Zasady w analizie w skali chmury

Przed rozważeniem wdrożenia ważne jest, aby organizacja wprowadziła zabezpieczenia. Za pomocą zasad platformy Azure można zaimplementować ład na potrzeby spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.

Tło

Podstawową zasadą analizy w skali chmury jest ułatwienie tworzenia, odczytywania, aktualizowania i usuwania zasobów zgodnie z potrzebami. Jednak przy jednoczesnym daniu nieograniczonego dostępu do zasobów deweloperom może zwiększyć elastyczność, może to również prowadzić do niezamierzonych konsekwencji kosztów. Rozwiązaniem tego problemu jest zarządzanie dostępem do zasobów. Ten ład to ciągły proces zarządzania, monitorowania i inspekcji korzystania z zasobów platformy Azure w celu spełnienia celów i wymagań organizacji.

Strefa docelowa Rozpoczynanie pracy z platformą Cloud Adoption Framework w skali przedsiębiorstwa korzysta już z tej koncepcji. Analiza w skali chmury dodaje niestandardowe zasady platformy Azure, aby opierać się na tych standardach. Standardy są następnie stosowane do stref docelowych zarządzania danymi i stref docelowych danych.

Usługa Azure Policy jest ważna podczas zapewniania zabezpieczeń i zgodności w ramach analizy w skali chmury. Pomaga wymuszać standardy i oceniać zgodność na dużą skalę. Zasady mogą służyć do oceniania zasobów na platformie Azure i porównywania ich z żądanymi właściwościami. Kilka zasad lub reguł biznesowych można zgrupować w inicjatywę. Poszczególne zasady lub inicjatywy można przypisać do różnych zakresów na platformie Azure. Te zakresy mogą być grupami zarządzania, subskrypcjami, grupami zasobów lub poszczególnymi zasobami. Przypisanie dotyczy wszystkich zasobów w zakresie, a podzakresy można wykluczyć z wyjątkami w razie potrzeby.

Uwagi dotyczące projektowania

Zasady platformy Azure w analizie w skali chmury zostały opracowane z uwzględnieniem następujących zagadnień projektowych:

• Zasady platformy Azure umożliwiają implementowanie ładu i wymuszanie reguł spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.
• Użyj dostępnych wstępnie utworzonych zasad, aby zaoszczędzić czas.
• Przypisz zasady do najwyższego poziomu możliwego w drzewie grup zarządzania, aby uprościć zarządzanie zasadami.
• Ogranicz przypisania usługi Azure Policy w zakresie głównej grupy zarządzania, aby uniknąć zarządzania za pomocą wykluczeń w dziedziczonych zakresach.
• W razie potrzeby należy używać tylko wyjątków zasad i wymagają zatwierdzenia.

Zasady platformy Azure na potrzeby analizy w skali chmury

Implementowanie zasad niestandardowych umożliwia wykonywanie większej liczby czynności za pomocą usługi Azure Policy. Analiza w skali chmury zawiera zestaw wstępnie utworzonych zasad, które ułatwiają zaimplementowanie wszelkich wymaganych środków zabezpieczających w środowisku.

Usługa Azure Policy powinna być podstawowym instrumentem zespołu platformy Azure (Data) w celu zapewnienia zgodności zasobów w strefie docelowej zarządzania danymi, stref docelowych danych oraz innych stref docelowych w dzierżawie organizacji. Ta funkcja platformy powinna służyć do wprowadzania barier zabezpieczających i wymuszania przestrzegania ogólnej zatwierdzonej konfiguracji usługi w odpowiednim zakresie grupy zarządzania. Zespoły platformy mogą używać usługi Azure Policy do wymuszania prywatnych punktów końcowych dla wszystkich kont magazynu hostowanych w środowisku platformy danych lub wymuszania szyfrowania TLS 1.2 podczas przesyłania wszystkich połączeń z kontami magazynu. Gdy wszystko będzie gotowe, uniemożliwi to wszystkim zespołom aplikacji danych hostowanie usług w stanie niezgodnym w odpowiednim zakresie dzierżawy.

Odpowiedzialne zespoły IT powinny korzystać z tej funkcji platformy, aby rozwiązać problemy związane z zabezpieczeniami i zgodnością oraz otworzyć podejście samoobsługowe w strefach docelowych (danych).

