Ingebouwde Azure Policy-definities voor Azure Storage
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Storage. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Microsoft.Storage
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Backup moet zijn ingeschakeld voor blobs in opslagaccounts | Zorg voor beveiliging van uw opslagaccounts door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Back-up configureren voor blobs in opslagaccounts met een bepaalde tag naar een bestaande back-upkluis in dezelfde regio | Dwing back-ups af voor blobs op alle opslagaccounts die een bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Blob-back-up configureren voor alle opslagaccounts die geen bepaalde tag bevatten voor een back-upkluis in dezelfde regio | Dwing back-ups af voor blobs in alle opslagaccounts die geen bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
| [Preview]: Opslagaccounts moeten zone-redundant zijn | Opslagaccounts kunnen worden geconfigureerd als zone-redundant of niet. Als de SKU-naam van een opslagaccount niet eindigt op ZRS of als het type 'Opslag' is, is deze niet zone-redundant. Dit beleid zorgt ervoor dat uw opslagaccounts gebruikmaken van een zone-redundante configuratie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure File Sync configureren met privé-eindpunten | Er wordt een privé-eindpunt geïmplementeerd voor de aangegeven opslagsynchronisatieserviceresource. Hiermee kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Het bestaan van een of meer privé-eindpunten op zichzelf schakelt het openbare eindpunt niet uit. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Blob Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Blob Services geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een blobservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Bestandsservices naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Bestandsservices geïmplementeerd om resourcelogboeken naar een Log Analytics-werkruimte te streamen wanneer een bestandsservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Queue Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Queue Services geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een wachtrijservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Diagnostische instellingen configureren voor opslagaccounts naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor opslagaccounts geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer opslagaccounts waarvoor deze diagnostische instellingen ontbreken, worden gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Table Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Table Services geïmplementeerd om resourcelogboeken naar een Log Analytics-werkruimte te streamen wanneer een tabelservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Veilige overdracht van gegevens in een opslagaccount configureren | Veilige overdracht is een optie waarmee het opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Wijzigen, uitgeschakeld | 1.0.0 |
| Opslagaccount configureren voor het gebruik van een private link-verbinding | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw opslagaccount, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts configureren om openbare netwerktoegang uit te schakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Wijzigen, uitgeschakeld | 1.0.1 |
| Configureer opslagaccounts om de netwerktoegang te beperken via de configuratie van de netwerk-ACL. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Wijzigen, uitgeschakeld | 1.0.0 |
| Openbare toegang tot uw opslagaccount configureren zodat deze niet is toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | Wijzigen, uitgeschakeld | 1.0.0 |
| Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Defender for Storage (klassiek) implementeren in opslagaccounts | Met dit beleid schakelt u Defender for Storage (klassiek) in voor opslagaccounts. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor opslagverplaatsers (microsoft.storagemover/storagemovers) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor opslagverplaatsers (microsoft.storagemover/storagemovers) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor opslagverplaatsers (microsoft.storagemover/storagemovers) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
| HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling at rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Wijzigen - Azure File Sync configureren om openbare netwerktoegang uit te schakelen | Het openbare eindpunt van Azure File Sync dat toegankelijk is voor internet, wordt uitgeschakeld door uw organisatiebeleid. U hebt nog steeds toegang tot de opslagsynchronisatieservice via de bijbehorende privé-eindpunten. | Wijzigen, uitgeschakeld | 1.0.0 |
