Wbudowane definicje inicjatyw usługi Azure Policy
Ta strona jest indeksem wbudowanych definicji inicjatyw usługi Azure Policy.
Nazwa każdego wbudowanego linku do źródła definicji inicjatywy w repozytorium GitHub usługi Azure Policy. Wbudowane elementy są pogrupowane według właściwości category w metadanych. Aby przejść do określonej kategorii, użyj klawiszy Ctrl-F dla funkcji wyszukiwania przeglądarki.
Automanage
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Inspekcja konfiguracji pod kątem najlepszych rozwiązań dotyczących automatycznego zarządzania | Najlepsze rozwiązania dotyczące automatycznego zarządzania maszynami zapewniają, że zarządzane zasoby są konfigurowane zgodnie z żądanym stanem zdefiniowanym w przypisanym profilu konfiguracji. | 6 | 1.0.1—wersja zapoznawcza |
ChangeTrackingAndInventory
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Włączanie rozwiązania ChangeTracking i spisu dla maszyn wirtualnych z obsługą usługi Arc | Włącz usługę ChangeTracking i inventory dla maszyn wirtualnych z obsługą usługi Arc. Pobiera identyfikator reguły zbierania danych jako parametr i prosi o opcję wprowadzania odpowiednich lokalizacji. | 6 | 1.0.0-preview |
| [Wersja zapoznawcza]: Włączanie funkcji ChangeTracking i spisu dla zestawów skalowania maszyn wirtualnych | Włącz usługę ChangeTracking i Inventory dla zestawów skalowania maszyn wirtualnych. Pobiera identyfikator reguły zbierania danych jako parametr i prosi o opcję wprowadzenia odpowiednich lokalizacji i tożsamości przypisanej przez użytkownika dla agenta usługi Azure Monitor. | 7 | 1.0.0-preview |
| [Wersja zapoznawcza]: Włączanie rozwiązania ChangeTracking i spisu dla maszyn wirtualnych | Włącz usługę ChangeTracking i inventory dla maszyn wirtualnych. Pobiera identyfikator reguły zbierania danych jako parametr i prosi o opcję wprowadzenia odpowiednich lokalizacji i tożsamości przypisanej przez użytkownika dla agenta usługi Azure Monitor. | 7 | 1.0.0-preview |
Cosmos DB
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Włączanie zasad przepływności usługi Azure Cosmos DB | Włącz kontrolę przepływności dla zasobów usługi Azure Cosmos DB w określonym zakresie (grupa zarządzania, subskrypcja lub grupa zasobów). Przyjmuje maksymalną przepływność jako parametr. Te zasady ułatwiają wymuszanie kontroli przepływności za pośrednictwem dostawcy zasobów. | 2 | 1.0.0 |
Ogólne
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Zezwalaj na zasoby kosztów użycia | Zezwalaj na wdrażanie zasobów z wyjątkiem MCPP, M365. | 2 | 1.0.0 |
Konfiguracja konta gościa
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrażanie wymagań wstępnych w celu włączenia zasad konfiguracji gościa na maszynach wirtualnych przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Ta inicjatywa dodaje tożsamość zarządzaną przypisaną przez użytkownika i wdraża odpowiednie dla platformy rozszerzenie Konfiguracja gościa na maszynach wirtualnych, które kwalifikują się do monitorowania przez zasady konfiguracji gościa. Jest to wymaganie wstępne dla wszystkich zasad konfiguracji gościa i musi być przypisane do zakresu przypisania zasad przed użyciem jakichkolwiek zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Ta inicjatywa przeprowadza inspekcję maszyn z systemem Windows przy użyciu ustawień, które nie spełniają punktu odniesienia zabezpieczeń obliczeń platformy Azure. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol | 29 | Wersja zapoznawcza 2.0.1 |
| Inspekcja maszyn przy użyciu niezabezpieczonych ustawień zabezpieczeń haseł | Ta inicjatywa wdraża wymagania dotyczące zasad i przeprowadza inspekcję maszyn z niezabezpieczonymi ustawieniami zabezpieczeń haseł. Aby uzyskać więcej informacji na temat zasad konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol | 9 | 1.1.0 |
| Konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows (w tym wymagania wstępne) | Tworzy przypisanie konfiguracji gościa (w tym wymagania wstępne), aby skonfigurować określoną wersję protokołu bezpiecznego (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| Wdrażanie wymagań wstępnych w celu włączenia zasad konfiguracji gościa na maszynach wirtualnych | Ta inicjatywa dodaje tożsamość zarządzaną przypisaną przez system i wdraża odpowiednie dla platformy rozszerzenie Konfiguracja gościa na maszynach wirtualnych, które kwalifikują się do monitorowania przez zasady konfiguracji gościa. Jest to wymaganie wstępne dla wszystkich zasad konfiguracji gościa i musi być przypisane do zakresu przypisania zasad przed użyciem jakichkolwiek zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | 100 | 1.0.0 |
Kubernetes
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Użyj integralności obrazu, aby upewnić się, że wdrażane są tylko zaufane obrazy | Użyj integralności obrazów, aby zapewnić, że klastry usługi AKS wdrażają tylko zaufane obrazy, włączając integralność obrazów i dodatki usługi Azure Policy w klastrach usługi AKS. Dodatek integralności obrazów i dodatek usługi Azure Policy to wymagania wstępne dotyczące używania integralności obrazu w celu sprawdzenia, czy obraz jest podpisany podczas wdrażania. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Wersja zapoznawcza]: Zabezpieczenia wdrożenia powinny pomóc deweloperom w kierunku zalecanych najlepszych rozwiązań usługi AKS | Kolekcja najlepszych rozwiązań platformy Kubernetes zalecanych przez usługę Azure Kubernetes Service (AKS). Aby uzyskać najlepsze środowisko, użyj zabezpieczeń wdrożenia, aby przypisać tę inicjatywę zasad: https://aka.ms/aks/deployment-safeguards. Dodatek usługi Azure Policy dla usługi AKS jest warunkiem wstępnym zastosowania tych najlepszych rozwiązań w klastrach. Aby uzyskać instrukcje dotyczące włączania dodatku usługi Azure Policy, przejdź do aka.ms/akspolicydoc | 19 | Wersja zapoznawcza 1.7.0 |
| Standardy punktu odniesienia zabezpieczeń zasobnika klastra Kubernetes dla obciążeń opartych na systemie Linux | Ta inicjatywa obejmuje zasady dotyczące standardów punktu odniesienia zabezpieczeń zasobników klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standardy z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux | Ta inicjatywa obejmuje zasady dotyczące standardów z ograniczeniami zabezpieczeń zasobników klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Tożsamość zarządzana
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej powinny być zatwierdzonymi typami z zatwierdzonych źródeł federacyjnych | Kontrolowanie użycia poświadczeń federacyjnych dla tożsamości zarządzanych. Ta inicjatywa powoduje całkowite zablokowanie poświadczeń tożsamości federacyjnej, ograniczenie użycia określonych typów dostawców federacyjnych oraz ograniczenie reationships federacji do zatwierdzonych źródeł. | 3 | 1.0.0-preview |
Monitorowanie
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Konfigurowanie agentów usługi Azure Defender for SQL na maszynach wirtualnych | Skonfiguruj maszyny wirtualne, aby automatycznie instalować agentów usługi Azure Defender for SQL, na których zainstalowano agenta usługi Azure Monitor. Usługa Security Center zbiera zdarzenia od agentów i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. Te zasady dotyczą tylko maszyn wirtualnych w kilku regionach. | 2 | 1.0.0-preview |
| Konfigurowanie maszyn z systemem Linux do uruchamiania agenta usługi Azure Monitor i kojarzenie ich z regułą zbierania danych | Monitoruj i zabezpieczaj maszyny wirtualne z systemem Linux, zestawy skalowania maszyn wirtualnych i maszyny usługi Arc, wdrażając rozszerzenie agenta usługi Azure Monitor i kojarząc maszyny z określoną regułą zbierania danych. Wdrożenie nastąpi na maszynach z obsługiwanymi obrazami systemu operacyjnego (lub maszynami pasującymi do podanej listy obrazów) w obsługiwanych regionach. | 100 | 3.2.0 |
| Konfigurowanie maszyn z systemem Windows do uruchamiania agenta usługi Azure Monitor i kojarzenie ich z regułą zbierania danych | Monitoruj i zabezpieczaj maszyny wirtualne z systemem Windows, zestawy skalowania maszyn wirtualnych i maszyny usługi Arc, wdrażając rozszerzenie agenta usługi Azure Monitor i kojarząc maszyny z określoną regułą zbierania danych. Wdrożenie nastąpi na maszynach z obsługiwanymi obrazami systemu operacyjnego (lub maszynami pasującymi do podanej listy obrazów) w obsługiwanych regionach. | 100 | 3.2.0 |