Analiza w skali chmury zawiera niestandardowe zasady związane z zarządzaniem zasobami i kosztami, uwierzytelnianiem, szyfrowaniem, izolacją sieci, rejestrowaniem, odpornością i nie tylko.

Uwaga

Podane zasady nie są domyślnie stosowane podczas wdrażania. Powinny one być wyświetlane tylko jako wskazówki i mogą być stosowane w zależności od wymagań biznesowych. Zasady należy zawsze stosować do najwyższego poziomu. W większości przypadków jest to grupa zarządzania. Wszystkie zasady są dostępne w naszym repozytorium GitHub.

• Wszystkie usługi
• Storage
• Magazyn kluczy
• Azure Data Factory
• Azure Synapse Analytics
• Azure Purview
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Wystąpienie zarządzane Azure SQL
• Azure SQL Database
• Azure Database for MariaDB
• Azure Database for MySQL
• Azure Database for PostgreSQL
• Azure AI Search
• Usługa DNS platformy Azure
• Sieciowa grupa zabezpieczeń
• Batch
• Azure Cache for Redis
• Wystąpienia kontenerów
• Azure Firewall
• HDInsight
• Power BI

Uwaga

Poniższe zasady nie są stosowane domyślnie podczas wdrażania. Powinny one być wyświetlane jako tylko wskazówki i mogą być stosowane w zależności od wymagań biznesowych. Zasady powinny być zawsze stosowane do najwyższego poziomu, a w większości przypadków będzie to grupa zarządzania. Wszystkie zasady są dostępne w naszym repozytorium GitHub.

Wszystkie usługi

Nazwa zasady	Obszar zasad	opis
Deny-PublicIp	Izolacja sieci	Ogranicz wdrażanie publicznych adresów IP.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Izolacja sieci	Odmów prywatnych punktów końcowych zasobom spoza dzierżawy i subskrypcji firmy Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Izolacja sieci	Wdraża konfiguracje grupy strefy Prywatna strefa DNS według parametru prywatnego punktu końcowego usługi. Służy do wymuszania konfiguracji do pojedynczej strefy Prywatna strefa DNS.
DiagnosticSettings-{Service}-LogAnalytics	Rejestrowanie	Wysyłanie ustawień diagnostycznych dla usługi Azure Cosmos DB do obszaru roboczego usługi Log Analytics.

Storage

Nazwa zasady	Obszar zasad	opis
Dołączanie szyfrowania magazynu	Szyfrowanie	Wymuszanie szyfrowania dla kont magazynu.
Deny-Storage-AllowBlobPublicAccess	Izolacja sieci	Wymusza brak publicznego dostępu do wszystkich obiektów blob ani kontenerów na koncie magazynu.
Deny-Storage-ContainerDeleteRetentionPolicy	Odporność	Wymuś zasady przechowywania usuwania kontenera większe niż siedem dni dla konta magazynu.
Deny-Storage-CorsRules	Izolacja sieci	Odmów reguł cors dla konta magazynu.
Deny-Storage-InfrastructureEncryption	Szyfrowanie	Wymuszanie szyfrowania infrastruktury (podwójnej) dla kont magazynu.
Deny-Storage-MinimumTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS 1.2 dla konta magazynu.
Deny-Storage-NetworkAclsBypass	Izolacja sieci	Wymusza obejście sieci do żadnej dla konta magazynu.
Deny-Storage-NetworkAclsIpRules	Izolacja sieci	Wymusza reguły adresów IP sieci dla konta magazynu.
Deny-Storage-NetworkAclsVirtualNetworkRules	Izolacja sieci	Odrzuca reguły sieci wirtualnej dla konta magazynu.
Deny-Storage-Sku	Zarządzanie zasobami	Wymusza jednostki SKU konta magazynu.
Deny-Storage-SupportsHttpsTrafficOnly	Szyfrowanie	Wymusza ruch https dla konta magazynu.
Deploy-Storage-BlobServices	Zarządzanie zasobami	Wdróż domyślne ustawienia usług blob services dla konta magazynu.
Deny-Storage-RoutingPreference	Izolacja sieci
Rodzaj odmowy magazynu	Zarządzanie zasobami
Deny-Storage-NetworkAclsDefaultAction	Izolacja sieci

