Prima di prendere in considerazione una distribuzione, è importante che l'organizzazione metta in atto delle protezioni. Usando le politiche di Azure, è possibile implementare la governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.
Sfondo
Un principio fondamentale dell'analisi su scala cloud consiste nel semplificare la creazione, la lettura, l'aggiornamento e l'eliminazione delle risorse in base alle esigenze. Tuttavia, sebbene offrire agli sviluppatori un accesso illimitato alle risorse garantisca loro la flessibilità, ciò può anche comportare costi imprevisti. La soluzione a questo problema è la governance dell'accesso alle risorse. Questa governance è il processo continuativo di gestione, monitoraggio e controllo dell'uso delle risorse di Azure per soddisfare gli obiettivi e i requisiti dell'organizzazione.
Il punto di partenza del Framework di adozione del cloud per le zone di atterraggio su scala aziendale utilizza già questo concetto. L'analisi su scala cloud aggiunge criteri di Azure personalizzati per sviluppare questi standard. Gli standard vengono quindi applicati agli ambiti di gestione dei dati e agli ambiti di atterraggio dei dati.
Diagramma che mostra come funziona la governance di Azure.
Azure Policy è importante quando si garantiscono sicurezza e conformità nelle analisi su scala cloud. Consente di applicare gli standard e di valutare la conformità su larga scala. I criteri possono essere usati per valutare le risorse in Azure e confrontarle con le proprietà ricercate. Diversi criteri, o regole business, possono essere raggruppati in un'iniziativa. È possibile assegnare singoli criteri o iniziative ad ambiti diversi in Azure. Questi ambiti possono essere gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito e gli ambiti secondari possono essere esclusi con eccezioni, se necessario.
Considerazioni relative alla progettazione
I criteri di Azure nell'analisi su scala cloud sono stati sviluppati tenendo presenti le considerazioni di progettazione seguenti:
- Usare i criteri di Azure per implementare la governance e applicare regole per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.
- Usare i criteri predefiniti disponibili per risparmiare tempo.
- Assegnare i criteri al livello più alto possibile nell'albero del gruppo di gestione per semplificare la gestione dei criteri.
- Limitare le assegnazioni di Criteri di Azure effettuate nell'ambito del gruppo di gestione principale per evitare di dover gestire mediante esclusioni nei contesti ereditati.
- Usare eccezioni ai criteri solo se necessario, ed esse richiedono l'approvazione.
Criteri di Azure per l'analisi su scala cloud
L'implementazione di criteri personalizzati consente di fare di più con i criteri di Azure. L'analisi su scala cloud include un set di criteri precreati che consentono di implementare eventuali protezioni necessarie nell'ambiente in uso.
Criteri di Azure devono essere lo strumento principale del team della piattaforma Azure (Dati) per garantire la conformità delle risorse all'interno dell'area di gestione dei dati, delle zone di atterraggio dei dati e di altre zone di atterraggio all'interno del tenant dell'organizzazione. Questa funzionalità della piattaforma deve essere usata per introdurre protezioni e applicare la conformità alla configurazione globale del servizio approvata all'interno dell'ambito del rispettivo gruppo di gestione. I team della piattaforma possono usare Criteri di Azure per applicare, ad esempio, endpoint privati per tutti gli account di archiviazione ospitati nell'ambiente della piattaforma dati o applicare la crittografia TLS 1.2 in transito per tutte le connessioni effettuate agli account di archiviazione. Quando eseguito correttamente, questo criterio impedisce ai team dell'applicazione dati di ospitare i servizi in uno stato non conforme all'interno dell'ambito del tenant corrispondente.
I team IT responsabili devono usare questa funzionalità della piattaforma per risolvere i problemi di sicurezza e conformità e aprire un approccio self-service all'interno delle zone di destinazione (dati).
L'analisi su scala cloud contiene criteri personalizzati correlati alla gestione delle risorse e dei costi, all'autenticazione, alla crittografia, all'isolamento della rete, alla registrazione, alla resilienza e altro ancora.
Nota
I criteri devono essere visualizzati solo come indicazioni e possono essere applicati a seconda dei requisiti aziendali. Le politiche devono essere sempre applicate al massimo livello possibile e nella maggior parte dei casi questo sarà un gruppo di gestione.
