Definizioni predefinite di Criteri di Azure per Archiviazione di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Archiviazione di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Microsoft.Storage
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Backup di Azure deve essere abilitato per i BLOB negli account Archiviazione | Assicurarsi di proteggere gli account Archiviazione abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare il backup per i BLOB negli account di archiviazione con un tag specificato in un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per i BLOB in tutti gli account di archiviazione che contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[Anteprima]: Configurare il backup BLOB per tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup nella stessa area | Applicare il backup per i BLOB in tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
[Anteprima]: gli account Archiviazione devono essere ridondanti della zona | Archiviazione gli account possono essere configurati come ridondanti della zona o meno. Se il nome dello SKU di un account Archiviazione non termina con "ZRS" o il relativo tipo è "Archiviazione", non è ridondante della zona. Questo criterio garantisce che gli account Archiviazione usino una configurazione con ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione Archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione Archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DeployIfNotExists, Disabled | 1.0.0 |
Configurare le impostazioni di diagnostica per Servizi BLOB nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi BLOB per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio BLOB che non contiene queste impostazioni di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Configurare le impostazioni di diagnostica per Servizi file nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Servizi file per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato qualsiasi servizio file che non contiene queste impostazioni di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Configurare le impostazioni di diagnostica per i servizi di accodamento nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di accodamento per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio di accodamento mancante. Nota: questo criterio non viene attivato al momento della creazione dell'account Archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
Configurare le impostazioni di diagnostica per gli account Archiviazione nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per gli account Archiviazione per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando vengono creati o aggiornati gli account di archiviazione mancanti. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Configurare le impostazioni di diagnostica per Servizi tabelle nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Servizi tabelle per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio tabelle che non contiene queste impostazioni di diagnostica. Nota: questo criterio non viene attivato al momento della creazione dell'account Archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
Configurare il trasferimento sicuro dei dati in un account di archiviazione | Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare le richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modificare, Disabilitata | 1.0.0 |
Configurare Archiviazione account per l'uso di una connessione di collegamento privato | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account di archiviazione, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
Configurare gli account di archiviazione per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Archiviazione, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modificare, Disabilitata | 1.0.1 |
Configurare Archiviazione Account per limitare l'accesso alla rete solo tramite la configurazione di bypass ACL di rete. | Per migliorare la sicurezza degli account di Archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Modificare, Disabilitata | 1.0.0 |
Configurare l'accesso pubblico dell'account Archiviazione in modo che non sia consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | Modificare, Disabilitata | 1.0.0 |
Configurare l'account Archiviazione per abilitare il controllo delle versioni DEI BLOB | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. | Audit, Deny, Disabled | 1.0.0 |
Distribuire Defender per Archiviazione (versione classica) sugli account di archiviazione | Questo criterio abilita Defender per Archiviazione (versione classica) sugli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.1 |
Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per cache HPC (microsoft.storagecache/caches) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per Archiviazione mover (microsoft.storagemover/storagemovers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Archiviazione mover (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per Archiviazione mover (microsoft.storagemover/storagemovers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Archiviazione mover (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per Archiviazione mover (microsoft.storagemover/storagemovers) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Archiviazione mover (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
Cache HPC account devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Azure Cache HPC con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
Modifica - Configurare Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet del Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione Archiviazione tramite gli endpoint privati. | Modificare, Disabilitata | 1.0.0 |
Modifica: configurare l'account Archiviazione per abilitare il controllo delle versioni blob | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. Si noti che gli account di archiviazione esistenti non verranno modificati per abilitare il controllo delle versioni dell'archiviazione BLOB. Solo gli account di archiviazione appena creati avranno il controllo delle versioni dell'archiviazione BLOB abilitato | Modificare, Disabilitata | 1.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione Archiviazione alle richieste destinate a endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione Archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
La coda Archiviazione deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'archiviazione code con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Deny, Disabled | 1.0.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Archiviazione ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli ambiti di crittografia dell'account devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi degli ambiti di crittografia dell'account di archiviazione per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione le chiavi dell'account non devono essere scadute | Assicurarsi che le chiavi dell'account di archiviazione utente non siano scadute quando vengono impostati i criteri di scadenza della chiave, per migliorare la sicurezza delle chiavi dell'account eseguendo un'azione quando le chiavi sono scadute. | Audit, Deny, Disabled | 3.0.0 |
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono essere limitati da SKU consentiti | Limitare il set di SKU dell'account di archiviazione che l'organizzazione può distribuire. | Audit, Deny, Disabled | 1.1.0 |
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Archiviazione, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.1 |
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono avere criteri di firma di accesso condiviso configurati | Verificare che gli account di archiviazione dispongano di criteri di scadenza della firma di accesso condiviso (SAS) abilitati. Gli utenti usano una firma di accesso condiviso per delegare l'accesso alle risorse in Archiviazione di Azure account. I criteri di scadenza della firma di accesso condiviso consigliano un limite di scadenza superiore quando un utente crea un token di firma di accesso condiviso. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account di archiviazione. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono impedire la replica tra oggetti tenant | Controlla la restrizione della replica degli oggetti per l'account di archiviazione. Per impostazione predefinita, gli utenti possono configurare la replica di oggetti con un account di archiviazione di origine in un tenant di Azure AD e un account di destinazione in un tenant diverso. Si tratta di un problema di sicurezza perché i dati del cliente possono essere replicati in un account di archiviazione di proprietà del cliente. Impostando allowCrossTenantReplication su false, la replica degli oggetti può essere configurata solo se gli account di origine e di destinazione si trovano nello stesso tenant di Azure AD. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione gli account devono impedire l'accesso con chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Tra questi due tipi di autorizzazione, Azure AD fornisce una sicurezza superiore ed è più facile da usare rispetto a Chiave condivisa ed è consigliato da Microsoft. | Audit, Deny, Disabled | 2.0.0 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Archiviazione Gli account devono limitare l'accesso di rete solo tramite la configurazione di bypass ACL di rete. | Per migliorare la sicurezza degli account di Archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Archiviazione account devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled | 1.0.3 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
La tabella Archiviazione deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'archiviazione tabelle con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.StorageCache
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per cache HPC (microsoft.storagecache/caches) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Cache HPC account devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Azure Cache HPC con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
Microsoft.StorageSync
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione Archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione Archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DeployIfNotExists, Disabled | 1.0.0 |
Modifica - Configurare Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet del Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione Archiviazione tramite gli endpoint privati. | Modificare, Disabilitata | 1.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione Archiviazione alle richieste destinate a endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione Archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.ClassicStorage
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.