Определения встроенных инициатив в Политике Azure
Эта страница представляет собой индекс определений встроенных инициатив в Политике Azure.
Имя каждой из встроенных инициатив связано с источником определения инициативы в репозитории GitHub для Политики Azure. Встроенные инициативы группируются по свойству category (категория) в метаданных. Чтобы перейти к определенной категории, используйте ctrl-F для функции поиска в браузере.
Автоматическое управление
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]: настройка аудита в отношении рекомендаций по автоуправляемой работе | Рекомендации по автоуправляемой машине обеспечивают настройку управляемых ресурсов в соответствии с требуемым состоянием, определенным в назначенном профиле конфигурации. | 6 | 1.0.1 (предварительная версия) |
ChangeTrackingAndInventory
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]: включение ChangeTracking и инвентаризации для виртуальных машин с поддержкой Arc | Включение ChangeTracking и инвентаризации для виртуальных машин с поддержкой Arc. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений. | 6 | 1.0.0 (предварительная версия) |
| [предварительная версия]: включение ChangeTracking и инвентаризации для масштабируемых наборов виртуальных машин | Включите ChangeTracking и Inventory для масштабируемых наборов виртуальных машин. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений и назначаемого пользователем удостоверения для агента Azure Monitor. | 7 | 1.0.0 (предварительная версия) |
| [предварительная версия]: включение ChangeTracking и инвентаризации для виртуальных машин | Включите ChangeTracking и Inventory для виртуальных машин. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений и назначаемого пользователем удостоверения для агента Azure Monitor. | 7 | 1.0.0 (предварительная версия) |
Cosmos DB
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Включение политики пропускной способности Azure Cosmos DB | Включение управления пропускной способностью для ресурсов Azure Cosmos DB в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается максимальная пропускная способность. Используйте эту политику, чтобы обеспечить управление пропускной способностью с помощью поставщика ресурсов. | 2 | 1.0.0 |
Общие
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Разрешить ресурсы затрат на использование | Разрешить развертывание ресурсов, кроме MCPP, M365. | 2 | 1.0.0 |
Гостевая конфигурация
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]. Развертывание необходимых компонентов для включения политик гостевой конфигурации на виртуальных машинах с помощью управляемого удостоверения, назначаемого пользователем | Эта инициатива добавляет управляемое удостоверение, назначаемое пользователем, и развертывает соответствующее платформе расширение гостевой конфигурации на виртуальных машинах, которые могут отслеживаться с помощью политик гостевой конфигурации. Это обязательный компонент для всех политик гостевой конфигурации, который необходимо назначить области назначения политики перед использованием любой политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | 3 | 1.0.0 (предварительная версия) |
| [предварительная версия]: компьютеры Windows должны соответствовать требованиям к базовой системе безопасности вычислений Azure. | Эта инициатива осуществляет аудит компьютеров под управлением Windows с параметрами, не соответствующими базовой конфигурации безопасности вычислений Azure. Дополнительные сведения см. по адресу https://aka.ms/gcpol. | 29 | 2.0.1-preview |
| Аудит компьютеров с ненадежными параметрами безопасности паролей | Эта инициатива развертывает требуемые компоненты политики и осуществляет аудит компьютеров с ненадежными параметрами безопасности пароля. Дополнительные сведения о политиках гостевой конфигурации: https://aka.ms/gcpol | 9 | 1.1.0 |
| Настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на компьютере Windows (включая предварительные требования) | Создает назначение гостевой конфигурации (включая предварительные требования), чтобы настроить указанную версию защищенного протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. Дополнительные сведения см. на странице https://aka.ms/SetSecureProtocol. | 3 | 1.0.0 |