Tutti i servizi
| Nome del criterio |
Area di politica |
Descrizione |
| Deny-PublicIp |
Isolamento della rete |
Limitare la distribuzione di IP pubblici. |
| Nega -PrivateEndpoint-PrivateLinkServiceConnections |
Isolamento della rete |
Negare l'accesso degli endpoint privati alle risorse all'esterno del tenant e della sottoscrizione di Microsoft Entra. |
| Deploy-DNSZoneGroup-{Service}-PrivateEndpoint |
Isolamento della rete |
Distribuisce le configurazioni di un gruppo zona DNS privato in base a un parametro per l'endpoint privato del servizio. Consente di applicare la configurazione a una singola zona DNS privato. |
| DiagnosticSettings-{Service}-LogAnalytics |
Registrazione |
Inviare le impostazioni di diagnostica per Azure Cosmos DB all'area di lavoro Log Analytics. |
Archiviazione
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-Archiviazione-Cifratura |
Crittografia |
Applica la crittografia per gli account di archiviazione. |
| Nega-Archiviazione-ConsentiAccessoPubblicoAlBlob |
Isolamento della rete |
Impedisce l'accesso pubblico a tutti i blob o contenitori nell'account di archiviazione. |
| Nega-PoliticaDiConservazioneEliminazioneContenitoreDiArchivio |
Resilienza |
Applica politiche di conservazione per l'eliminazione dei contenitori per più di sette giorni nell'account di archiviazione. |
| Nega-Storage-CorsRules |
Isolamento della rete |
Nega le regole CORS per l'account di archiviazione. |
| Nega-Crittografia-Infrastruttura-Archiviazione |
Crittografia |
Applica la crittografia dell'infrastruttura (doppia) per gli account di archiviazione. |
| Nega-Storage-MinimumTlsVersion |
Crittografia |
Applica la versione minima di TLS 1.2 per l'account di archiviazione. |
| Nega-Storage-NetworkAclsBypass |
Isolamento della rete |
Applica nessun bypass di rete all'account di archiviazione. |
| Nega-Storage-NetworkAclsIpRules |
Isolamento della rete |
Applica le regole IP di rete per l'account di archiviazione. |
| Nega-Storage-NetworkAclsVirtualNetworkRules |
Isolamento della rete |
Nega le regole di rete virtuale per l'account di archiviazione. |
| Nega-Storage-Sku |
Gestione risorse |
Applica gli SKU degli account di archiviazione. |
| Nega-Storage-SupportsHttpsTrafficOnly |
Crittografia |
Impone il traffico HTTPS per l'account di archiviazione. |
| Distribuzione-Storage-BlobServices |
Gestione risorse |
Distribuisce le impostazioni predefinite dei servizi BLOB per l'account di archiviazione. |
| Nega-Storage-RoutingPreference |
Isolamento della rete |
|
| Nega-Storage-Kind |
Gestione risorse |
|
| Nega-Storage-NetworkAclsDefaultAction |
Isolamento della rete |
|
Key Vault (archivio di chiavi)
| Nome del criterio |
Area di politica |
Descrizione |
| Audit-KeyVault-PrivateEndpointId (ID del punto finale privato di KeyVault) |
Isolamento della rete |
Verifica gli endpoint pubblici creati in altre sottoscrizioni per Key Vault. |
| Nega-KeyVault-NetworkAclsBypass |
Isolamento della rete |
Applica le regole di bypass a livello di rete per il vault delle chiavi. |
| Nega-KeyVault-NetworkAclsDefaultAction |
Isolamento della rete |
Applica l'azione predefinita a livello di ACL di rete per il Key Vault. |
| Nega-KeyVault-NetworkAclsIpRules |
Isolamento della rete |
Applica le regole IP di rete per il Key Vault. |
| Nega-KeyVault-NetworkAclsVirtualNetworkRules |
Isolamento della rete |
Impedisce le regole di rete virtuale per il key vault. |
| Nega-KeyVault-PurgeProtection |
Resilienza |
Applica la protezione da eliminazione per l'archivio delle chiavi. |
| Nega-KeyVault-SoftDelete |
Resilienza |
Applica l'eliminazione soft con un numero minimo di giorni di conservazione per il Key Vault. |
| Nega-KeyVault-TenantId |
Gestione risorse |
Applica l'ID tenant per il Key Vault di Azure. |
Azure Data Factory
| Nome del criterio |
Area di politica |
Descrizione |
| Append-DataFactory-IdentityType |
Autenticazione |
Impone l'uso dell'identità assegnata dal sistema per la data factory. |
| Nega-DataFactory-ApiVersion |
