Definições internas da Política do Azure para serviços de rede do Azure
Esta página é um índice das definições de política internas da Política do Azure para os serviços de rede do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Serviços de rede do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Preview]: Os gateways de aplicativos devem ser resilientes à zona | Os gateways de aplicativos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Application Gatewaysmthat havenexatamente uma entrada em sua matriz de zonas são considerados Zone Aligned. Por outro lado, os Application Gatmways com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar os cofres dos Serviços de Recuperação do Azure para utilizar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para os Cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar cofres dos Serviços de Recuperação para utilizar zonas DNS privadas para cópia de segurança | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver no cofre dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Preview]: Os firewalls devem ser resilientes à zona | Os firewalls podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como redundantes de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os load balancers devem ser resilientes à zona | Os balanceadores de carga com uma sku diferente de Basic herdam a resiliência dos endereços IP públicos em seu frontend. Quando combinada com a política "Os endereços IP públicos devem ser resilientes à zona", esta abordagem garante a redundância necessária para resistir a uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O gateway NAT deve estar alinhado por zona | O gateway NAT pode ser configurado para estar alinhado à zona ou não. O gateway NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Zona Alinhada. Essa política garante que um gateway NAT esteja configurado para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os endereços IP públicos devem ser resilientes à zona | Os endereços IP públicos podem ser configurados para estarem alinhados com zona, redundantes de zona ou nenhum. Os endereços IP públicos que são regionais, com exatamente uma entrada em sua matriz de zonas, são considerados Zona Alinhada. Por outro lado, os endereços IP públicos que são regionais, com 3 ou mais entradas em sua matriz de zonas, são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Os prefixos IP públicos devem ser resilientes à zona | Os prefixos IP públicos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os prefixos IP públicos que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Em contraste, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os gateways de rede virtual devem ser redundantes de zona | Os gateways de rede virtual podem ser configurados para serem redundantes de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são redundantes de zona. Esta política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Gateway de Aplicativo do Azure deve ser implantado com o Azure WAF | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
| O Gateway de Aplicativo do Azure deve ter os logs de Recursos habilitados | Habilite os logs de recursos para o Gateway de Aplicativo do Azure (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| A política de firewall do Azure deve habilitar a inspeção TLS dentro das regras do aplicativo | A habilitação da inspeção TLS é recomendada para todas as regras de aplicativo para detetar, alertar e mitigar atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall Premium do Azure deve configurar um certificado intermediário válido para habilitar a inspeção TLS | Configure um certificado intermediário válido e habilite a inspeção TLS Premium do Firewall do Azure para detetar, alertar e mitigar atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Front Door deve ter logs de recursos habilitados | Habilite os logs de recursos para o Azure Front Door (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| Os gateways de VPN do Azure não devem usar SKU 'básico' | Esta política garante que os gateways VPN não usem SKU 'básico'. | Auditoria, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure deve ter a inspeção de corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados aos Gateways de Aplicativo do Azure têm a inspeção de corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure na Porta da Frente do Azure deve ter a inspeção do corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados às Portas Frontais do Azure têm a inspeção do corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| A Proteção de Bot deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| A Proteção de Bot deve ser habilitada para o Azure Front Door WAF | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| A lista de desvios do Sistema de Deteção e Prevenção de Intrusões (IDPS) deve estar vazia no Firewall Policy Premium | A Lista de Desvios do Sistema de Deteção e Prevenção de Intrusões (IDPS) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a ativação do IDPS é recomendada para todos os fluxos de tráfego para identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps-signature | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de blob | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de blob. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para blob_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado blob_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de arquivos | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de arquivos. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de filas | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo de filas. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para queue_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado queue_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de tabela | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado groupID de tabela. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para table_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo table_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo Web | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo da Web. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para web_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo web_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar escopos de link privado do Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para os Escopos de Link Privado do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar contas de Automação do Azure com zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Você precisa da zona DNS privada configurada corretamente para se conectar à conta de Automação do Azure por meio do Azure Private Link. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Cache do Azure para Redis para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver no Cache do Azure para Redis. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu serviço de Pesquisa Cognitiva do Azure. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o espaço de trabalho do Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para Atualização de Dispositivo para pontos de extremidade privados do Hub IoT. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a Sincronização de Ficheiros do Azure para utilizar zonas DNS privadas | Para acessar o(s) ponto(s) de extremidade privado para interfaces de recursos do Serviço de Sincronização de Armazenamento a partir de um servidor registrado, você precisa configurar seu DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Esta política cria os registos de Zona DNS Privada do Azure e A necessários para as interfaces do(s) seu(s) ponto(s) de extremidade(s) privado(s) do Serviço de Sincronização de Armazenamento. