Definisi bawaan Azure Policy untuk Microsoft Azure Storage
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Storage. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Microsoft.Storage
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Azure Backup harus diaktifkan untuk Blob di Akun Penyimpanan | Pastikan perlindungan Akun Penyimpanan Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasi pencadangan untuk akun penyimpanan blob dengan tag tertentu ke vault cadangan pada wilayah yang sama | Terapkan pencadangan untuk blob di semua akun penyimpanan yang berisi tag tertentu ke vault cadangan pusat. Melakukan hal ini dapat membantu Anda mengelola cadangan blob yang terdapat di beberapa akun penyimpanan sesuai kebutuhan. Untuk detail selengkapnya, lihat https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi pencadangan blob untuk semua akun penyimpanan yang tidak berisi tag tertentu ke vault cadangan di wilayah yang sama | Menerapkan pencadangan untuk blob di semua akun penyimpanan yang tidak berisi tag tertentu ke vault cadangan pusat. Melakukan hal ini dapat membantu Anda mengelola cadangan blob yang terdapat di beberapa akun penyimpanan sesuai kebutuhan. Untuk detail selengkapnya, lihat https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| [Pratinjau]: Akun Penyimpanan harus Zona Redundan | Akun Penyimpanan dapat dikonfigurasi menjadi Zona Redundan atau tidak. Jika nama SKU Akun Penyimpanan tidak diakhir dengan 'ZRS' atau jenisnya adalah 'Penyimpanan,' itu bukan Zona Redundan. Kebijakan ini memastikan bahwa Akun Penyimpanan Anda menggunakan konfigurasi Zona Redundan ae. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure File Sync dengan titik akhir privat | Titik akhir pribadi disebarkan untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan. Ini memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan Anda dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Keberadaan satu atau lebih titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Blob ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Blob guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan blob yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan File ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan File guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan file yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Antrean ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Antrean guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan Antrean yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. Catatan: Kebijakan ini tidak dipicu pada pembuatan Akun Penyimpanan dan memerlukan pembuatan tugas remediasi untuk memperbarui akun. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.1 |
| Konfigurasikan pengaturan diagnostik untuk Akun Penyimpanan ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk akun Penyimpanan guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika akun penyimpanan yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Tabel ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Tabel guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan tabel yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. Catatan: Kebijakan ini tidak dipicu pada pembuatan Akun Penyimpanan dan memerlukan pembuatan tugas remediasi untuk memperbarui akun. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.1 |
| Mengonfigurasi transfer data yang aman pada akun penyimpanan | Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Penyimpanan untuk menggunakan koneksi tautan pribadi | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan akun penyimpanan untuk menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan Akun Penyimpanan, pastikan bahwa hal tersebut tidak terekspos ke internet publik dan hanya dapat diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/storageaccountpublicnetworkaccess. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Ubah, Non-fungsikan | 1.0.1 |
| Konfigurasikan Akun Penyimpanan untuk membatasi akses jaringan hanya melalui konfigurasi bypass ACL jaringan. | Untuk meningkatkan keamanan Akun Penyimpanan, aktifkan akses hanya melalui bypass ACL jaringan. Kebijakan ini harus digunakan dalam kombinasi dengan titik akhir privat untuk akses akun penyimpanan. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akses publik akun Penyimpanan Anda menjadi tidak diperbolehkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi akun Storage Anda untuk mengaktifkan penerapan versi blob | Anda dapat mengaktifkan penerapan versi penyimpanan Blob untuk mempertahankan versi objek sebelumnya secara otomatis. Saat penerapan versi blob diaktifkan, Anda dapat mengakses versi blob yang lebih lama untuk memulihkan data Anda jika dimodifikasi atau dihapus. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Menyebarkan Defender for Storage (Klasik) pada akun penyimpanan | Kebijakan ini memungkinkan Defender for Storage (Klasik) pada akun penyimpanan. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan | Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia | Audit, Dinonaktifkan | 1.0.0 |
| Akun HPC Cache harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Ubah - Mengonfigurasi Azure File Sync untuk menonaktifkan akses jaringan publik | Titik akhir publik yang dapat diakses internet Azure File Sync dinonaktifkan oleh kebijakan organisasi Anda. Anda masih dapat mengakses Layanan Sinkronisasi Penyimpanan melalui titik akhir pribadinya. | Ubah, Non-fungsikan | 1.0.0 |