Key Vault

Nazwa zasady	Obszar zasad	opis
Audit-KeyVault-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach magazynu kluczy.
Deny-KeyVault-NetworkAclsBypass	Izolacja sieci	Wymusza obejście reguł poziomu sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsDefaultAction	Izolacja sieci	Wymusza domyślną akcję poziomu listy ACL sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsIpRules	Izolacja sieci	Wymusza reguły adresów IP sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Izolacja sieci	Odrzuca reguły sieci wirtualnej dla magazynu kluczy.
Deny-KeyVault-PurgeProtection	Odporność	Wymusza ochronę przed przeczyszczeniem magazynu kluczy.
Deny-KeyVault-SoftDelete	Odporność	Wymusza usuwanie nietrwałe z minimalną liczbą dni przechowywania magazynu kluczy.
Deny-KeyVault-TenantId	Zarządzanie zasobami	Wymuszanie identyfikatora dzierżawy dla magazynu kluczy.

Azure Data Factory

Nazwa zasady	Obszar zasad	opis
Append-DataFactory-IdentityType	Uwierzytelnianie	Wymusza użycie tożsamości przypisanej przez system dla fabryki danych.
Deny-DataFactory-ApiVersion	Zarządzanie zasobami	Nie zezwala na starą wersję interfejsu API dla fabryki danych w wersji 1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Izolacja sieci	Odrzuca środowiska Integration Runtime, które nie są połączone z zarządzaną siecią wirtualną.
Deny-DataFactory-LinkedServicesConnectionStringType	Uwierzytelnianie	Nie zezwala na przechowywanie wpisów tajnych usługi Key Vault dla połączonych usług.
Deny-DataFactory-ManagedPrivateEndpoints	Izolacja sieci	Odrzuca zewnętrzne prywatne punkty końcowe dla połączonych usług.
Deny-DataFactory-PublicNetworkAccess	Izolacja sieci	Odmowa publicznego dostępu do fabryki danych.
Deploy-DataFactory-ManagedVirtualNetwork	Izolacja sieci	Wdrażanie zarządzanej sieci wirtualnej dla fabryki danych.
Deploy-SelfHostedIntegrationRuntime-sharing	Odporność	Udostępnianie własnego środowiska Integration Runtime hostowanego w centrum danych za pomocą fabryk danych w węzłach danych.

Azure Synapse Analytics

Nazwa zasady	Obszar zasad	opis
Append-Synapse-LinkedAccessCheckOnTargetResource	Izolacja sieci	Wymuszanie funkcji LinkedAccessCheckOnTargetResource w ustawieniach zarządzanej sieci wirtualnej po utworzeniu obszaru roboczego usługi Synapse.
Append-Synapse-Purview	Izolacja sieci	Wymuszanie połączenia między centralnym wystąpieniem usługi Purview i obszarem roboczym usługi Synapse.
Append-SynapseSpark-ComputeIsolation	Zarządzanie zasobami	Po utworzeniu puli platformy Spark usługi Synapse bez izolacji obliczeniowej zostanie ona dodana.
Append-SynapseSpark-DefaultSparkLogFolder	Rejestrowanie	Po utworzeniu puli platformy Spark usługi Synapse bez rejestrowania zostanie ona dodana.
Append-SynapseSpark-SessionLevelPackages	Zarządzanie zasobami	Po utworzeniu puli platformy Spark usługi Synapse bez pakietów na poziomie sesji zostanie ona dodana.
Audit-Synapse-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Izolacja sieci
Deny-Synapse-Firewall	Izolacja sieci	Skonfiguruj zaporę usługi Synapse.
Deny-Synapse-ManagedVirtualNetwork	Izolacja sieci	Po utworzeniu obszaru roboczego usługi Synapse bez zarządzanej sieci wirtualnej zostanie ona dodana.
Deny-Synapse-PreventDataExfiltration	Izolacja sieci	Wymuszona ochrona przed eksfiltracją danych dla zarządzanej sieci wirtualnej usługi Synapse.
Deny-SynapsePrivateLinkHub	Izolacja sieci	Odmawia usługi Synapse Private Link Hub.
Deny-SynapseSpark-AutoPause	Zarządzanie zasobami	Wymusza automatyczne wstrzymywanie dla pul platformy Spark usługi Synapse.
Deny-SynapseSpark-AutoScale	Zarządzanie zasobami	Wymusza automatyczne skalowanie dla pul platformy Spark usługi Synapse.
Deny-SynapseSql-Sku	Zarządzanie zasobami	Odrzuca niektóre jednostki SKU puli SQL usługi Synapse.
Deploy-SynapseSql-AuditingSettings	Rejestrowanie	Wysyłanie dzienników inspekcji dla pul SQL usługi Synapse do analizy dzienników.
Deploy-SynapseSql-MetadataSynch	Zarządzanie zasobami	Konfigurowanie synchronizacji metadanych dla pul SQL usługi Synapse.
Deploy-SynapseSql-SecurityAlertPolicies	Rejestrowanie	Wdróż zasady alertów zabezpieczeń puli SQL usługi Synapse.
Deploy-SynapseSql-TransparentDataEncryption	Szyfrowanie	Wdrażanie funkcji Transparent Data Encryption w usłudze Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment	Rejestrowanie	Wdrażanie ocen luk w zabezpieczeniach puli SQL usługi Synapse.