Gestione risorse |
Nega la versione precedente dell'API per data factory V1. |
| Nega-DataFactory-IntegrazioneRuntimeGestitoReteVirtuale |
Isolamento della rete |
Nega i runtime di integrazione non connessi alla rete virtuale gestita. |
| Negare-DataFactory-LinkedServicesConnectionStringType |
Autenticazione |
Nega i segreti non archiviati nel Key Vault per i servizi collegati. |
| Nega-DataFactory-ManagedPrivateEndpoints |
Isolamento della rete |
Nega gli endpoint privati esterni per i servizi collegati. |
| Nega-DataFactory-AccessoRetePubblica |
Isolamento della rete |
Vieta l'accesso pubblico all'impianto di dati. |
| Distribuisci-DataFactory-ReteVirtualeGestita |
Isolamento della rete |
Distribuisci la rete virtuale gestita per Data Factory. |
| Distribuzione-EsecuzioneIntegrazioneAutoOspitata-Condivisione |
Resilienza |
Condividi il runtime di integrazione self-hosted ospitato nel Data Hub con le Data Factory nei Data Nodes. |
Azure Databricks
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-Databricks-IpPubblico |
Isolamento della rete |
Non impone l'accesso pubblico alle aree di lavoro di Databricks. |
| Nega-Databricks-Sku |
Gestione risorse |
Negare lo SKU non-premium di Databricks. |
| Nega-Databricks-VirtualNetwork |
Isolamento della rete |
Impedisci la distribuzione della rete non virtuale per Databricks. |
Altri criteri applicati nell'area di lavoro di Databricks tramite i criteri del cluster:
| Nome dei criteri cluster |
Area di politica |
| Limitare la versione di Spark |
Gestione risorse |
| Limitare le dimensioni del cluster e i tipi di VM |
Gestione risorse |
| Applicare l'assegnazione di tag ai costi |
Gestione risorse |
| Applicare la scalabilità automatica |
Gestione risorse |
| Imponi sospensione automatica |
Gestione risorse |
| Limitare i DBUs all'ora |
Gestione risorse |
| Negare SSH pubblico |
Autenticazione |
| Passthrough delle credenziali del cluster abilitato |
Autenticazione |
| Consentire l'isolamento del processo |
Isolamento della rete |
| Applicare il monitoraggio Spark |
Registrazione |
| Imporre i log del cluster |
Registrazione |
| Consentire solo SQL, Python |
Gestione delle risorse |
| Rifiutare script di installazione aggiuntivi |
Gestione delle risorse |
Hub IoT di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-IotHub-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per l'hub iot. |
| Verifica-IotHub-PrivateEndpointId |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli hub iot. |
| Nega -IotHub-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per l'hub iot. |
| Nega-IotHub-Sku |
Gestione risorse |
Impone gli SKU dell'hub IoT. |
| Deploy-IotHub-Soluzioni Di Sicurezza IoT |
Sicurezza |
Distribuire Microsoft Defender per IoT per gli hub IoT. |
Hub eventi di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-EventHub-Ipfilterrules |
Isolamento della rete |
Nega l'aggiunta di regole di filtro IP per gli hub eventi di Azure. |
| Nega-EventHub-MaximumThroughputUnits |
Isolamento della rete |
Nega l'accesso alla rete pubblica per i server SQL. |
| Nega-EventHub-NetworkRuleSet |
Isolamento della rete |
Applica le regole di rete virtuale predefinite per Hub eventi di Azure. |
| Nega-EventHub-Sku |
Gestione risorse |
Nega determinati AKU per gli Hub eventi di Azure. |
| Nega-EventHub-Virtualnetworkrules |
Isolamento della rete |
Nega l'applicazione delle regole di rete virtuale predefinite per gli Hub eventi di Azure. |
Analisi di flusso di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Append-StreamAnalytics-TipoIdentità |
Autenticazione |
Impone l'uso dell'identità assegnata dal sistema per l'analisi del flusso dei dati. |
| Nega-StreamAnalytics-ClusterId |
Gestione risorse |
Impone l'uso del cluster di Stream Analytics. |
| Nega-StreamAnalytics-StreamingUnits |
Gestione risorse |
Applica il numero di unità di streaming di Analisi di flusso. |
Esplora dati di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-DataExplorer-DiskEncryption |