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters do Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os clusters do Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os Cofres de Chaves do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar o espaço de trabalho do Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar espaços de trabalho do Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os espaços de trabalho do Azure Managed Grafana. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os Serviços de Mídia do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os Serviços de Mídia do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços de Mídia, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu projeto Azure Migrate. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Escopo de Link Privado do Azure Monitor para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o escopo de link privado do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar espaços de trabalho do Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para o espaço de trabalho do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar recursos do pool de hosts da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do espaço de trabalho da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do BotService para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos relacionados ao BotService. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar registros de contêiner para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver o seu Registo de Contentores. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar contas do CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 2.0.0 |
| Definir definições de diagnóstico para os Grupos de Segurança de Rede do Azure para a área de trabalho do Log Analytics | Implante configurações de diagnóstico nos Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos de acesso ao disco para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para um disco gerido. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Hub de Eventos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar instâncias de provisionamento de dispositivo do Hub IoT para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para uma instância de serviço de provisionamento de dispositivo do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração do Aplicativo | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração do aplicativo. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados que se conectam ao Azure Data Factory | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura habilitando a conectividade privada com seu Azure Data Factory sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Link Privado para o Azure AD usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para o Azure AD. Saiba mais em: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Service Bus. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
| Implantar - Configurar domínios da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Implantar - Configurar tópicos da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Implantar - Configurar Hubs IoT do Azure para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para pontos de extremidade privados do Hub IoT. | deployIfNotExists, DeployIfNotExists, desabilitado, desabilitado | 1.1.0 |
| Implantar - Configurar o IoT Central para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados se conectarem ao Serviço Azure SignalR | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o recurso do Serviço Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados que se conectam a contas em lote | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura, habilitando a conectividade privada para contas em lote sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Batch, consulte https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
| Implantar configurações de diagnóstico para grupos de segurança de rede | Esta política implementa automaticamente as definições de diagnóstico nos grupos de segurança da rede. Uma conta de armazenamento com o nome '{storagePrefixParameter}{NSGLocation}' será criada automaticamente. | deployIfNotExists | 2.0.1 |
| Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
| Habilitar o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o Firewall (microsoft.network/azurefirewalls) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar a regra de Limite de Taxa para proteger contra ataques DDoS no WAF da Porta da Frente do Azure | A regra de limite de taxa do Firewall de Aplicativo Web do Azure (WAF) para o Azure Front Door controla o número de solicitações permitidas de um determinado endereço IP do cliente para o aplicativo durante uma duração de limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
| A Política de Firewall Premium deve permitir que todas as regras de assinatura de IDPS monitorem todos os fluxos de tráfego de entrada e saída | A ativação de todas as regras de assinatura do Sistema de Deteção e Prevenção de Intrusões (IDPS) é recomendada para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps-signature | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall Policy Premium deve ativar o Sistema de Deteção e Prevenção de Intrusões (IDPS) | A ativação do Sistema de Deteção e Prevenção de Intrusões (IDPS) permite-lhe monitorizar a sua rede em busca de atividades maliciosas, registar informações sobre esta atividade, denunciá-las e, opcionalmente, tentar bloqueá-las. Para saber mais sobre o Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | negar | 1.0.0 |
| Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem ser conectadas a uma sub-rede aprovada da rede virtual aprovada | Esta política impede que as interfaces de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento IP desabilita a verificação do Azure da origem e do destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os endereços IP públicos devem ter logs de recursos habilitados para a Proteção contra DDoS do Azure | Habilite logs de recursos para endereços IP públicos em configurações de diagnóstico para transmitir para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de ataques e das ações tomadas para mitigar ataques DDoS por meio de notificações, relatórios e logs de fluxo. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| A assinatura deve configurar o Firewall Premium do Azure para fornecer camada adicional de proteção | O Firewall Premium do Azure fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall Premium do Azure em sua assinatura e verifique se todo o tráfego de serviço está protegido pelo Firewall Premium do Azure. Para saber mais sobre o Azure Firewall Premium, visite https://aka.ms/fw-premium | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
| Os gateways de VPN devem usar apenas a autenticação do Azure Ative Directory (Azure AD) para usuários ponto a site | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas identidades do Azure Ative Directory para autenticação. Saiba mais sobre a autenticação do Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| O Web Application Firewall (WAF) deve habilitar todas as regras de firewall para o Application Gateway | Habilitar todas as regras do Web Application Firewall (WAF) fortalece a segurança do aplicativo e protege os aplicativos Web contra vulnerabilidades comuns. Para saber mais sobre o Web Application Firewall (WAF) com o Application Gateway, visite https://aka.ms/waf-ag | Auditoria, Negar, Desativado | 1.0.1 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Azure Front Door Service | Exige o uso do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.