| Modifikasi - Konfigurasikan akun Penyimpanan Anda untuk mengaktifkan penerapan versi blob | Anda dapat mengaktifkan penerapan versi penyimpanan Blob untuk mempertahankan versi objek sebelumnya secara otomatis. Saat penerapan versi blob diaktifkan, Anda dapat mengakses versi blob yang lebih lama untuk memulihkan data Anda jika dimodifikasi atau dihapus. Harap dicatat bahwa akun penyimpanan yang ada tidak akan dimodifikasi untuk mengaktifkan penerapan versi penyimpanan Blob. Hanya akun penyimpanan yang baru dibuat yang akan mengaktifkan penerapan versi penyimpanan Blob | Ubah, Non-fungsikan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk Azure File Sync | Menonaktifkan titik akhir publik memungkinkan Anda membatasi akses ke sumber daya Layanan Sinkronisasi Penyimpanan untuk permintaan yang ditujukan ke titik akhir pribadi yang disetujui di jaringan organisasi Anda. Tidak ada yang secara inheren tidak aman tentang mengizinkan permintaan ke titik akhir publik, namun, Anda mungkin ingin menonaktifkannya untuk memenuhi persyaratan kebijakan peraturan, hukum, atau organisasi. Anda dapat menonaktifkan titik akhir publik untuk Layanan Sinkronisasi Penyimpanan dengan menyetel incomingTrafficPolicy sumber daya ke AllowVirtualNetworksOnly. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Queue Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK | Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Cakupan enkripsi akun penyimpanan harus menggunakan enkripsi ganda untuk data diam | Aktifkan enkripsi infrastruktur untuk enkripsi di seluruh lingkup enkripsi akun penyimpanan Anda untuk keamanan tambahan. Enkripsi infrastruktur memastikan bahwa data Anda dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kunci akun penyimpanan tidak boleh kedaluwarsa | Pastikan kunci akun penyimpanan pengguna tidak kedaluwarsa saat kebijakan kedaluwarsa kunci ditetapkan, untuk meningkatkan keamanan kunci akun dengan mengambil tindakan saat kunci kedaluwarsa. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya | Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus dibatasi oleh SKU yang diizinkan | Batasi kumpulan SKU akun penyimpanan yang dapat disebarkan oleh organisasi Anda. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan Akun Penyimpanan, pastikan bahwa hal tersebut tidak terekspos ke internet publik dan hanya dapat diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/storageaccountpublicnetworkaccess. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus memiliki enkripsi infrastruktur | Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus memiliki kebijakan tanda tangan akses bersama (SAS) yang dikonfigurasi | Pastikan akun penyimpanan telah mengaktifkan kebijakan kedaluwarsa tanda tangan akses bersama (SAS). Pengguna menggunakan SAS untuk mendelegasikan akses ke sumber daya di akun Azure Storage. Dan kebijakan kedaluwarsa SAS merekomendasikan batas atas kedaluwarsa saat pengguna membuat token SAS. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus memiliki versi TLS minimum yang ditentukan | Konfigurasikan versi TLS minimum untuk komunikasi yang aman antara aplikasi klien dan akun penyimpanan. Untuk meminimalkan risiko keamanan, versi TLS minimum yang direkomendasikan adalah versi rilis yang terbaru, yang saat ini adalah TLS 1.2. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus mencegah replikasi objek lintas penyewa | Periksa pembatasan replikasi objek untuk akun penyimpanan Anda. Secara default, pengguna dapat mengonfigurasi replikasi objek dengan akun penyimpanan sumber di satu penyewa Azure AD dan akun tujuan di penyewa lainnya. Hal ini merupakan masalah keamanan karena data pelanggan dapat direplikasi ke akun penyimpanan yang dimiliki oleh pelanggan. Dengan mengatur allowCrossTenantReplication menjadi false, replikasi objek hanya dapat dikonfigurasi jika akun sumber dan akun tujuan berada di penyewa Azure AD yang sama. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus mencegah akses kunci secara bersama | Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama, dan direkomendasikan oleh Microsoft. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun Penyimpanan harus membatasi akses jaringan hanya melalui konfigurasi bypass ACL jaringan. | Untuk meningkatkan keamanan Akun Penyimpanan, aktifkan akses hanya melalui bypass ACL jaringan. Kebijakan ini harus digunakan dalam kombinasi dengan titik akhir privat untuk akses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Akun Penyimpanan yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Table Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Microsoft.StorageCache
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun HPC Cache harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
Microsoft.PenyimpananSync
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure File Sync dengan titik akhir privat | Titik akhir pribadi disebarkan untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan. Ini memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan Anda dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Keberadaan satu atau lebih titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Ubah - Mengonfigurasi Azure File Sync untuk menonaktifkan akses jaringan publik | Titik akhir publik yang dapat diakses internet Azure File Sync dinonaktifkan oleh kebijakan organisasi Anda. Anda masih dapat mengakses Layanan Sinkronisasi Penyimpanan melalui titik akhir pribadinya. | Ubah, Non-fungsikan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk Azure File Sync | Menonaktifkan titik akhir publik memungkinkan Anda membatasi akses ke sumber daya Layanan Sinkronisasi Penyimpanan untuk permintaan yang ditujukan ke titik akhir pribadi yang disetujui di jaringan organisasi Anda. Tidak ada yang secara inheren tidak aman tentang mengizinkan permintaan ke titik akhir publik, namun, Anda mungkin ingin menonaktifkannya untuk memenuhi persyaratan kebijakan peraturan, hukum, atau organisasi. Anda dapat menonaktifkan titik akhir publik untuk Layanan Sinkronisasi Penyimpanan dengan menyetel incomingTrafficPolicy sumber daya ke AllowVirtualNetworksOnly. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Microsoft.ClassicPenyimpanan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.