Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona jest indeksem Azure Policy wbudowanych definicji zasad dla Azure Storage. Aby uzyskać dodatkowe wbudowane Azure Policy dla innych usług, zobacz Azure Policy wbudowane definicje.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w portalu Azure. Użyj linku w kolumnie Version aby wyświetlić źródło w repozytorium Azure Policy GitHub.
Microsoft. Magazynu
| Nazwisko (portal Azure) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [wersja zapoznawcza]: Azure Backup należy włączyć dla obiektów blob na kontach magazynu | Zapewnij ochronę kont magazynu, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: Azure Backup należy włączyć w udziałach plików Azure | Zapewnij ochronę udziałów plików Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla udziałów Azure Files przy użyciu danego tagu do nowego magazynu usługi Recovery Services przy użyciu nowych zasad | Wymuszanie tworzenia kopii zapasowej dla wszystkich Azure Files przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co konto magazynu. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można uwzględnić Azure Files na kontach magazynu zawierających określony tag, aby kontrolować zakres przypisania. | AudytJeśliNieIstnieje, WdróżJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie kopii zapasowej udziałów Azure Files przy użyciu danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuszanie tworzenia kopii zapasowej dla wszystkich Azure Files przez utworzenie kopii zapasowej do istniejącego centralnego magazynu usługi Recovery Services w tym samym regionie co konto magazynu. Magazyn może znajdować się w tej samej lub innej subskrypcji. Jest to przydatne, gdy centralny zespół zarządza kopiami zapasowymi w ramach subskrypcji. Opcjonalnie można uwzględnić Azure Files na kontach magazynu z określonym tagiem w celu kontrolowania zakresu przypisania zasad. | AudytJeśliNieIstnieje, WdróżJeśliNieIstnieje, Wyłączony | 2.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla udziałów Azure Files bez danego tagu do nowego magazynu usługi Recovery Services przy użyciu nowych zasad | Wymuszanie tworzenia kopii zapasowej dla wszystkich Azure Files przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co konto magazynu. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można wykluczyć Azure Files na kontach magazynu zawierających określony tag, aby kontrolować zakres przypisania. | AudytJeśliNieIstnieje, WdróżJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla udziałów Azure Files bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuszanie tworzenia kopii zapasowej dla wszystkich Azure Files przez utworzenie kopii zapasowej do istniejącego centralnego magazynu usługi Recovery Services w tym samym regionie co konto magazynu. Magazyn może znajdować się w tej samej lub innej subskrypcji. Jest to przydatne, gdy centralny zespół zarządza kopiami zapasowymi w ramach subskrypcji. Opcjonalnie można wykluczyć Azure Files na kontach magazynu z określonym tagiem w celu kontrolowania zakresu przypisania zasad. | AudytJeśliNieIstnieje, WdróżJeśliNieIstnieje, Wyłączony | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla obiektów blob na kontach magazynu przy użyciu danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowej dla obiektów blob na wszystkich kontach magazynu, które zawierają dany tag do centralnego magazynu kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej obiektów blob dla wszystkich kont magazynu, które nie zawierają danego tagu do magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowych obiektów blob na wszystkich kontach magazynu, które nie zawierają danego tagu w centralnym magazynie kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Konta magazynu powinny być strefowo nadmiarowe | Konta magazynu można skonfigurować tak, aby było strefowo nadmiarowe lub nie. Jeśli nazwa jednostki SKU konta magazynu nie kończy się ciągiem "ZRS" lub jego rodzaj to "Magazyn", nie jest strefowo nadmiarowy. Te zasady zapewniają, że konta magazynu korzystają z konfiguracji strefowo nadmiarowej ae. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Azure File Sync należy użyć łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konfiguruj Azure File Sync z prywatnymi punktami końcowymi | Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu usługi synchronizacji magazynu. Dzięki temu można adresować zasób usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego przez siebie nie wyłącza publicznego punktu końcowego. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj ustawienia diagnostyczne usług Blob Services do Log Analytics obszaru roboczego | Wdraża ustawienia diagnostyczne dla usług Blob Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego Log Analytics, gdy w dowolnej usłudze blob, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 4.0.0 |