Crittografia |
Impone l'uso della crittografia del disco per Esplora dati. |
| Nega:DataExplorer-DoubleEncryption |
Crittografia |
Impone l'uso della crittografia doppia per Esplora dati. |
| Nega-EsploraDati-Identità |
Autenticazione |
Impone l'uso dell'identità assegnata dal sistema o dall'utente per esplora dati. |
| Nega-DataExplorer-Sku |
Gestione risorse |
Applica gli SKU di Esplora dati. |
| Nega-DataExplorer-TenantEsterniAttendibili |
Isolamento della rete |
Nega i tenant esterni per Esplora dati. |
| Nega-DataExplorer-VirtualNetworkConfiguration |
Isolamento della rete |
Applica l'inserimento della rete virtuale per Esplora dati. |
Azure Cosmos DB, un servizio di database distribuito globale di Microsoft
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess |
Autenticazione |
Negare l'accesso in scrittura ai metadati basati su chiavi per gli account Azure Cosmos DB. |
| Appendere-Cosmos-PublicNetworkAccess |
Isolamento della rete |
Non applica l'accesso alla rete pubblica per gli account Azure Cosmos DB. |
| Verifica-Cosmos-PrivateEndpointId |
Isolamento della rete |
Controllare gli endpoint pubblici creati in altre sottoscrizioni per Azure Cosmos DB. |
| Negare-Cosmos-Cors |
Isolamento della rete |
Nega le regole CORS per gli account Azure Cosmos DB." |
| Nega-Cosmos-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per gli account Azure Cosmos DB. |
Registro dei Container di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Verifica-ContenitoreRegistro-IdPuntoFinalePrivato |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi. |
| Nega-AccessoRetePubblica-RegistryContainer (Deny-ContainerRegistry-PublicNetworkAccess) |
Isolamento della rete |
Nega l'accesso alla rete pubblica per il registro contenitori. |
| Nega-RegistroContenitori-SKU |
Gestione risorse |
Applica lo SKU Premium per il registro contenitori. |
Servizi di intelligenza artificiale di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Append-CognitiveServices-IdentityType |
Autenticazione |
Impone l'uso dell'identità assegnata dal sistema per i servizi cognitivi. |
| Revisione-CognitiveServices-PrivateEndpointId |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi. |
| Nega-CognitiveServices-Crittografia |
Crittografia |
Applica l'uso della crittografia per i servizi cognitivi. |
| Accesso-Rete-PubblicaNegato-ServiziCognitivi |
Isolamento della rete |
Non impone l'accesso alla rete pubblica per i servizi cognitivi. |
| Negare-CognitiveServices-Sku |
Gestione risorse |
Nega lo SKU gratuito dei servizi cognitivi. |
| Nega-ServiziCognitivi-ArchiviazioneProprietariaUtente |
Isolamento della rete |
Impone l'uso dell'archiviazione di proprietà dell'utente per i servizi cognitivi. |
Azure Machine Learning (Apprendimento Automatico di Azure)
| Nome del criterio |
Area di politica |
Descrizione |
| Append-ApprendimentoAutomatico-AccessoPubblicoQuandoDietroVnet |
Isolamento della rete |
Negare l'accesso pubblico tramite la rete virtuale per le aree di lavoro di Machine Learning. |
| Audit-MachineLearning-PrivateEndpointId |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per l'apprendimento automatico. |
| Nega-MachineLearning-HbiWorkspace |
Isolamento della rete |
Applica aree di lavoro di apprendimento automatico ad alto impatto aziendale in tutto l'ambiente. |
| Deny-MachineLearningAks |
Gestione risorse |
Nega la creazione di AKS (non il collegamento) in ambito di apprendimento automatico. |
| Nega-MachineLearningCompute-SubnetId |
Isolamento della rete |
Nega l'indirizzo IP pubblico per le istanze e i cluster di elaborazione dell'apprendimento automatico. |
| Nega-MachineLearningCompute-VmSize |
Gestione risorse |
Limita le dimensioni delle VM consentite per le istanze e i cluster di elaborazione dell'apprendimento automatico. |
| Nega-AccessoPubblicoAlPortoDiLoginRemoto-ClusterDiCalcoloPerApprendimentoAutomatico |
Isolamento della rete |
Nega l'accesso pubblico ai cluster tramite SSH. |