| Wijzigen - Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. Bestaande opslagaccounts worden niet gewijzigd om Blob Storage-versiebeheer in te schakelen. Alleen nieuw gemaakte opslagaccounts hebben Blob Storage-versiebeheer ingeschakeld | Wijzigen, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor Azure File Sync | Als u het openbare eindpunt uitschakelt, kunt u de toegang tot uw opslagsynchronisatieserviceresource beperken tot aanvragen die zijn bestemd voor goedgekeurde privé-eindpunten in het netwerk van uw organisatie. Er is niets inherent onveilig over het toestaan van aanvragen voor het openbare eindpunt, maar u kunt het uitschakelen om te voldoen aan wettelijke, juridische of organisatiebeleidsvereisten. U kunt het openbare eindpunt voor een opslagsynchronisatieservice uitschakelen door de inkomendeTrafficPolicy van de resource in te stellen op AllowVirtualNetworksOnly. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Queue Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw wachtrijopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK | Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Versleutelingsbereiken voor opslagaccounts moeten dubbele versleuteling gebruiken voor data-at-rest | Schakel infrastructuurversleuteling in voor versleuteling in rest van de versleutelingsbereiken van uw opslagaccount voor extra beveiliging. Infrastructuurversleuteling zorgt ervoor dat uw gegevens tweemaal worden versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccountsleutels mogen niet verlopen zijn | Zorg ervoor dat de sleutels van het gebruikersopslagaccount niet zijn verlopen wanneer het verloopbeleid voor sleutels is ingesteld, om de beveiliging van accountsleutels te verbeteren door actie te ondernemen wanneer de sleutels zijn verlopen. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan | Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten worden beperkt door toegestane SKU's | Beperk de set opslagaccount-SKU's die uw organisatie kan implementeren. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten openbare netwerktoegang uitschakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor opslagaccounts moet sas-beleid (Shared Access Signature) zijn geconfigureerd | Zorg ervoor dat voor opslagaccounts het verloopbeleid voor Shared Access Signature (SAS) is ingeschakeld. Gebruikers gebruiken een SAS om toegang tot resources in een Azure Storage-account te delegeren. Het sas-verloopbeleid raadt een hogere verlooplimiet aan wanneer een gebruiker een SAS-token maakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten de opgegeven minimale TLS-versie hebben | Configureer een minimale TLS-versie voor beveiligde communicatie tussen de clienttoepassing en het opslagaccount. Om het beveiligingsrisico te minimaliseren, is de aanbevolen minimale TLS-versie de meest recente versie, die momenteel TLS 1.2 is. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten replicatie van meerdere tenantobjecten voorkomen | Controleer de beperking van objectreplicatie voor uw opslagaccount. Standaard kunnen gebruikers objectreplicatie configureren met een bronopslagaccount in één Azure AD-tenant en een doelaccount in een andere tenant. Het is een beveiligingsprobleem omdat de gegevens van de klant kunnen worden gerepliceerd naar een opslagaccount dat eigendom is van de klant. Door allowCrossTenantReplication in te stellen op false, kan de replicatie van objecten alleen worden geconfigureerd als beide bron- en doelaccounts zich in dezelfde Azure AD-tenant bevinden. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen | Controleer de vereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory-referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Azure AD blinkt van deze twee typen autorisaties uit op het gebied van beveiliging en gebruiksgemak en wordt door Microsoft aanbevolen boven het gebruik van Gedeelde sleutel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten alleen netwerktoegang beperken via de netwerk-ACL-bypassconfiguratie. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle opslagaccounts gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Table Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw tabelopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Microsoft.StorageCache
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling at rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Microsoft.StorageSync
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure File Sync configureren met privé-eindpunten | Er wordt een privé-eindpunt geïmplementeerd voor de aangegeven opslagsynchronisatieserviceresource. Hiermee kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Het bestaan van een of meer privé-eindpunten op zichzelf schakelt het openbare eindpunt niet uit. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Wijzigen - Azure File Sync configureren om openbare netwerktoegang uit te schakelen | Het openbare eindpunt van Azure File Sync dat toegankelijk is voor internet, wordt uitgeschakeld door uw organisatiebeleid. U hebt nog steeds toegang tot de opslagsynchronisatieservice via de bijbehorende privé-eindpunten. | Wijzigen, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor Azure File Sync | Als u het openbare eindpunt uitschakelt, kunt u de toegang tot uw opslagsynchronisatieserviceresource beperken tot aanvragen die zijn bestemd voor goedgekeurde privé-eindpunten in het netwerk van uw organisatie. Er is niets inherent onveilig over het toestaan van aanvragen voor het openbare eindpunt, maar u kunt het uitschakelen om te voldoen aan wettelijke, juridische of organisatiebeleidsvereisten. U kunt het openbare eindpunt voor een opslagsynchronisatieservice uitschakelen door de inkomendeTrafficPolicy van de resource in te stellen op AllowVirtualNetworksOnly. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Microsoft.ClassicStorage
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor