Definições internas do Azure Policy para o Backup do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Backup do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviço de Backup do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Prévia]: os cofres dos Serviços de Recuperação do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o cofre de serviços de recuperação não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do cofre dos serviços de recuperação. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar o link privado para backup | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/AB-PrivateEndpoints. | Audit, desabilitado | 2.0.0-preview |
| [Versão prévia]: O Backup e o Site Recovery devem ser Com Redundância de Zona | O Backup e o Site Recovery podem ser configurados para serem Com Redundância de Zona ou não. O Backup e o Site Recovery serão Com Redundância de Zona se a propriedade ''standardTierStorageRedundancy'' estiver definida como ''ZoneRedundant''. A imposição dessa política ajuda a garantir que o Backup e o Site Recovery sejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante as interrupções de zona. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão preliminar]: Configurar os cofres dos Serviços de Recuperação do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública no cofre dos serviços de recuperação de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modificar, Desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar pontos de extremidade privados em cofres dos Serviços de Recuperação do Azure | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para os recursos de recuperação de site dos cofres dos Serviços de Recuperação, você pode reduzir os riscos de perda de dados. Para usar links privados, a identidade do serviço gerenciado precisa ser atribuída aos cofres dos Serviços de Recuperação. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar os cofres dos Serviços de Recuperação para usar pontos de extremidade privados para backup | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear os pontos de extremidade privados para os cofres dos Serviços de Recuperação, você pode reduzir os riscos de vazamento de dados. Observe que seus cofres precisam atender a determinados pré-requisitos para serem qualificados para a configuração de ponto de extremidade privado. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão preliminar]: Desabilitar a Restauração entre Assinaturas para os cofres dos Serviços de Recuperação do Azure | Desabilitar ou Desabilitar Permanentemente a Restauração entre Assinaturas para o seu cofre dos Serviços de Recuperação, de modo que os destinos da restauração não possam estar em uma assinatura diferente da assinatura do cofre. Saiba mais em: https://aka.ms/csrenhancements. | Modificar, Desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: não permita a criação de cofres dos Serviços de Recuperação de redundância de armazenamento escolhida. | Os cofres dos Serviços de Recuperação podem ser criados com qualquer uma das três opções de redundância de armazenamento atualmente, ou seja, armazenamento com redundância local, armazenamento com redundância de zona e armazenamento com redundância geográfica. Se as políticas em sua organização exigirem que você bloqueie a criação de cofres que pertencem a um determinado tipo de redundância, você poderá obter o mesmo usando essa política do Azure. | Deny, Desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: a imutabilidade deve estar habilitada nos cofres de Serviços de Recuperação | Esta política audita se a propriedade de cofres imutáveis está ativada para os cofres dos Serviços de Recuperação no escopo. Isso ajuda a evitar que seus dados de backup sejam excluídos antes da expiração pretendida. Saiba mais em https://aka.ms/AB-ImmutableVaults. | Audit, desabilitado | 1.0.1 – versão prévia |
| [Versão prévia]: a MUA (Autorização multiusuário) deve estar habilitada para os Cofres dos Serviços de Recuperação. | Essa política audita se a MUA (Autorização multiusuário) estiver habilitada para os Cofres dos Serviços de Recuperação. O MUA ajuda a proteger seus Cofres dos Serviços de Recuperação adicionando uma camada adicional de proteção às operações críticas. Para saber mais, visite https://aka.ms/MUAforRSV. | Audit, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados para o Azure Site Recovery em: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. | Audit, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: a exclusão temporária deve ser habilitada nos cofres dos Serviços de Recuperação. | Essa política audita se a exclusão temporária estiver habilitada para cofres dos Serviços de Recuperação no escopo. A exclusão temporária pode ajudar você a recuperar seus dados mesmo depois que eles foram excluídos. Saiba mais em https://aka.ms/AB-SoftDelete. | Audit, desabilitado | 1.0.0 – versão prévia |
| O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| Configure o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
| Configure o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
| Configure o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
| Configurar o backup em máquinas virtuais sem uma marca especificada para um cofre dos Serviços de Recuperação existente na mesma localização | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
| Implantar as configurações de diagnóstico do cofre dos Serviços de Recuperação no workspace do Log Analytics para categorias específicas do recurso. | Implante as configurações de diagnóstico do cofre dos Serviços de Recuperação para transmitir para o workspace do Log Analytics de categorias específicas do recurso. Se uma das categorias específicas do recurso não estiver habilitada, uma configuração de diagnóstico será criada. | deployIfNotExists | 1.0.2 |
| Habilitar o registro em log por grupo de categorias para cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de cofres dos Serviços de Recuperação (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.