Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс Политика Azure встроенных определений политик для Реестр контейнеров Azure. Дополнительные встроенные Политика Azure для других служб см. в разделе Политика Azure встроенные определения.
Имя каждого встроенного определения политики ссылается на определение политики на портале Azure. Используйте ссылку в столбце Version для просмотра источника в репозитории Политика Azure GitHub.
Реестр контейнеров Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: реестр контейнеров должен быть избыточным по зонам | Реестр контейнеров можно настроить как избыточный в зоне или нет. Если свойству zoneRedundancy для реестра контейнеров присвоено значение "Отключено", это означает, что реестр не является избыточным по зонам. Применение этой политики помогает обеспечить правильную настройку реестра контейнеров для обеспечения устойчивости зоны, что снижает риск простоя во время сбоев в зонах. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети | Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0-preview |
| образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | AuditIfNotExists, отключено | 1.0.1 |
| Настройте реестры контейнеров, чтобы отключить анонимную проверку подлинности. | Отключите анонимное извлечение для реестра, чтобы данные не были доступны пользователям, не прошедшим проверку подлинности. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Изменить, Отключено | 1.0.0 |
| Настройка реестров контейнеров для отключения проверки подлинности токена аудитории ARM. | Отключите маркеры аудитории ARM Azure Active Directory для проверки подлинности в реестре. Для проверки подлинности будут использоваться только маркеры аудитории Реестр контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение маркеров аудитории ARM не влияет на проверку подлинности пользователей или маркеров доступа с заданной областью. См. дополнительные сведения: https://aka.ms/acr/authentication. | Изменить, Отключено | 1.0.0 |
| Настройте реестры контейнеров, чтобы отключить локальную учетную запись администратора. | Отключите учетную запись администратора для реестра, чтобы он не был доступен локальным администратором. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Изменить, Отключено | 1.0.1 |
| Настройка реестров контейнеров для отключения доступа через общедоступную сеть | Отключите доступ к общедоступной сети для своего ресурса Реестра контейнеров, чтобы он был недоступным через Интернет. Это позволяет снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link. | Изменить, Отключено | 1.0.0 |
| Настройте реестры контейнеров, чтобы отключить маркер доступа с областью действия репозитория. | Отключите для реестра маркеры доступа с областью действия репозитория, чтобы закрыть доступ к этим репозиториям с помощью маркеров. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Изменить, Отключено | 1.0.0 |
| Настройка реестров контейнеров с использованием частных конечных точек | Частные конечные точки подключают виртуальную сеть к Azure службам без общедоступного IP-адреса в источнике или назначении. Сопоставление частных конечных точек с ресурсами реестра контейнеров уровня "Премиум" позволяет снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/privateendpoints и https://aka.ms/acr/private-link. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Аудит, отказ в доступе, отключено | 1.1.2 |
| Для реестров контейнеров должна быть отключена анонимная проверка подлинности. | Отключите анонимное извлечение для реестра, чтобы данные не были доступны пользователям, не прошедшим проверку подлинности. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В реестрах контейнеров должна быть отключена проверка подлинности токена аудитории ARM. | Отключите маркеры аудитории ARM Azure Active Directory для проверки подлинности в реестре. Для проверки подлинности будут использоваться только маркеры аудитории Реестр контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение маркеров аудитории ARM не влияет на проверку подлинности пользователей или маркеров доступа с заданной областью. См. дополнительные сведения: https://aka.ms/acr/authentication. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В реестрах контейнеров должны быть отключены операции экспорта | Отключение операций экспорта повышает безопасность, обеспечивая доступ к данным в реестре исключительно через плоскость данных (docker pull). Данные не могут быть перемещены из реестра с помощью команды acr import или acr transfer. Чтобы отключить операции экспорта, необходимо запретить доступ через общедоступную сеть. См. дополнительные сведения: https://aka.ms/acr/export-policy. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В реестрах контейнеров должна быть отключена локальная учетная запись администратора. | Отключите учетную запись администратора для реестра, чтобы он не был доступен локальным администратором. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Аудит, отказ в доступе, отключено | 1.0.1 |
| У реестров контейнеров должен быть отключен маркер доступа с областью действия репозитория. | Отключите для реестра маркеры доступа с областью действия репозитория, чтобы закрыть доступ к этим репозиториям с помощью маркеров. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Реестры контейнеров должны иметь номера SKU, поддерживающие Приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с реестрами контейнеров вместо всей службы, вы снизите риски утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | Azure реестры контейнеров по умолчанию принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-network и .https://aka.ms/acr/vnet | Аудит, отказ в доступе, отключено | 2.0.0 |
| Реестры контейнеров должны предотвратить создание правила кэша | Отключите создание правила кэша для Реестр контейнеров Azure, чтобы предотвратить извлечение кэша. См. дополнительные сведения: https://aka.ms/acr/cache. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с реестрами контейнеров вместо всей службы, вы также будете защищены от рисков утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Реестр контейнеров должен ограничивать внешние частные конечные точки. | Эта политика применяется исключительно к продуктам и службам Миссии. использование вне этих областей не поддерживается. Он блокирует утверждение подключений частной конечной точки к реестрам контейнеров из подписок за пределами клиента миссии (если явным образом не исключается), чтобы сохранить границы анклава и снизить риск воздействия данных. Узнайте больше по адресу https://learn.microsoft.com/azure/container-registry/container-registry-private-link. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для реестров контейнеров (microsoft.containerregistry/registries). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.2.0 |
| Enable ведение журнала по группам категорий для реестров контейнеров (microsoft.containerregistry/registries) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для реестров контейнеров (microsoft.containerregistry/registries). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для реестров контейнеров (microsoft.containerregistry/registries). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| Для реестров контейнеров должен быть отключен доступ через общедоступную сеть | Отключение доступа к общедоступной сети усиливает защиту, гарантируя, что реестры контейнеров не будут представлены в общедоступном Интернете. Создание частных конечных точек может снизить риски раскрытия ресурсов реестра контейнеров. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link. | Аудит, отказ в доступе, отключено | 1.0.0 |
Следующие шаги
- См. Руководство по назначению политик и проверке соответствия.
- См. встроенные компоненты репозитория Политика Azure GitHub.
- Просмотрите структуру определения Политика Azure.
- Изучите сведения о действии политик.