| Nega-MachineLearningComputeCluster-Scale |
Gestione risorse |
Applica le impostazioni di scalabilità per i cluster di elaborazione dell'apprendimento automatico. |
Istanza gestita di SQL di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-SqlManagedInstance-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per i server dell'istanza gestita di SQL. |
| Nega-SqlManagedInstance-PublicDataEndpoint |
Isolamento della rete |
Nega l'accesso ai dati pubblici per le istanze SQL gestite. |
| Nega-SqlManagedInstance-Sku |
Gestione risorse |
|
| Deny-SqlManagedInstance-SubnetId |
Isolamento della rete |
Impone le distribuzioni alle subnet delle istanze SQL gestite. |
| Distribuzione-SqlManagedInstance-AzureAdOnlyAuthentications |
Autenticazione |
Applica l'autenticazione esclusiva Microsoft Entra per Istanza SQL gestita. |
| Distribuire-SqlManagedInstance-SecurityAlertPolicies |
Registrazione |
Distribuire i criteri di avviso di sicurezza dell'istanza gestita di SQL. |
| Distribuisci-IstanzaGestitaSQL-ValutazioneVulnerabilità |
Registrazione |
Distribuisce le valutazioni della vulnerabilità dell'istanza gestita di SQL. |
Database SQL di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-Sql-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per i server SQL. |
| Controllo-Sql-IDPuntoFinalePrivato |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli Azure SQL. |
| Nega-Sql-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per i server SQL. |
| Nega-Sql-TipoAccountArchiviazione |
Resilienza |
Impone il backup del database con ridondanza geografica. |
| Distribuire-ImpostazioniDiAuditSql |
Registrazione |
Distribuisce le impostazioni di controllo SQL. |
| Distribuire-Sql-AzureAdOnlyAuthentications |
Autenticazione |
Applica l'autenticazione solo Entra di Microsoft per SQL Server. |
| Distribuire-Sql-CriteriAvvisoDiSicurezza |
Registrazione |
Distribuisci i criteri di avviso di sicurezza per SQL. |
| Distribuire-Sql-TransparentDataEncryption |
Crittografia |
Implementa la crittografia trasparente dei dati SQL. |
| Distribuire-ValutazioneDelleVulnerabilitàSQL |
Registrazione |
Distribuire le valutazioni delle vulnerabilità di SQL. |
| Distribuisci-SqlDw-AuditingSettings |
Registrazione |
Distribuzione delle impostazioni di controllo SQL DW. |
Database di Azure per MySQL
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-MySQL-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per i server MySQL. |
| Audit-MySql-PrivateEndpointId |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per MySQL. |
| Nega-MySQL-InfrastructureEncryption |
Crittografia |
Applica la crittografia dell'infrastruttura per i server MySQL. |
| Nega-MySQL-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per i server MySQL. |
| Nega-MySql-StorageProfile |
Resilienza |
Imposta il backup del database geograficamente ridondante con un periodo minimo di conservazione in giorni. |
| Distribuire-MySql-SecurityAlertPolicies |
Registrazione |
Implementa i criteri di avviso di sicurezza SQL per MySQL. |
Database di Azure per PostgreSQL
| Nome del criterio |
Area di politica |
Descrizione |
| Aggiungi-PostgreSQL-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per i server PostgreSQL. |
| Revisione-PostgreSql-PrivateEndpointId |
Isolamento della rete |
Controlla gli endpoint pubblici creati in altre sottoscrizioni per PostgreSQL. |
| Negare-PostgreSQL-InfrastructureEncryption |
Crittografia |
Applica la crittografia dell'infrastruttura per i server PostgreSQL. |
| Deny-PostgreSQL-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per i server PostgreSQL. |
| Nega-PostgreSql-StorageProfile |
Resilienza |
Imposta il backup del database geograficamente ridondante con un periodo minimo di conservazione in giorni. |
| Distribuire-PostgreSql-PoliticheDiAvvisoSicurezza |
Registrazione |
Distribuisci le politiche di avviso di sicurezza SQL per PostgreSQL. |
Ricerca di intelligenza artificiale di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Accoda-Search-IdentityType |