| Wdrażanie agenta usługi Azure Monitor systemu Linux przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika i kojarzenie z regułą zbierania danych | Monitoruj maszyny wirtualne z systemem Linux i zestawy skalowania maszyn wirtualnych, wdrażając rozszerzenie agenta usługi Azure Monitor przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika i kojarząc się z określoną regułą zbierania danych. Wdrożenie agenta usługi Azure Monitor będzie wykonywane na maszynach z obsługiwanymi obrazami systemu operacyjnego (lub maszynami pasującymi do podanej listy obrazów) w obsługiwanych regionach. | 5 | 2.3.0 |
| Wdrażanie agenta usługi Windows Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika i kojarzenie z regułą zbierania danych | Monitoruj maszyny wirtualne z systemem Windows i zestawy skalowania maszyn wirtualnych, wdrażając rozszerzenie agenta usługi Azure Monitor z uwierzytelnianiem tożsamości zarządzanej przypisanej przez użytkownika i kojarząc się z określoną regułą zbierania danych. Wdrożenie agenta usługi Azure Monitor będzie wykonywane na maszynach z obsługiwanymi obrazami systemu operacyjnego (lub maszynami pasującymi do podanej listy obrazów) w obsługiwanych regionach. | 5 | 2.3.0 |
| Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Ta inicjatywa wdraża ustawienie diagnostyczne przy użyciu grupy kategorii inspekcji w celu kierowania dzienników do centrum zdarzeń dla wszystkich obsługiwanych zasobów | 33 | 1.0.0 |
| Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Ta inicjatywa wdraża ustawienie diagnostyczne przy użyciu grupy kategorii inspekcji w celu kierowania dzienników do usługi Log Analytics dla wszystkich obsługiwanych zasobów. | 33 | 1.0.0 |
| Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Ta inicjatywa wdraża ustawienie diagnostyczne przy użyciu grupy kategorii inspekcji w celu kierowania dzienników do magazynu dla wszystkich obsługiwanych zasobów. | 33 | 1.0.0 |
| Włączanie usługi Azure Monitor dla hybrydowych maszyn wirtualnych za pomocą usługi AMA | Włącz usługę Azure Monitor dla hybrydowych maszyn wirtualnych za pomocą usługi AMA. | 6 | 1.0.0 |
| Włączanie Azure Monitor dla maszyn wirtualnych za pomocą agenta monitorowania platformy Azure (AMA) | Włącz usługę Azure Monitor dla maszyn wirtualnych za pomocą usługi AMA. | 7 | 1.0.0 |
| Włączanie usługi Azure Monitor dla usługi VMSS za pomocą agenta monitorowania platformy Azure (AMA) | Włącz usługę Azure Monitor dla zestawu skalowania maszyn wirtualnych (VMSS) przy użyciu usługi AMA. | 7 | 1.0.0 |
| Starsza wersja — włączanie usługi Azure Monitor dla zestawów skalowania maszyn wirtualnych | Starsza wersja — włącz usługę Azure Monitor dla zestawów skalowania maszyn wirtualnych w określonym zakresie (grupa zarządzania, subskrypcja lub grupa zasobów). Przyjmuje obszar roboczy usługi Log Analytics jako parametr. Użyj nowej inicjatywy o nazwie: Włączanie usługi Azure Monitor dla usługi VMSS za pomocą agenta monitorowania platformy Azure (AMA). Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. | 6 | 1.0.2 |
| Starsza wersja — włączanie Azure Monitor dla maszyn wirtualnych | Starsza wersja — włącz usługę Azure Monitor dla maszyn wirtualnych w określonym zakresie (grupa zarządzania, subskrypcja lub grupa zasobów). Przyjmuje obszar roboczy usługi Log Analytics jako parametr. Użyj nowej inicjatywy o nazwie: Włączanie Azure Monitor dla maszyn wirtualnych za pomocą agenta monitorowania platformy Azure (AMA) | 10 | 2.0.1 |
Sieć
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Dzienniki przepływu należy skonfigurować i włączyć dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane i czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | 2 | 1.0.0 |
Zgodność z przepisami