| Konfiguruj ustawienia diagnostyczne usług plików, aby Log Analytics obszar roboczy | Wdraża ustawienia diagnostyczne usług plików w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego Log Analytics, gdy w każdej usłudze plików, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 4.0.0 |
| Konfiguruj ustawienia diagnostyczne usług kolejki do Log Analytics obszaru roboczego | Wdraża ustawienia diagnostyczne usług Queue Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego Log Analytics, gdy w każdej usłudze kolejki, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 4.0.1 |
| Konfiguruj ustawienia diagnostyczne kont magazynu do obszaru roboczego Log Analytics | Wdraża ustawienia diagnostyczne dla kont magazynu w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego Log Analytics, gdy wszystkie konta magazynu, dla których brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 4.0.0 |
| Konfiguruj ustawienia diagnostyczne usług Table Services w celu Log Analytics obszaru roboczego | Wdraża ustawienia diagnostyczne usług Table Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego Log Analytics, gdy w każdej usłudze tabeli, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 4.0.1 |
| Konfigurowanie bezpiecznego transferu danych na koncie magazynu | Bezpieczny transfer to opcja, która wymusza na koncie magazynu akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usuwania nietrwałego dla obiektów blob i kontenerów na kontach magazynu | Wdraża usuwanie nietrwałe zarówno dla obiektów blob, jak i kontenerów na kontach magazynu, jeśli nie zostało jeszcze włączone. Zapewnia to ochronę danych przy użyciu dostosowywalnego okresu przechowywania. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu do korzystania z połączenia łącza prywatnego | Prywatne punkty końcowe łączą sieć wirtualną z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na konto magazynu, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie kont magazynu w celu wyłączenia dostępu do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresowej publicznej poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Modyfikowanie, wyłączone | 1.0.1 |
| Skonfiguruj konta magazynu, aby ograniczyć dostęp sieciowy tylko za pośrednictwem konfiguracji listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie publicznego dostępu do konta magazynu, aby było niedozwolone | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w Azure Storage jest wygodnym sposobem udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niepożądanym dostępem anonimowym, Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że scenariusz tego wymaga. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Tworzenie regionalnego konta magazynu dla dzienników przepływu sieci wirtualnej w grupie zasobów RG | Tworzy regionalne konto magazynu w przypisanym zakresie i w obszarze grupy zasobów nwtarg-subscriptionID<> domyślnie dla dzienników przepływów sieci wirtualnej. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przenoszenia magazynu (microsoft.storagemover/storagemovers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| konta HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Modify — konfigurowanie Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy Azure File Sync dostępny z Internetu jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. Pamiętaj, że istniejące konta magazynu nie zostaną zmodyfikowane w celu włączenia przechowywania wersji usługi Blob Storage. Tylko nowo utworzone konta magazynu będą miały włączoną obsługę wersji magazynu obiektów blob | Modyfikowanie, wyłączone | 1.0.0 |
| Public dostęp sieciowy powinien być wyłączony dla Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Queue Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpiecz magazyn kolejek przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania Azure Storage magazynowanych można znaleźć tutaj https://aka.ms/azurestoragebyok. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza magazynu kluczy utworzonego i należącego do Ciebie Azure. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać podwójnego szyfrowania dla danych magazynowanych | Włącz szyfrowanie infrastruktury na potrzeby szyfrowania magazynowanych zakresów szyfrowania konta magazynu w celu zwiększenia bezpieczeństwa. Szyfrowanie infrastruktury gwarantuje, że dane są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klucze konta magazynu nie powinny być wygasłe | Upewnij się, że klucze konta magazynu użytkownika nie wygasły po ustawieniu zasad wygasania klucza, aby zwiększyć bezpieczeństwo kluczy kont przez podjęcie akcji po wygaśnięciu kluczy. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w Azure Storage jest wygodnym sposobem udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niepożądanym dostępem anonimowym, Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.1 |
