Wbudowane definicje usługi Azure Policy dla usługi Azure Storage
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Storage. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Microsoft.Storage
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla obiektów blob na kontach magazynu | Zapewnij ochronę kont magazynu, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla obiektów blob na kontach magazynu przy użyciu danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowej dla obiektów blob na wszystkich kontach magazynu, które zawierają dany tag do centralnego magazynu kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej obiektów blob dla wszystkich kont magazynu, które nie zawierają danego tagu do magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowych obiektów blob na wszystkich kontach magazynu, które nie zawierają danego tagu w centralnym magazynie kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
| [Wersja zapoznawcza]: Konta magazynu powinny być strefowo nadmiarowe | Konta magazynu można skonfigurować tak, aby było strefowo nadmiarowe lub nie. Jeśli nazwa jednostki SKU konta magazynu nie kończy się ciągiem "ZRS" lub jego rodzaj to "Magazyn", nie jest strefowo nadmiarowy. Te zasady zapewniają, że konta magazynu korzystają z konfiguracji strefowo nadmiarowej ae. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure File Sync z prywatnymi punktami końcowymi | Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu usługi synchronizacji magazynu. Dzięki temu można adresować zasób usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego przez siebie nie wyłącza publicznego punktu końcowego. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług Blob Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług Blob Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze blob, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług plików w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług plików w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie usługi plików, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usługi Queue Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usług Queue Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie usługi kolejkowania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurowanie ustawień diagnostycznych dla kont magazynu w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla kont magazynu w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie konta magazynu, dla których brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług Table Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usług Table Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze tabeli, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurowanie bezpiecznego transferu danych na koncie magazynu | Bezpieczny transfer to opcja, która wymusza na koncie magazynu akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu do korzystania z połączenia łącza prywatnego | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na konto magazynu, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kont magazynu w celu wyłączenia dostępu do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Modyfikowanie, wyłączone | 1.0.1 |
| Skonfiguruj konta magazynu, aby ograniczyć dostęp sieciowy tylko za pośrednictwem konfiguracji listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie publicznego dostępu do konta magazynu, aby było niedozwolone | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wdrażanie usługi Defender for Storage (klasycznej) na kontach magazynu | Te zasady umożliwiają usłudze Defender for Storage (wersja klasyczna) na kontach magazynu. | DeployIfNotExists, Disabled | 1.0.1 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przenoszenia magazynu (microsoft.storagemover/storagemovers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy usługi Azure File Sync jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. Pamiętaj, że istniejące konta magazynu nie zostaną zmodyfikowane w celu włączenia przechowywania wersji usługi Blob Storage. Tylko nowo utworzone konta magazynu będą miały włączoną obsługę wersji magazynu obiektów blob | Modyfikowanie, wyłączone | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Queue Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpiecz magazyn kolejek przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać podwójnego szyfrowania dla danych magazynowanych | Włącz szyfrowanie infrastruktury na potrzeby szyfrowania magazynowanych zakresów szyfrowania konta magazynu w celu zwiększenia bezpieczeństwa. Szyfrowanie infrastruktury gwarantuje, że dane są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klucze konta magazynu nie powinny być wygasłe | Upewnij się, że klucze konta magazynu użytkownika nie wygasły po ustawieniu zasad wygasania klucza, aby zwiększyć bezpieczeństwo kluczy kont przez podjęcie akcji po wygaśnięciu kluczy. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny być ograniczone przez dozwolone jednostki SKU | Ogranicz zestaw jednostek SKU konta magazynu, które organizacja może wdrożyć. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć skonfigurowane zasady sygnatury dostępu współdzielonego (SAS) | Upewnij się, że konta magazynu mają włączone zasady wygasania sygnatury dostępu współdzielonego (SAS). Użytkownicy używają sygnatury dostępu współdzielonego do delegowania dostępu do zasobów na koncie usługi Azure Storage. Zasady wygasania sygnatur dostępu współdzielonego zalecają górny limit wygaśnięcia, gdy użytkownik tworzy token SAS. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć określoną minimalną wersję protokołu TLS | Skonfiguruj minimalną wersję protokołu TLS na potrzeby bezpiecznej komunikacji między aplikacją kliencką a kontem magazynu. Aby zminimalizować ryzyko bezpieczeństwa, zalecana minimalna wersja protokołu TLS to najnowsza wersja, która jest obecnie protokołem TLS 1.2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwiać replikację obiektów między dzierżawami | Przeprowadź inspekcję ograniczeń replikacji obiektów dla konta magazynu. Domyślnie użytkownicy mogą konfigurować replikację obiektów przy użyciu źródłowego konta magazynu w jednej dzierżawie usługi Azure AD i koncie docelowym w innej dzierżawie. Jest to problem z zabezpieczeniami, ponieważ dane klienta można replikować do konta magazynu należącego do klienta. Ustawiając wartość allowCrossTenantReplication na wartość false, replikacja obiektów można skonfigurować tylko wtedy, gdy zarówno konta źródłowe, jak i docelowe znajdują się w tej samej dzierżawie usługi Azure AD. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego | Wymaganie inspekcji usługi Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Z tych dwóch typów autoryzacji to usługa Azure AD zapewnia większe bezpieczeństwo i jest ona łatwiejsza w użyciu niż klucz wspólny. Jest to także autoryzacja zalecana przez firmę Microsoft. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy tylko za pośrednictwem konfiguracji pomijania listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Usługa Table Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie magazynu tabel przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Microsoft.StorageCache
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
Microsoft.StorageSync
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure File Sync z prywatnymi punktami końcowymi | Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu usługi synchronizacji magazynu. Dzięki temu można adresować zasób usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego przez siebie nie wyłącza publicznego punktu końcowego. | DeployIfNotExists, Disabled | 1.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy usługi Azure File Sync jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Microsoft.ClassicStorage
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.