Azure Purview

Nazwa zasady	Obszar zasad	opis
Deny-Purview	Zarządzanie zasobami	Ogranicz wdrażanie kont usługi Purview, aby uniknąć rozprzestrzeniania się.

Azure Databricks

Nazwa zasady	Obszar zasad	opis
Append-Databricks-PublicIp	Izolacja sieci	Wymusza brak publicznego dostępu do obszarów roboczych usługi Databricks.
Deny-Databricks-Sku	Zarządzanie zasobami	Odmów jednostki SKU usługi Databricks innej niż Premium.
Deny-Databricks-VirtualNetwork	Izolacja sieci	Odmów wdrożenia sieci niewirtualnej dla usługi Databricks.

Dodatkowe zasady stosowane w obszarze roboczym usługi Databricks za pomocą zasad klastra:

Nazwa zasad klastra	Obszar zasad
Ograniczanie wersji platformy Spark	Zarządzanie zasobami
Ograniczanie rozmiaru klastra i typów maszyn wirtualnych	Zarządzanie zasobami
Wymuszanie tagowania kosztów	Zarządzanie zasobami
Wymuszanie autoskalowania	Zarządzanie zasobami
Wymuszanie automatycznego wypełniania	Zarządzanie zasobami
Ograniczanie jednostek DBU na godzinę	Zarządzanie zasobami
Odmowa publicznego protokołu SSH	Uwierzytelnianie
Włączone przekazywanie poświadczeń klastra	Uwierzytelnianie
Włączanie izolacji procesów	Izolacja sieciowa
Wymuszanie monitorowania platformy Spark	Rejestrowanie
Wymuszanie dzienników klastra	Rejestrowanie
Zezwalaj tylko na język SQL, Python	Zarządzanie zasobami
Odmowa dodatkowych skryptów konfiguracji	Zarządzanie zasobami

Azure IoT Hub

Nazwa zasady	Obszar zasad	opis
Append-IotHub-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla centrum iot.
Audit-IotHub-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach dla centrów iot.
Deny-IotHub-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla centrum iot.
Deny-IotHub-Sku	Zarządzanie zasobami	Wymusza jednostki SKU centrum iot.
Deploy-IotHub-IoTSecuritySolutions	Zabezpieczenia	Wdrażanie usługi Microsoft Defender dla IoT dla usługi IoT Hubs.

Azure Event Hubs

Nazwa zasady	Obszar zasad	opis
Deny-EventHub-Ipfilterrules	Izolacja sieci	Odmów dodawania reguł filtrowania adresów IP dla usługi Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits	Izolacja sieci	Odmowa dostępu do sieci publicznej dla moich serwerów SQL.
Deny-EventHub-NetworkRuleSet	Izolacja sieci	Wymusza domyślne reguły sieci wirtualnej dla usługi Azure Event Hubs.
Deny-EventHub-Sku	Zarządzanie zasobami	Odrzuca niektóre jednostki AKU dla usługi Azure Event Hubs.
Deny-EventHub-Virtualnetworkrules	Izolacja sieci	Odmów dodawania reguł sieci wirtualnej dla usługi Azure Event Hubs.