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Australian Government ISM PROTECTED | Ta inicjatywa obejmuje zasady, które dotyczą podzbioru mechanizmów kontroli ism (Australian Government Information Security Manual). Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/auism-initiative. | 54 | Wersja zapoznawcza 8.2.2 |
| [Wersja zapoznawcza]: CMMC 2.0 Poziom 2 | Ta inicjatywa obejmuje zasady, które dotyczą podzestawu praktyk CMMC 2.0 Level 2. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Wersja zapoznawcza]: Motion Picture Association of America (MPAA) | Ta inicjatywa obejmuje zasady wdrażania inspekcji i rozszerzeń maszyn wirtualnych, które dotyczą podzbioru mechanizmów kontroli zabezpieczeń i wytycznych dotyczących zabezpieczeń i wytycznych dotyczących programu Motion Picture Association of America (MPAA). Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/mpaa-init. | 36 | 4.1.0—wersja zapoznawcza |
| [Wersja zapoznawcza]: Bank Rezerw Indii — struktura IT dla banków | Ta inicjatywa obejmuje zasady, które dotyczą podzbioru struktury IT Bank of India dla mechanizmów kontroli banków. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Wersja zapoznawcza]: Bank Rezerw Indii — struktura IT dla NBFC | Ta inicjatywa obejmuje zasady, które dotyczą podzestawu mechanizmów kontroli Bank of India IT Framework dla firm finansowych niebędących bankami (NBFC). Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Wersja zapoznawcza]: Plan bazowy suwerenności — zasady poufne | Chmura firmy Microsoft dla suwerenności zaleca zasady poufne, aby pomóc organizacjom osiągnąć cele suwerenności domyślnie odmawiając tworzenia zasobów poza zatwierdzonymi regionami, odmawiając zasobów, które nie są wspierane przez poufne przetwarzanie platformy Azure, i odmawiając zasobów magazynu danych, które nie korzystają z kluczy zarządzanych przez klienta. Więcej szczegółów można znaleźć tutaj: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Wersja zapoznawcza]: Plan bazowy suwerenności — zasady globalne | Chmura firmy Microsoft dla suwerenności zaleca globalne zasady, aby pomóc organizacjom osiągnąć cele suwerenności domyślnie odmawiając tworzenia zasobów poza zatwierdzonymi regionami. Więcej szczegółów można znaleźć tutaj: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Wersja zapoznawcza]: SWIFT CSP-CSCF v2020 | Ta inicjatywa obejmuje zasady wdrażania inspekcji i rozszerzenia maszyny wirtualnej, które dotyczą podzbioru kontrolek SWIFT CSP-CSCF v2020. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/swift2020-init. | 59 | Wersja zapoznawcza 6.1.0 |
| [Wersja zapoznawcza]: SWIFT CSP-CSCF v2021 | Ta inicjatywa obejmuje zasady, które dotyczą podzestawu mechanizmów kontroli zabezpieczeń klienta programu SWIFT Customer Security Program w wersji 2021. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/swift2021-init. | 138 | Wersja zapoznawcza 4.6.0 |
| Certyfikat ACAT dla platformy Microsoft 365 | Narzędzie do automatyzacji zgodności aplikacji dla platformy Microsoft 365 (ACAT) upraszcza proces uzyskiwania certyfikacji platformy Microsoft 365, zobacz https://aka.ms/acat. Ten certyfikat gwarantuje, że aplikacje mają silne praktyki w zakresie zabezpieczeń i zgodności w celu ochrony danych klientów, zabezpieczeń i prywatności. Ta inicjatywa obejmuje zasady, które dotyczą podzestawu mechanizmów kontroli certyfikacji platformy Microsoft 365. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. | 24 | 1.0.0 |
| Canada Federal PBMM | Ta inicjatywa obejmuje zasady, które dotyczą podzbioru kontrolek Canada Federal PBMM. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark 1.1.0 | Center for Internet Security (CIS) to jednostka non-profit, której misją jest "identyfikowanie, opracowywanie, weryfikowanie, promowanie i utrzymanie najlepszych rozwiązań w zakresie cyberobrony". Testy porównawcze CIS to punkty odniesienia konfiguracji i najlepsze rozwiązania dotyczące bezpiecznego konfigurowania systemu. Te zasady dotyczą podzbioru kontrolek CIS Microsoft Azure Foundations Benchmark w wersji 1.1.0. Aby uzyskać więcej informacji, zobacz https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) to jednostka non-profit, której misją jest "identyfikowanie, opracowywanie, weryfikowanie, promowanie i utrzymanie najlepszych rozwiązań w zakresie cyberobrony". Testy porównawcze CIS to punkty odniesienia konfiguracji i najlepsze rozwiązania dotyczące bezpiecznego konfigurowania systemu. Te zasady dotyczą podzbioru kontrolek CIS Microsoft Azure Foundations Benchmark w wersji 1.3.0. Aby uzyskać więcej informacji, zobacz https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) to jednostka non-profit, której misją jest "identyfikowanie, opracowywanie, weryfikowanie, promowanie i utrzymanie najlepszych rozwiązań w zakresie cyberobrony". Testy porównawcze CIS to punkty odniesienia konfiguracji i najlepsze rozwiązania dotyczące bezpiecznego konfigurowania systemu. Te zasady dotyczą podzbioru kontrolek CIS Microsoft Azure Foundations Benchmark w wersji 1.4.0. Aby uzyskać więcej informacji, zobacz https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Center for Internet Security (CIS) to jednostka non-profit, której misją jest "identyfikowanie, opracowywanie, weryfikowanie, promowanie i utrzymanie najlepszych rozwiązań w zakresie cyberobrony". Testy porównawcze CIS to punkty odniesienia konfiguracji i najlepsze rozwiązania dotyczące bezpiecznego konfigurowania systemu. Te zasady dotyczą podzbioru kontrolek CIS Microsoft Azure Foundations Benchmark w wersji 2.0.0. Aby uzyskać więcej informacji, zobacz https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CmMC Poziom 3 | Ta inicjatywa obejmuje zasady spełniające podzbiór wymagań dotyczących certyfikacji modelu dojrzałości do cyberbezpieczeństwa (CMMC) poziomu 3. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | FedRAMP to amerykański program dla instytucji rządowych, który zapewnia ustandaryzowane podejście do oceny zabezpieczeń, autoryzacji i ciągłego monitorowania produktów i usług opartych na chmurze. FedRAMP definiuje zestaw mechanizmów kontroli dla systemów niskiego, umiarkowanego lub wysokiego poziomu wpływu zabezpieczeń na podstawie kontroli linii bazowej NIST. Te zasady dotyczą podzestawu kontrolek FedRAMP (High). Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP Moderate | FedRAMP to amerykański program dla instytucji rządowych, który zapewnia ustandaryzowane podejście do oceny zabezpieczeń, autoryzacji i ciągłego monitorowania produktów i usług opartych na chmurze. FedRAMP definiuje zestaw mechanizmów kontroli dla systemów niskiego, umiarkowanego lub wysokiego poziomu wpływu zabezpieczeń na podstawie kontroli linii bazowej NIST. Te zasady dotyczą podzestawu kontrolek FedRAMP (Umiarkowany). Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) pomaga organizacjom ze wszystkich sektorów, ale zwłaszcza skutecznie zarządzać danymi, ryzykiem informacyjnym i zgodnością. Certyfikacja HITRUST oznacza, że organizacja przeszła gruntowną ocenę programu zabezpieczeń informacji. Te zasady dotyczą podzestawu kontrolek HITRUST. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075 września 2016 r. | Ta inicjatywa obejmuje zasady, które dotyczą podzbioru kontrolek IRS1075 września 2016 r. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | Standard 27001 Międzynarodowej Organizacji Standaryzacji (ISO) zawiera wymagania dotyczące ustanawiania, implementowania, utrzymywania i ciągłego ulepszania systemu zarządzania bezpieczeństwem informacji (ISMS). Te zasady dotyczą podzestawu kontrolek ISO 27001:2013. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | Amerykański Narodowy Instytut Standardów i Technologii (NIST) promuje i utrzymuje standardy pomiarów oraz wytyczne ułatwiające ochronę systemów informacyjnych i informacyjnych agencji federalnych. W odpowiedzi na zarządzenie wykonawcze 13556 w sprawie zarządzania kontrolowanymi nieklasyfikowanymi informacjami (CUI), opublikował NIST SP 800-171. Te zasady dotyczą podzestawu kontrolek NIST SP 800-171 Rev. 2. