Beépített Azure Policy-definíciók az Azure Storage-hoz
Ez a lap az Azure Storage azure policy beépített szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Microsoft.Storage
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell a tárfiókokban lévő blobokhoz | Az Azure Backup engedélyezésével gondoskodjon a tárfiókok védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiókokban lévő blobok biztonsági mentésének konfigurálása egy adott címkével az ugyanabban a régióban lévő meglévő biztonsági mentési tárolóra | Biztonsági mentés kényszerítése minden olyan tárfiókon, amely egy adott címkét tartalmaz egy központi biztonsági mentési tárolóba. Ezzel nagy méretekben kezelheti a több tárfiókban található blobok biztonsági mentését. További részletekért lásd: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Blob biztonsági mentésének konfigurálása az összes olyan tárfiókhoz, amely nem tartalmaz adott címkét az ugyanabban a régióban lévő biztonsági mentési tárolóhoz | Biztonsági mentés kényszerítése minden olyan tárfiókon, amely nem tartalmaz adott címkét a központi biztonsági mentési tárolóban. Ezzel nagy méretekben kezelheti a több tárfiókban található blobok biztonsági mentését. További részletekért lásd: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A tárfiókok zónaredundánsnak kell lenniük | A tárfiókok zónaredundánsként vagy nem zónaredundánsként is konfigurálhatók. Ha egy tárfiók termékváltozatának neve nem "ZRS" végződésű, vagy a típusa "Storage", akkor az nem zónaredundáns. Ez a szabályzat biztosítja, hogy a tárfiókok zónaredundáns konfigurációt használjanak. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure File Sync konfigurálása privát végpontokkal | A rendszer egy privát végpontot helyez üzembe a megadott Storage Sync Service-erőforráshoz. Ez lehetővé teszi, hogy a Storage Sync Service-erőforrást a szervezet hálózatának privát IP-címteréből kezelje, nem pedig az internetről elérhető nyilvános végponton keresztül. Egy vagy több privát végpont megléte önmagában nem tiltja le a nyilvános végpontot. | DeployIfNotExists, Disabled | 1.0.0 |
| A Blob Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Blob Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó blobszolgáltatás létrejön vagy frissül. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A File Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a File Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó fájlszolgáltatás létrejön vagy frissül. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A Queue Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Queue Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó üzenetsor-szolgáltatások létrejönnek vagy frissülnek. Megjegyzés: Ez a szabályzat nem aktiválódik a tárfiók létrehozásakor, és szervizelési feladat létrehozását igényli a fiók frissítéséhez. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Tárolási fiókok diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a storage-fiókok diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó tárfiókok létrejönnek vagy frissülnek. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A Table Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Table Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat nem tartalmazó táblaszolgáltatás létrejön vagy frissül. Megjegyzés: Ez a szabályzat nem aktiválódik a tárfiók létrehozásakor, és szervizelési feladat létrehozását igényli a fiók frissítéséhez. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Adatok biztonságos átvitelének konfigurálása tárfiókon | A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Módosítás, letiltva | 1.0.0 |
| Tárfiók konfigurálása privát kapcsolati kapcsolat használatára | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok tárfiókhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Tárfiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | A tárfiókok biztonságának javítása érdekében győződjön meg arról, hogy azok nem érhetők el a nyilvános interneten, és csak privát végpontról érhetők el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/storageaccountpublicnetworkaccessleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Módosítás, letiltva | 1.0.1 |
| Konfigurálja a tárfiókokat úgy, hogy csak a hálózati ACL-megkerülési konfiguráción keresztül korlátozza a hálózati hozzáférést. | A tárfiókok biztonságának javítása érdekében csak hálózati ACL-megkerüléssel engedélyezze a hozzáférést. Ezt a házirendet egy privát végponttal együtt kell használni a tárfiók-hozzáféréshez. | Módosítás, letiltva | 1.0.0 |
| A Storage-fiók nyilvános hozzáférésének beállítása letiltottként | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | Módosítás, letiltva | 1.0.0 |
| A Storage-fiók konfigurálása a blobok verziószámozásának engedélyezéséhez | Engedélyezheti a Blob Storage verziószámozását az objektumok korábbi verzióinak automatikus karbantartásához. Ha engedélyezve van a blob verziószámozása, a blob korábbi verzióihoz is hozzáférhet, hogy helyreállítsa az adatokat, ha azokat módosították vagy törölték. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Defender for Storage (klasszikus) üzembe helyezése tárfiókokon | Ez a házirend lehetővé teszi a Defender for Storage (klasszikus) használatát a tárfiókokon. | DeployIfNotExists, Disabled | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához | Az Azure File Sync internetről elérhető nyilvános végpontját a szervezeti szabályzat letiltja. Továbbra is hozzáférhet a Társzinkronizálási szolgáltatáshoz a magánvégpont(ok)on keresztül. | Módosítás, letiltva | 1.0.0 |
| Módosítás – A Storage-fiók konfigurálása a blobok verziószámozásának engedélyezéséhez | Engedélyezheti a Blob Storage verziószámozását az objektumok korábbi verzióinak automatikus karbantartásához. Ha engedélyezve van a blob verziószámozása, a blob korábbi verzióihoz is hozzáférhet, hogy helyreállítsa az adatokat, ha azokat módosították vagy törölték. Vegye figyelembe, hogy a meglévő tárfiókok nem módosulnak a Blob Storage verziószámozásának engedélyezéséhez. Csak az újonnan létrehozott tárfiókok esetében engedélyezett a Blob Storage verziószámozása | Módosítás, letiltva | 1.0.0 |
| Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést | A nyilvános végpont letiltásával korlátozhatja a Storage Sync Service-erőforráshoz való hozzáférést a szervezet hálózatán jóváhagyott privát végpontokra irányuló kérelmekre. A nyilvános végpontra irányuló kérések engedélyezésével kapcsolatban semmi sem bizonytalan, azonban a szabályozási, jogi vagy szervezeti szabályzat követelményeinek való megfelelés érdekében letilthatja azt. A Társzinkronizálási szolgáltatás nyilvános végpontját letilthatja úgy, hogy az erőforrás bejövőTrafficPolicy tulajdonságát AllowVirtualNetworksOnly értékre állítja. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Queue Storage-nak ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által felügyelt kulcsok nagyobb rugalmassággal biztosítják a várólista-tárolást. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
| A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiók titkosítási hatóköreinek kettős titkosítást kell használniuk az inaktív adatokhoz | Engedélyezze az infrastruktúra-titkosítást a tárfiók titkosítási hatóköreinek többi részén a további biztonság érdekében. Az infrastruktúra titkosítása biztosítja az adatok kétszeri titkosítását. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókkulcsok nem lehetnek lejártak | Győződjön meg arról, hogy a felhasználói tárfiókkulcsok nem járnak le a kulcslejárati szabályzat beállításakor, hogy a kulcsok lejártakor műveletet hajtson végre a fiókkulcsok biztonsága érdekében. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókokat korlátozni kell az engedélyezett termékváltozatokkal | Korlátozza a szervezet által üzembe helyezhető tárfiók-termékváltozatokat. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára le kell tiltani a nyilvános hálózati hozzáférést | A tárfiókok biztonságának javítása érdekében győződjön meg arról, hogy azok nem érhetők el a nyilvános interneten, és csak privát végpontról érhetők el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/storageaccountpublicnetworkaccessleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak konfigurálva kell lennie a közös hozzáférésű jogosultságkódra (SAS) vonatkozó szabályzatoknak | Győződjön meg arról, hogy a tárfiókok rendelkeznek engedélyezve a közös hozzáférésű jogosultságkód (SAS) lejárati szabályzatával. A felhasználók SAS használatával delegálják az Erőforrásokhoz való hozzáférést az Azure Storage-fiókban. Az SAS lejárati szabályzata pedig a felső lejárati korlátot javasolja, amikor egy felhasználó létrehoz egy SAS-jogkivonatot. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak a megadott minimális TLS-verzióval kell rendelkezniük | Konfiguráljon egy minimális TLS-verziót az ügyfélalkalmazás és a tárfiók közötti biztonságos kommunikációhoz. A biztonsági kockázat minimalizálása érdekében az ajánlott minimális TLS-verzió a legújabb kiadású verzió, amely jelenleg TLS 1.2. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok megakadályozzák a bérlők közötti objektumreplikálást | A tárfiók objektumreplikációs korlátozásának naplózása. Alapértelmezés szerint a felhasználók egy forrástárfiókkal konfigurálhatják az objektumreplikálást egy Azure AD-bérlőben és egy másik bérlő célfiókjában. Ez biztonsági problémát jelent, mert az ügyfél adatai replikálhatók egy olyan tárfiókba, amely az ügyfél tulajdonában van. Ha hamisra állítja aCrossTenantReplication engedélyezését, az objektumok replikálása csak akkor konfigurálható, ha a forrás- és célfiókok ugyanabban az Azure AD-bérlőben találhatók. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését | Az Azure Active Directory (Azure AD) naplózási követelménye a tárfiókra vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és könnyű használatot biztosít a megosztott kulcshoz képest, ezért a Microsoft ennek a használatát javasolja. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókoknak csak a hálózati ACL-megkerülési konfiguráción keresztül kell korlátozniuk a hálózati hozzáférést. | A tárfiókok biztonságának javítása érdekében csak hálózati ACL-megkerüléssel engedélyezze a hozzáférést. Ezt a házirendet egy privát végponttal együtt kell használni a tárfiók-hozzáféréshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak | Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| A Table Storage-nak ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által kezelt kulcsok nagyobb rugalmassággal biztosítják a táblatárolót. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, megtagadás, letiltva | 1.0.0 |
Microsoft.StorageCache
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
Microsoft.StorageSync
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure File Sync konfigurálása privát végpontokkal | A rendszer egy privát végpontot helyez üzembe a megadott Storage Sync Service-erőforráshoz. Ez lehetővé teszi, hogy a Storage Sync Service-erőforrást a szervezet hálózatának privát IP-címteréből kezelje, nem pedig az internetről elérhető nyilvános végponton keresztül. Egy vagy több privát végpont megléte önmagában nem tiltja le a nyilvános végpontot. | DeployIfNotExists, Disabled | 1.0.0 |
| Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához | Az Azure File Sync internetről elérhető nyilvános végpontját a szervezeti szabályzat letiltja. Továbbra is hozzáférhet a Társzinkronizálási szolgáltatáshoz a magánvégpont(ok)on keresztül. | Módosítás, letiltva | 1.0.0 |
| Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést | A nyilvános végpont letiltásával korlátozhatja a Storage Sync Service-erőforráshoz való hozzáférést a szervezet hálózatán jóváhagyott privát végpontokra irányuló kérelmekre. A nyilvános végpontra irányuló kérések engedélyezésével kapcsolatban semmi sem bizonytalan, azonban a szabályozási, jogi vagy szervezeti szabályzat követelményeinek való megfelelés érdekében letilthatja azt. A Társzinkronizálási szolgáltatás nyilvános végpontját letilthatja úgy, hogy az erőforrás bejövőTrafficPolicy tulajdonságát AllowVirtualNetworksOnly értékre állítja. | Naplózás, megtagadás, letiltva | 1.0.0 |
Microsoft.ClassicStorage
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.