terhelés jobb elosztását, a késés csökkentését, az adatközpontok leállása elleni védelmet, valamint a globálisan elosztott számítási feladatok szétosztását. További információ: https://aka.ms/appconfig/geo-replication. | AuditIfNotExists, Disabled | 1.0.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az alkalmazáskonfigurációs áruházakban le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Configuration-tárolók kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://go.microsoft.com/fwlink/?linkid=2161954. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Alkalmazáskonfigurációs tárolók konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az alkalmazáskonfigurációs tárolók kizárólag a hitelesítéshez igényelhessenek Microsoft Entra-identitásokat. További információ: https://go.microsoft.com/fwlink/?linkid=2161954. | Módosítás, letiltva | 1.0.1 |
| Alkalmazáskonfiguráció konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az alkalmazáskonfigurációhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez a konfiguráció segít megvédeni őket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások expozícióját. További információ: https://aka.ms/appconfig/private-endpoint. | Módosítás, letiltva | 1.0.0 |
| Privát végpontok konfigurálása az alkalmazáskonfigurációhoz | A privát végpontok lehetővé teszik a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásban vagy a célhelyen. Ha privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, csökken az adatszivárgás kockázata. További információ: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for App Configuration -ba (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy alkalmazáskonfigurációs tárfiókba (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.