Встроенные определения в Политике Azure для Azure Backup
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Azure Backup. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Azure Backup
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: хранилища служб восстановления Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что хранилище служб восстановления не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие хранилища служб восстановления. См. дополнительные сведения: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать приватный канал для резервного копирования | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами Служб восстановления снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [предварительная версия]: резервное копирование и Site Recovery должны быть избыточными по зонам | Резервное копирование и Site Recovery можно настроить для избыточности зоны или нет. Backup и Site Recovery являются избыточными по зонам, если для свойства "StandardTier служба хранилища Redundancy" задано значение ZoneRedundant. Применение этой политики помогает обеспечить соответствующую настройку резервного копирования и Site Recovery для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка хранилищ служб восстановления Azure для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для хранилища служб восстановления, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modify, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка частных конечных точек в хранилищах Служб восстановления Azure | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставление частных конечных точек с ресурсами восстановления сайта в хранилищах Служб восстановления позволяет снизить риски утечки данных. Чтобы использовать приватные каналы, управляемое удостоверение службы должно быть назначено хранилищам Служб восстановления. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Хранилища Служб восстановления нужно настроить на использование частных конечных точек для резервного копирования | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с хранилищами Служб восстановления, вы можете снизить риски утечки данных. Обратите внимание, что ваши хранилища должны соответствовать определенным предварительным условиям, чтобы иметь право на настройку частных конечных точек. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Отключение восстановления между подписками для хранилищ служб восстановления Azure | Отключите или окончательное восстановление между подписками для хранилища служб восстановления, чтобы целевые объекты восстановления не были в другой подписке из подписки хранилища. См. дополнительные сведения: https://aka.ms/csrenhancements. | Modify, Disabled | 1.1.0 (предварительная версия) |
| [предварительная версия]: не разрешайте создание хранилищ служб восстановления выбранной избыточности хранилища. | Хранилища служб восстановления можно создавать с помощью любого из трех вариантов избыточности хранилища сегодня, а именно локально избыточного служба хранилища, хранилища с избыточностью между зонами и геоизбыточного хранилища. Если политикам в вашей организации требуется заблокировать создание хранилищ, принадлежащих определенному типу избыточности, вы можете добиться того же использования этой политики Azure. | Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: неизменяемость должна быть включена для хранилищ служб восстановления | Эта политика проверяет, включено ли свойство неизменяемых хранилищ для хранилищ служб восстановления в область. Это помогает защитить данные резервного копирования от удаления до его предполагаемого истечения срока действия. Узнайте больше по адресу https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1 (предварительная версия) |
| [предварительная версия]. Для хранилищ служб восстановления необходимо включить многопользовательскую авторизацию (MUA). | Эта политика проверяет, включена ли многопользовательская авторизация (MUA) для хранилищ служб восстановления. MUA помогает защитить хранилища служб восстановления, добавив дополнительный уровень защиты в критически важные операции. Дополнительные сведения см. по адресу https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Хранилища Служб восстановления должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами Служб восстановления снижаются риски утечки данных. Дополнительные сведения о приватных каналах для Azure Site Recovery: https://aka.ms/HybridScenarios-PrivateLink и https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: обратимое удаление должно быть включено для хранилищ служб восстановления. | Эта политика проверяет, включена ли обратимое удаление для хранилищ служб восстановления в область. Обратимое удаление может помочь вам восстановить данные даже после удаления. Узнайте больше по адресу https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0 (предварительная версия) |
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в существующее хранилище Служб восстановления в том же расположении | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка резервного копирования виртуальных машин без указанного тега в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка процедуры резервное копирование на виртуальных машинах без заданного тега в существующее хранилище служб восстановления в том же месте | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Развертывание параметров диагностики для потоковой передачи данных из хранилища Служб восстановления в рабочую область Log Analytics по определенным категориям ресурсов. | Развертывание параметров диагностики для потоковой передачи данных из хранилища Служб восстановления в рабочую область Log Analytics по определенным категориям ресурсов. Если какая-то из категорий не включена, создается новый параметр диагностики. | deployIfNotExists | 1.0.2 |
| Включение ведения журнала по группе категорий для хранилищ служб восстановления (microsoft.recoveryservices/vaults) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для хранилищ служб восстановления (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для хранилищ служб восстановления (microsoft.recoveryservices/vaults) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для хранилищ служб восстановления (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для хранилищ служб восстановления (microsoft.recoveryservices/vaults) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в хранилище служб восстановления служба хранилища (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.