Definições internas do Azure Policy para o Armazenamento do Azure

Esta página é um índice de definições de políticas internas do Azure Policy para o Armazenamento do Microsoft Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.

O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.

Microsoft.Storage

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: [Versão prévia]: configurar o backup para blobs em contas de armazenamento com uma determinada marca para um cofre de backup existente na mesma região Imponha o backup para blobs em todas as contas de armazenamento que contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.0-preview
[Versão prévia]: [Versão prévia]: configurar o backup de blobs para todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup na mesma região Imponha o backup para blobs em todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.0-preview
[Versão prévia]: [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
Configurar a Sincronização de Arquivos do Azure com pontos de extremidade privados Um ponto de extremidade privado é implantado para o recurso de Serviço de Sincronização de Armazenamento indicado. Isso permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privados da rede da sua organização, em vez de pelo ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados, por si só, não desabilita o ponto de extremidade público. DeployIfNotExists, desabilitado 1.0.0
Definir as configurações de diagnóstico do serviço Blob para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Blob para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Blob sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Definir as configurações de diagnóstico do serviço Arquivos para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Arquivos para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Arquivos sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Definir as configurações de diagnóstico do serviço Filas para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Fila para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Fila sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Definir as configurações de diagnóstico das contas de armazenamento para o workspace do Log Analytics Implanta as configurações de diagnóstico para transmitir os logs de recurso a um workspace do Log Analytics quando uma conta de armazenamento sem essas configurações de diagnóstico for criada ou atualizada. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Definir as configurações de diagnóstico do serviço Tabelas para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Tabela para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Tabela sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Configurar a transferência segura de dados em uma conta de armazenamento A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Modificar, Desabilitado 1.0.0
Configurar a Conta de armazenamento para usar uma conexão de link privado Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para a conta de armazenamento, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview DeployIfNotExists, desabilitado 1.0.0
Configurar contas de armazenamento para desabilitar o acesso à rede pública Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Modificar, Desabilitado 1.0.1
Configurar o acesso público à conta de armazenamento como não permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. Modificar, Desabilitado 1.0.0
Implantar a Proteção Avançada contra Ameaças em contas de armazenamento Essa política habilita a Proteção Avançada contra Ameaças em contas de armazenamento. DeployIfNotExists, desabilitado 1.0.0
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento Usar a redundância geográfica para criar aplicativos altamente disponíveis Audit, desabilitado 1.0.0
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditoria, desabilitado, negação 2.0.0
Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. Modificar, Desabilitado 1.0.0
O acesso à rede pública deve ser desabilitado para a Sincronização de Arquivos do Azure A desabilitação do ponto de extremidade público permite restringir o acesso ao seu recurso de Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um serviço de sincronização de armazenamento definindo o incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. Audit, Deny, desabilitado 1.0.0
O Armazenamento de Filas deve usar chave gerenciada pelo cliente para criptografia Proteja seu armazenamento de filas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. AuditIfNotExists, desabilitado 1.0.0
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. Audit, Deny, desabilitado 1.0.0
Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para os dados inativos Habilite a criptografia de infraestrutura para criptografia em repouso em seus escopos de criptografia de conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
As chaves da conta de armazenamento não devem expirar Verifique se as chaves da conta de armazenamento do usuário não expiraram quando a política de expiração de chave é definida a fim de melhorar a segurança das chaves de conta com a execução de uma ação quando as chaves expiram. Audit, Deny, desabilitado 3.0.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem ser limitadas por SKUs permitidos Restrinja o conjunto de SKUs de conta de armazenamento que a sua organização pode implantar. Audit, Deny, desabilitado 1.1.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem desabilitar o acesso à rede pública Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem ter as políticas de SAS (assinatura de acesso compartilhado) configuradas Verifique se as contas de armazenamento têm a política de expiração de SAS (assinatura de acesso compartilhado) habilitada. Os usuários usam uma SAS para delegar o acesso a recursos na conta de Armazenamento Azure. E a política de expiração de SAS recomenda o limite de expiração quando um usuário cria um token SAS. Audit, Deny, desabilitado 1.0.0
Contas de armazenamento devem ter a versão mínima do TLS especificada Configure uma versão mínima do TLS para estabelecer uma comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a mais recente lançada, que é o TLS 1.2. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem impedir a replicação de objetos entre locatários Audite a restrição da replicação de objetos para sua conta de armazenamento. Por padrão, os usuários podem configurar a replicação de objetos com uma conta de armazenamento de origem em um locatário do Azure AD e uma conta de destino em um locatário diferente. Trata-se de uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que pertence ao cliente. Ao definir allowCrossTenantReplication como false, a replicação de objetos poderá ser configurada somente se as contas de origem e de destino estiverem no mesmo locatário do Azure AD. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem impedir o acesso de chave compartilhada Requisito de auditoria do Azure AD (Azure Active Directory) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com as credenciais do Azure Active Directory ou usando a chave de acesso da conta para a autorização de chave compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, desabilitado 1.0.3
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
O Armazenamento de Tabelas deve usar a chave gerenciada pelo cliente para criptografia Proteja seu armazenamento de tabelas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, Deny, desabilitado 1.0.0

Microsoft.StorageCache

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditoria, desabilitado, negação 2.0.0

Microsoft.StorageSync

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
Configurar a Sincronização de Arquivos do Azure com pontos de extremidade privados Um ponto de extremidade privado é implantado para o recurso de Serviço de Sincronização de Armazenamento indicado. Isso permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privados da rede da sua organização, em vez de pelo ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados, por si só, não desabilita o ponto de extremidade público. DeployIfNotExists, desabilitado 1.0.0
Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. Modificar, Desabilitado 1.0.0
O acesso à rede pública deve ser desabilitado para a Sincronização de Arquivos do Azure A desabilitação do ponto de extremidade público permite restringir o acesso ao seu recurso de Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um serviço de sincronização de armazenamento definindo o incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. Audit, Deny, desabilitado 1.0.0

Microsoft.ClassicStorage

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0

Próximas etapas