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | National Institute of Standards and Technology (NIST) SP 800-53 R4 zapewnia ustandaryzowane podejście do oceny, monitorowania i autoryzowania produktów i usług przetwarzania w chmurze w celu zarządzania ryzykiem bezpieczeństwa informacji. Te zasady dotyczą podzestawu kontrolek NIST SP 800-53 R4. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 zapewnia ustandaryzowane podejście do oceny, monitorowania i autoryzowania produktów i usług przetwarzania w chmurze w celu zarządzania ryzykiem bezpieczeństwa informacji. Te zasady dotyczą podzestawu kontrolek NIST SP 800-53 R5. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| Motyw chmury NL BIO | Inicjatywa ta obejmuje zasady, które dotyczą holenderskich mechanizmów kontroli informatiebeveiliging (BIO) przeznaczonych specjalnie dla mechanizmów "thema-uitwerking Clouddiensten" i obejmują zasady objęte kontrolą SOC2 i ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | Payment Card Industry (PCI) Data Security Standards (DSS) to globalny standard bezpieczeństwa informacji zaprojektowany w celu zapobiegania oszustwom dzięki zwiększonej kontroli nad danymi kart kredytowych. Zgodność z normą PCI DSS jest wymagana dla każdej organizacji, która przechowuje, przetwarza lub przesyła dane dotyczące płatności i posiadaczy kart. Te zasady dotyczą podzestawu kontrolek PCI-DSS w wersji 4. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Ta inicjatywa obejmuje zasady, które dotyczą podzestawu kontrolek PCI v3.2.1:2018. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, zobacz https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malezja | Ta inicjatywa obejmuje zasady, które spełniają podzbiór wymagań RMIT. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, odwiedź stronę aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2, typ 2 | System and Organization Controls (SOC) 2 to raport oparty na zasadach i kryteriach usług zaufania ustanowionych przez American Institute of Certified Public Accountants (AICPA). Raport ocenia system informacji organizacji odpowiadający następującym zasadom: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność. Te zasady dotyczą podzestawu kontrolek SOC 2 Typu 2. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | Program SWIFT w zakresie bezpieczeństwa klientów (CSP) pomaga instytucjom finansowym zapewnić, że ich obrona przed cyberatakami jest aktualna i skuteczna, aby chronić integralność szerszej sieci finansowej. Użytkownicy porównują wdrożone przez nich środki zabezpieczeń z tymi opisanymi w przewodniku Customer Security Controls Framework (CSCF). Te zasady dotyczą podzbioru kontrolek SWIFT. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| UK OFFICIAL i UK NHS | Ta inicjatywa obejmuje zasady wdrażania rozszerzeń inspekcji i maszyn wirtualnych, które dotyczą podzbioru kontrolek UK OFFICIAL i UK NHS. Dodatkowe zasady zostaną dodane w nadchodzących wersjach. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/ukofficial-init i https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Odporność
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Zasoby powinny być odporne na strefy | Niektóre typy zasobów można wdrożyć strefowo nadmiarowe (bazy danych e.g. SQL); można wdrożyć strefę wyrównaną (np. maszyny wirtualne); i niektóre można wdrożyć wyrównywane strefy lub strefowo nadmiarowe (np. zestawy skalowania maszyn wirtualnych). Dopasowanie strefy nie gwarantuje odporności, ale jest podstawą, na której można skompilować odporne rozwiązanie (np. trzy strefy zestawów skalowania maszyn wirtualnych dopasowane do trzech różnych stref w tym samym regionie z modułem równoważenia obciążenia). Zobacz https://aka.ms/AZResilience , aby uzyskać więcej informacji. | 34 | 1.10.0-preview |
SDN
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Inspekcja dostępu do sieci publicznej | Inspekcja zasobów platformy Azure, które umożliwiają dostęp z publicznego Internetu | 35 | 4.2.0 |
| Ocena użycia usługi Private Link we wszystkich obsługiwanych zasobach platformy Azure | Zgodne zasoby mają co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego | 30 | 1.1.0 |
Security Center
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender | Wdróż agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach. | 100 | 1.0.0-preview |
| Konfigurowanie relacyjnej relacyjnej bazy danych typu open source w celu włączenia zaawansowanej ochrony przed zagrożeniami | Włącz usługę Advanced Threat Protection w relacyjnych bazach danych typu open source innej niż Podstawowa, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Zobacz: https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfigurowanie usługi Azure Defender do włączenia na serwerach SQL i w usłudze SQL Managed Instances | Włącz usługę Azure Defender na serwerach SQL i wystąpieniach zarządzanych SQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | 3 | 3.0.0 |
| Konfigurowanie planów Microsoft Defender dla Chmury | Microsoft Defender dla Chmury zapewnia kompleksowe, natywne dla chmury zabezpieczenia przed programowaniem i środowiskiem uruchomieniowym w środowiskach wielochmurowych. Użyj inicjatywy zasad, aby skonfigurować plany i rozszerzenia Defender dla Chmury, które mają być włączone w wybranych zakresach. | 11 | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender dla baz danych do włączenia | Skonfiguruj usługę Microsoft Defender dla baz danych w celu ochrony baz danych Azure SQL Database, wystąpień zarządzanych, relacyjnych baz danych typu open source i usługi Cosmos DB. | 100 | 1.0.0 |
| Konfigurowanie wielu ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury | Skonfiguruj wiele ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą Microsoft Defender dla Chmury (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION itp.). Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | 3 | 1.0.0 |
| Konfigurowanie maszyn wirtualnych SQL i serwerów SQL z obsługą usługi Arc w celu zainstalowania usługi Microsoft Defender for SQL i usługi AMA z obszarem roboczym la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agentów i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań dotyczących wzmacniania zabezpieczeń (zaleceń). Tworzy grupę zasobów oraz regułę zbierania danych i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | 9 | 1.2.1 |
| Konfigurowanie maszyn wirtualnych SQL i serwerów SQL z obsługą usługi Arc w celu zainstalowania usługi Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agentów i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań dotyczących wzmacniania zabezpieczeń (zaleceń). Tworzy grupę zasobów i regułę zbierania danych w tym samym regionie co obszar roboczy usługi Log Analytics zdefiniowany przez użytkownika. | 8 | 1.1.1 |
| Wzorzec bezpieczeństwa w chmurze Microsoft | Inicjatywa testu porównawczego zabezpieczeń w chmurze firmy Microsoft reprezentuje zasady i mechanizmy kontroli implementowania zaleceń dotyczących zabezpieczeń zdefiniowanych w testach porównawczych zabezpieczeń w chmurze firmy Microsoft, zobacz https://aka.ms/azsecbm. Służy to również jako domyślna inicjatywa zasad Microsoft Defender dla Chmury. Tę inicjatywę można przypisać bezpośrednio lub zarządzać jej zasadami i wynikami zgodności w Microsoft Defender dla Chmury. | 241 | 57.37.0 |
SQL
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Usługa Azure SQL Database powinna mieć uwierzytelnianie tylko firmy Microsoft | Wymagaj uwierzytelniania tylko firmy Microsoft dla usługi Azure SQL Database, wyłączając lokalne metody uwierzytelniania. Umożliwia to dostęp wyłącznie za pośrednictwem tożsamości firmy Microsoft Entra, zwiększając bezpieczeństwo dzięki nowoczesnym ulepszeniom uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, logowania jednokrotnego i dostępu programowego bez wpisów tajnych za pomocą tożsamości zarządzanych. | 2 | 1.0.0 |