Azure Stream Analytics

Nazwa zasady	Obszar zasad	opis
Append-StreamAnalytics-IdentityType	Uwierzytelnianie	Wymusza użycie tożsamości przypisanej przez system na potrzeby usługi Stream Analytics.
Deny-StreamAnalytics-ClusterId	Zarządzanie zasobami	Wymusza użycie klastra usługi Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Zarządzanie zasobami	Wymusza liczbę jednostek przesyłania strumieniowego usługi Stream Analytics.

Azure Data Explorer

Nazwa zasady	Obszar zasad	opis
Deny-DataExplorer-DiskEncryption	Szyfrowanie	Wymusza użycie szyfrowania dysków dla eksploratora danych.
Deny-DataExplorer-DoubleEncryption	Szyfrowanie	Wymusza użycie podwójnego szyfrowania w eksploratorze danych.
Deny-DataExplorer-Identity	Uwierzytelnianie	Wymusza użycie tożsamości przypisanej przez system lub użytkownika dla eksploratora danych.
Deny-DataExplorer-Sku	Zarządzanie zasobami	Wymusza jednostki SKU eksploratora danych.
Deny-DataExplorer-TrustedExternalTenants	Izolacja sieci	Odrzuca zewnętrzne dzierżawy dla eksploratora danych.
Deny-DataExplorer-VirtualNetworkConfiguration	Izolacja sieci	Wymusza pozyskiwanie sieci wirtualnej dla eksploratora danych.

Azure Cosmos DB

Nazwa zasady	Obszar zasad	opis
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Uwierzytelnianie	Odmowa dostępu do zapisu metadanych opartych na kluczach dla kont usługi Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Izolacja sieci	Wymusza brak dostępu do sieci publicznej dla kont usługi Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure Cosmos DB.
Deny-Cosmos-Cors	Izolacja sieci	Odrzuca reguły CORS dla kont usługi Azure Cosmos DB".
Deny-Cosmos-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla kont usługi Azure Cosmos DB.

Azure Container Registry

Nazwa zasady	Obszar zasad	opis
Audit-ContainerRegistry-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usług Cognitive Services.
Deny-ContainerRegistry-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla rejestru kontenerów.
Deny-ContainerRegistry-Sku	Zarządzanie zasobami	Wymusza jednostkę SKU w warstwie Premium dla rejestru kontenerów.

Azure Cognitive Services

Nazwa zasady	Obszar zasad	opis
Append-CognitiveServices-IdentityType	Uwierzytelnianie	Wymusza użycie tożsamości przypisanej przez system dla usług Cognitive Services.
Audit-CognitiveServices-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usług Cognitive Services.
Deny-CognitiveServices-Encryption	Szyfrowanie	Wymusza użycie szyfrowania dla usług Cognitive Services.
Deny-CognitiveServices-PublicNetworkAccess	Izolacja sieci	Wymusza brak dostępu do sieci publicznej dla usług Cognitive Services.
Deny-CognitiveServices-Sku	Zarządzanie zasobami	Odmowa bezpłatnej jednostki SKU usług Cognitive Services.
Deny-CognitiveServices-UserOwnedStorage	Izolacja sieci	Wymusza magazyn należący do użytkownika dla usług Cognitive Services.

Azure Machine Learning

Nazwa zasady	Obszar zasad	opis
Append-MachineLearning-PublicAccessWhenBehindVnet	Izolacja sieci	Odmowa publicznego dostępu za siecią wirtualną dla obszarów roboczych uczenia maszynowego.
Audit-MachineLearning-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach na potrzeby uczenia maszynowego.
Deny-MachineLearning-HbiWorkspace	Izolacja sieci	Wymuszanie obszarów roboczych uczenia maszynowego o dużym wpływie na działalność biznesową w całym środowisku.
Deny-MachineLearningAks	Zarządzanie zasobami	Odmów tworzenia usługi AKS (nie dołączania) w uczeniu maszynowym.
Deny-MachineLearningCompute-SubnetId	Izolacja sieci	Odmów publicznego adresu IP dla klastrów obliczeniowych i wystąpień uczenia maszynowego.
Deny-MachineLearningCompute-VmSize	Zarządzanie zasobami	Ogranicz dozwolone rozmiary maszyn wirtualnych dla klastrów obliczeniowych i wystąpień uczenia maszynowego.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Izolacja sieci	Odmowa publicznego dostępu do klastrów za pośrednictwem protokołu SSH.
Deny-MachineLearningComputeCluster-Scale	Zarządzanie zasobami	Wymuszanie ustawień skalowania dla klastrów obliczeniowych uczenia maszynowego.