| konta Storage powinny zezwalać na dostęp z zaufanych Microsoft services | Niektóre Microsoft services, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych Microsoft services na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny być ograniczone przez dozwolone jednostki SKU | Ogranicz zestaw jednostek SKU konta magazynu, które organizacja może wdrożyć. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konto magazynu należy migrować do nowych zasobów Azure Resource Manager | Użyj nowych Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Azure Resource Manager i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, Azure Uwierzytelnianie oparte na usłudze AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresowej publicznej poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć skonfigurowane zasady sygnatury dostępu współdzielonego (SAS) | Upewnij się, że konta magazynu mają włączone zasady wygasania sygnatury dostępu współdzielonego (SAS). Użytkownicy używają sygnatury dostępu współdzielonego do delegowania dostępu do zasobów na koncie Azure Storage. Zasady wygasania sygnatur dostępu współdzielonego zalecają górny limit wygaśnięcia, gdy użytkownik tworzy token SAS. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć określoną minimalną wersję protokołu TLS | Skonfiguruj minimalną wersję protokołu TLS na potrzeby bezpiecznej komunikacji między aplikacją kliencką a kontem magazynu. Aby zminimalizować ryzyko bezpieczeństwa, zalecana minimalna wersja protokołu TLS to najnowsza wersja, która jest obecnie protokołem TLS 1.2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwiać replikację obiektów między dzierżawami | Przeprowadź inspekcję ograniczeń replikacji obiektów dla konta magazynu. Domyślnie użytkownicy mogą konfigurować replikację obiektów przy użyciu źródłowego konta magazynu w jednej dzierżawie usługi AD Azure i koncie docelowym w innej dzierżawie. Jest to problem z zabezpieczeniami, ponieważ dane klienta można replikować do konta magazynu należącego do klienta. Ustawiając wartość false allowCrossTenantReplication, replikacja obiektów można skonfigurować tylko wtedy, gdy konta źródłowe i docelowe znajdują się w tej samej dzierżawie usługi AD Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego | Wymaganie inspekcji Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji usługa Azure AD zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego i jest zalecana przez Microsoft. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Wymaganie inspekcji Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji usługa Azure AD zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego i jest zalecana przez Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy tylko za pośrednictwem konfiguracji pomijania listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
| Konta magazynu powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Konta magazynu powinny używać łącza prywatnego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Tokeny SAS magazynu powinny być zgodne z 7-dniową maksymalną ważnością | Te zasady zapewniają, że tokeny sygnatury dostępu współdzielonego (SAS) dla kont magazynu są skonfigurowane z maksymalnym okresem ważności wynoszącym 7 dni lub mniej. Blokuje lub przeprowadza inspekcję kont magazynu, które zezwalają na dłuższe okresy istnienia tokenu SAS lub nie mają skonfigurowanych odpowiednich akcji wygasania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Table Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie magazynu tabel przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Microsoft. StorageCache
| Nazwisko (portal Azure) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| konta HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
Microsoft. StorageSync
| Nazwisko (portal Azure) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Azure File Sync należy użyć łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konfiguruj Azure File Sync z prywatnymi punktami końcowymi | Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu usługi synchronizacji magazynu. Dzięki temu można adresować zasób usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego przez siebie nie wyłącza publicznego punktu końcowego. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Modify — konfigurowanie Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy Azure File Sync dostępny z Internetu jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Public dostęp sieciowy powinien być wyłączony dla Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Microsoft. ClassicStorage
| Nazwisko (portal Azure) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konto magazynu należy migrować do nowych zasobów Azure Resource Manager | Użyj nowych Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Azure Resource Manager i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, Azure Uwierzytelnianie oparte na usłudze AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Następne kroki
- Zobacz wbudowane repozytorium Azure Policy GitHub.
- Przejrzyj strukturę definicji Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.