Autenticazione |
Impiega l'uso dell'identità assegnata dal sistema per Azure AI Ricerca. |
| Audit-Search-PrivateEndpointId |
Isolamento della rete |
Controllare gli endpoint pubblici creati in altre sottoscrizioni per Ricerca di intelligenza artificiale di Azure. |
| Nega-Ricerca-AccessoRetePubblica |
Isolamento della rete |
Nega l'accesso alla rete pubblica per Ricerca di intelligenza artificiale di Azure. |
| Nega-Search-Sku |
Gestione risorse |
Impone gli SKU di Azure AI Search. |
DNS Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Deny-PrivateDnsZones |
Gestione risorse |
Limita la distribuzione di zone DNS private per evitare la proliferazione. |
Gruppo di sicurezza di rete
| Nome del criterio |
Area di politica |
Descrizione |
| Distribuire-Nsg-FlowLogs |
Registrazione |
Distribuire i log dei flussi NSG e l'analisi del traffico. |
Gruppo
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-Batch-InboundNatPools |
Isolamento della rete |
Nega i pool NAT in ingresso per i pool di macchine virtuali dell'account batch. |
| Nega-Batch-NetworkConfiguration |
Isolamento della rete |
Nega gli indirizzi IP pubblici per i pool di macchine virtuali dell'account batch. |
| Nega-Batch-PublicNetworkAccess |
Isolamento della rete |
Nega l'accesso alla rete pubblica per gli account batch. |
| Rifiuta-Batch-Scala |
Gestione risorse |
Nega determinate configurazioni di scalabilità per i pool di macchine virtuali dell'account batch. |
| Rifiuta-Batch-VmSize |
Gestione risorse |
Nega determinate dimensioni di macchina virtuale per i pool di macchine virtuali dell'account batch. |
Cache Redis di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-Cache-Enterprise |
Gestione risorse |
Nega l'accesso alla cache Redis Enterprise. |
| Nega-Cache-FirewallRules |
Isolamento della rete |
Nega le regole del firewall per Redis Cache. |
| Nega-Cache-MinimumTlsVersion |
Crittografia |
Applica la versione minima di TLS per Cache Redis. |
| Nega-Cache-PortaNonSsl |
Isolamento della rete |
Impone la disattivazione della porta non SSL per Cache Redis. |
| Deny-Cache-PublicNetworkAccess |
Isolamento della rete |
Non impone l'accesso alla rete pubblica per Cache Redis. |
| Negare-Cache-Sku |
Gestione risorse |
Impone determinati SKU per la Cache Redis. |
| Deny-Cache-VnetInjection |
Isolamento della rete |
Impone l'uso di endpoint privati e nega la connessione di rete virtuale per Cache Redis. |
Istanze di Contenitore
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-ContainerInstance-PublicIpAddress |
Isolamento della rete |
Le istanze container pubbliche create da Azure Machine Learning sono negate. |
Firewall di Azure
| Nome del criterio |
Area di politica |
Descrizione |
| Firewall di Rifiuto |
Gestione risorse |
Limita la distribuzione di Firewall di Azure per evitare la proliferazione. |
HDInsight
| Nome del criterio |
Area di politica |
Descrizione |
| Nega-HdInsight-EncryptionAtHost |
Crittografia |
Applica la crittografia nell'host per i cluster HDInsight. |
| Nega-HdInsight-EncryptionInTransit |
Crittografia |
Applica la crittografia durante il transito per i cluster HDInsight. |
| Nega-HdInsight-MinimalTlsVersion |
Crittografia |
Applica la versione minima di TLS per i cluster HDInsight. |
| Deny-HdInsight-NetworkProperties |
Isolamento della rete |
Impone l'abilitazione del collegamento privato per i cluster HDInsight. |
| Nega-HdInsight-Sku |
|
Impone determinati SKU per i cluster HDInsight. |
| Nega-HdInsight-VirtualNetworkProfile |
Isolamento della rete |
Applica l'inserimento di reti virtuali per i cluster HDInsight. |
Power BI
| Nome del criterio |
Area di politica |
Descrizione |
| Deny-PrivateLinkServicesForPowerBI |
Gestione risorse |
Limita la distribuzione dei servizi di collegamento privato per Power BI per evitare la proliferazione. |
Passaggi successivi
- Requisiti per la governance dei dati in un'azienda moderna
- Componenti necessari per la governance dei dati