Wystąpienie zarządzane Azure SQL

Nazwa zasady	Obszar zasad	opis
Append-SqlManagedInstance-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla serwerów usługi SQL Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint	Izolacja sieci	Odmawia publicznego punktu końcowego danych dla usługi SQL Managed Instances.
Deny-SqlManagedInstance-Sku	Zarządzanie zasobami
Deny-SqlManagedInstance-SubnetId	Izolacja sieci	Wymusza wdrożenia w podsieciach usługi SQL Managed Instances.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Uwierzytelnianie	Wymusza uwierzytelnianie tylko firmy Microsoft dla usługi SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Rejestrowanie	Wdrażanie zasad alertów zabezpieczeń usługi SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Rejestrowanie	Wdrażanie ocen luk w zabezpieczeniach usługi SQL Managed Instance.

Azure SQL Database

Nazwa zasady	Obszar zasad	opis
Append-Sql-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla serwerów SQL.
Audit-Sql-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure SQL.
Deny-Sql-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla serwerów SQL.
Deny-Sql-StorageAccountType	Odporność	Wymusza geograficznie nadmiarową kopię zapasową bazy danych.
Deploy-Sql-AuditingSettings	Rejestrowanie	Wdrażanie ustawień inspekcji SQL.
Deploy-Sql-AzureAdOnlyAuthentications	Uwierzytelnianie	Wymusza uwierzytelnianie tylko firmy Microsoft dla programu SQL Server.
Deploy-Sql-SecurityAlertPolicies	Rejestrowanie	Wdrażanie zasad alertów zabezpieczeń SQL.
Deploy-Sql-TransparentDataEncryption	Szyfrowanie	Wdrażanie przezroczystego szyfrowania danych SQL.
Deploy-Sql-VulnerabilityAssessment	Rejestrowanie	Wdrażanie ocen luk w zabezpieczeniach SQL.
Deploy-SqlDw-AuditingSettings	Rejestrowanie	Wdrażanie ustawień inspekcji usługi SQL DW.

Azure Database for MariaDB

Nazwa zasady	Obszar zasad	opis
Append-MariaDb-minimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla serwerów MariaDB.
Audit-MariaDb-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi MariaDB.
Deny-MariaDb-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla serwerów my MariaDB.
Deny-MariaDb-StorageProfile	Odporność	Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-MariaDb-SecurityAlertPolicies	Rejestrowanie	Wdrażanie zasad alertów zabezpieczeń SQL dla bazy danych MariaDB

Azure Database for MySQL

Nazwa zasady	Obszar zasad	opis
Append-MySQL-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla serwerów MySQL.
Audit-MySql-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach programu MySQL.
Deny-MySQL-InfrastructureEncryption	Szyfrowanie	Wymusza szyfrowanie infrastruktury dla serwerów MySQL.
Deny-MySQL-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla serwerów MySQL.
Deny-MySql-StorageProfile	Odporność	Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-MySql-SecurityAlertPolicies	Rejestrowanie	Wdrażanie zasad alertów zabezpieczeń SQL dla programu MySQL.

Azure Database for PostgreSQL

Nazwa zasady	Obszar zasad	opis
Append-PostgreSQL-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla serwerów PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach dla bazy danych PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Szyfrowanie	Wymusza szyfrowanie infrastruktury dla serwerów PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla serwerów PostgreSQL.
Deny-PostgreSql-StorageProfile	Odporność	Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-PostgreSql-SecurityAlertPolicies	Rejestrowanie	Wdrażanie zasad alertów zabezpieczeń SQL dla bazy danych PostgreSQL.

Wyszukiwanie AI platformy Azure

Nazwa zasady	Obszar zasad	opis
Append-Search-IdentityType	Uwierzytelnianie	Wymusza użycie tożsamości przypisanej przez system dla usługi Azure AI Search.
Audit-Search-PrivateEndpointId	Izolacja sieci	Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure AI Search.
Deny-Search-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla usługi Azure AI Search.
Deny-Search-Sku	Zarządzanie zasobami	Wymusza jednostki SKU usługi Azure AI Search.