| Usługa Azure SQL Managed Instance powinna mieć uwierzytelnianie tylko firmy Microsoft | Wymagaj uwierzytelniania tylko firmy Microsoft dla usługi Azure SQL Managed Instance, wyłączając lokalne metody uwierzytelniania. Umożliwia to dostęp wyłącznie za pośrednictwem tożsamości firmy Microsoft Entra, zwiększając bezpieczeństwo dzięki nowoczesnym ulepszeniom uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, logowania jednokrotnego i dostępu programowego bez wpisów tajnych za pomocą tożsamości zarządzanych. | 2 | 1.0.0 |
Synapsy
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Konfigurowanie obszarów roboczych usługi Synapse w celu autoryzacji tożsamości tylko firmy Microsoft na potrzeby uwierzytelniania | Wymagaj i skonfiguruj uwierzytelnianie tylko firmy Microsoft dla obszarów roboczych usługi Synapse, wyłączając lokalne metody uwierzytelniania. Umożliwia to dostęp wyłącznie za pośrednictwem tożsamości firmy Microsoft Entra, zwiększając bezpieczeństwo dzięki nowoczesnym ulepszeniom uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, logowania jednokrotnego i dostępu programowego bez wpisów tajnych za pomocą tożsamości zarządzanych. | 2 | 1.0.0 |
| Obszary robocze usługi Synapse powinny mieć uwierzytelnianie tylko firmy Microsoft | Wymagaj uwierzytelniania tylko firmy Microsoft dla obszarów roboczych usługi Synapse, wyłączając lokalne metody uwierzytelniania. Umożliwia to dostęp wyłącznie za pośrednictwem tożsamości firmy Microsoft Entra, zwiększając bezpieczeństwo dzięki nowoczesnym ulepszeniom uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, logowania jednokrotnego i dostępu programowego bez wpisów tajnych za pomocą tożsamości zarządzanych. | 2 | 1.0.0 |
Tagi
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| Zapewnia, że zasoby nie mają określonego tagu. | Odmawia utworzenia zasobu zawierającego dany tag. Te zasady nie dotyczą grup zasobów. | 1 | 2.0.0 |
Zaufane uruchamianie
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Konfigurowanie wymagań wstępnych w celu włączenia zaświadczania gościa na maszynach wirtualnych z włączoną obsługą zaufanego uruchamiania | Skonfiguruj maszyny wirtualne z obsługą zaufanego uruchamiania, aby automatycznie instalować rozszerzenie zaświadczania gościa i włączyć tożsamość zarządzaną przypisaną przez system, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. Aby uzyskać więcej informacji, zapoznaj się z następującym linkiem — https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
Wirtualne enklawy
| Nazwa/nazwisko | opis | Zasady | Wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi AKS w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi AKS zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi App Service w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi App Service zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi Container Registry w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi Container Registry zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi CosmosDB w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi CosmosDB zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia ustawień diagnostycznych dla określonych zasobów w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure w celu zapewnienia konfiguracji określonych typów zasobów w wirtualnych enklawach platformy Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi Key Vault w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi Key Vault zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia programu Microsoft SQL w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi Microsoft SQL zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia bazy danych PostgreSql w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla postgreSql zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia usługi Service Bus w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla usługi Service Bus zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontrolowanie użycia kont magazynu w wirtualnej enklawie | Ta inicjatywa wdraża zasady platformy Azure dla kont magazynu zapewniające ochronę granic tego zasobu, gdy działa w logicznie oddzielonej strukturze enklaw wirtualnych platformy Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.