Usługa DNS platformy Azure

Nazwa zasady	Obszar zasad	opis
Deny-PrivateDnsZones	Zarządzanie zasobami	Ogranicz wdrażanie prywatnych stref DNS, aby uniknąć rozprzestrzeniania się.

Sieciowa grupa zabezpieczeń

Nazwa zasady	Obszar zasad	opis
Deploy-Nsg-FlowLogs	Rejestrowanie	Wdrażanie dzienników przepływu sieciowej grupy zabezpieczeń i analizy ruchu.

Batch

Nazwa zasady	Obszar zasad	opis
Deny-Batch-InboundNatPools	Izolacja sieci	Odrzuca pule adresów sieciowych dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-NetworkConfiguration	Izolacja sieci	Odrzuca publiczne adresy IP dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-PublicNetworkAccess	Izolacja sieci	Odmowa dostępu do sieci publicznej dla kont wsadowych.
Odmowa i skalowanie wsadowe	Zarządzanie zasobami	Odrzuca niektóre konfiguracje skalowania dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-VmSize	Zarządzanie zasobami	Odrzuca niektóre rozmiary maszyn wirtualnych dla pul maszyn wirtualnych kont wsadowych.

Azure Cache for Redis

Nazwa zasady	Obszar zasad	opis
Deny-Cache-Enterprise	Zarządzanie zasobami	Odrzuca usługę Redis Cache Enterprise.
Deny-Cache-FirewallRules	Izolacja sieci	Odrzuca reguły zapory dla pamięci podręcznej Redis Cache.
Deny-Cache-MinimumTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla pamięci podręcznej Redis Cache.
Deny-Cache-NonSslPort	Izolacja sieci	Wymusza wyłączenie portu innego niż SSL dla pamięci podręcznej Redis Cache.
Deny-Cache-PublicNetworkAccess	Izolacja sieci	Wymusza brak dostępu do sieci publicznej dla pamięci podręcznej Redis Cache.
Deny-Cache-Sku	Zarządzanie zasobami	Wymusza niektóre jednostki SKU dla pamięci podręcznej Redis Cache.
Deny-Cache-VnetInjection	Izolacja sieci	Wymusza użycie prywatnych punktów końcowych i uniemożliwia wstrzyknięcie sieci wirtualnej dla pamięci podręcznej Redis Cache.

Wystąpienia kontenerów

Nazwa zasady	Obszar zasad	opis
Deny-ContainerInstance-PublicIpAddress	Izolacja sieci	Odrzuca publiczne wystąpienia kontenerów utworzone na podstawie usługi Azure Machine Learning.

Azure Firewall

Nazwa zasady	Obszar zasad	opis
Odmowa zapory	Zarządzanie zasobami	Ogranicz wdrażanie usługi Azure Firewall, aby uniknąć proliferacji.

HDInsight

Nazwa zasady	Obszar zasad	opis
Deny-HdInsight-EncryptionAtHost	Szyfrowanie	Wymuszanie szyfrowania na hoście dla klastrów usługi HDInsight.
Deny-HdInsight-EncryptionInTransit	Szyfrowanie	Wymusza szyfrowanie podczas przesyłania dla klastrów usługi HDInsight.
Deny-HdInsight-MinimalTlsVersion	Szyfrowanie	Wymusza minimalną wersję protokołu TLS dla klastrów usługi HDInsight.
Deny-HdInsight-NetworkProperties	Izolacja sieci	Wymusza włączenie łącza prywatnego dla klastrów usługi HDInsight.
Deny-HdInsight-Sku		Wymusza niektóre jednostki SKU dla klastrów usługi HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Izolacja sieci	Wymusza iniekcję sieci wirtualnej dla klastrów usługi HDInsight.

Power BI

Nazwa zasady	Obszar zasad	opis
Deny-PrivateLinkServicesForPowerBI	Zarządzanie zasobami	Ogranicz wdrażanie usług łącza prywatnego dla usługi Power BI, aby uniknąć rozprzestrzeniania się.

Następne kroki

• Wymagania dotyczące zarządzania danymi w nowoczesnym przedsiębiorstwie
• Składniki potrzebne do zapewnienia ładu danych