| Развернуть необходимые компоненты, чтобы включить политики гостевой конфигурации на виртуальных машинах | Эта инициатива добавляет управляемое удостоверение, назначаемое системой, и развертывает соответствующее платформе расширение гостевой конфигурации на виртуальных машинах, которые могут отслеживаться с помощью политик гостевой конфигурации. Это обязательный компонент для всех политик гостевой конфигурации, который необходимо назначить области назначения политики перед использованием любой политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]. Использование целостности изображений для обеспечения развертывания только доверенных образов | Используйте целостность изображений, чтобы обеспечить развертывание кластеров AKS только доверенных образов, включив целостность изображений и Политика Azure надстройки в кластерах AKS. Надстройка целостности изображений и надстройка Политика Azure являются предварительными условиями использования целостности изображений для проверки того, подписан ли образ при развертывании. Дополнительные сведения см. в статье https://aka.ms/aks/image-integrity. | 3 | 1.1.0 (предварительная версия) |
| [Предварительная версия]: средства защиты развертывания должны помочь разработчикам в отношении рекомендуемых рекомендаций AKS | Коллекция рекомендаций Kubernetes, рекомендуемых Служба Azure Kubernetes (AKS). Для лучшего использования используйте средства защиты развертывания, чтобы назначить эту инициативу политики: https://aka.ms/aks/deployment-safeguards Политика Azure надстройка для AKS является необходимым условием для применения этих рекомендаций к кластерам. Инструкции по включению надстройки Политика Azure см. в aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Стандарты базовой конфигурации безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов базовой конфигурации безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Стандарты безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Управляемое удостоверение
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]: федеративные учетные данные управляемого удостоверения должны иметь утвержденные типы из утвержденных источников федерации | Управление использованием федеративных учетных данных для управляемых удостоверений. Эта инициатива позволяет политикам блокировать учетные данные федеративных удостоверений в целом, ограничивать использование определенных типов поставщиков федерации и ограничивать повторное размещение федерации утвержденным источникам. | 3 | 1.0.0 (предварительная версия) |
Наблюдение
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]. Настройка Azure Defender для агентов SQL на виртуальных машинах | Настройте виртуальные машины для автоматической установки агентов Azure Defender для SQL с установленным агентом Azure Monitor. Центр безопасности собирает события, поступающие от агентов, и предоставляет на их основе оповещения системы безопасности и специализированные задачи для усиления защиты (рекомендации). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, где находится компьютер. Эта политика применяется только к виртуальным машинам в нескольких регионах. | 2 | 1.0.0 (предварительная версия) |
| Настройка компьютеров Linux для запуска агента Azure Monitor и их сопоставления с правилом сбора данных | Отслеживайте и обеспечивайте безопасность виртуальных машин Linux, масштабируемых наборов виртуальных машин и компьютеров Arc, развернув расширение агента Azure Monitor и сопоставив компьютеры с указанным правилом сбора данных. Развертывание будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. | 4 | 3.2.0 |
| Настройка компьютеров Windows для запуска агента Azure Monitor и их сопоставления с правилом сбора данных | Отслеживайте и обеспечивайте безопасность виртуальных машин Windows, масштабируемых наборов виртуальных машин и компьютеров Arc, развернув расширение агента Azure Monitor и сопоставив компьютеры с указанным правилом сбора данных. Развертывание будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. | 4 | 3.2.0 |
| Развертывание агента Azure Monitor для Linux с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем, и сопоставление с Правилом сбора данных | Контролируйте виртуальные машины Linux и масштабируемые наборы виртуальных машин, развернув расширение агента Azure Monitor с управляемым удостоверением, назначаемым пользователем, и выполнив сопоставление с указанным правилом сбора данных. Развертывание агента Azure Monitor будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. | 5 | 2.3.0 |
| Развертывание агента Azure Monitor для Windows с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем, и сопоставление с Правилом сбора данных | Контролируйте виртуальные машины Windows и масштабируемые наборы виртуальных машин, развернув расширение агента Azure Monitor с управляемым удостоверением, назначаемым пользователем, и выполнив сопоставление с указанным правилом сбора данных. Развертывание агента Azure Monitor будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. | 5 | 2.3.0 |
| Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в Концентратор событий для всех поддерживаемых ресурсов. | 33 | 1.0.0 |
| Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в Log Analytics для всех поддерживаемых ресурсов. | 33 | 1.0.0 |
| Включение ведения журнала ресурсов группы аудита для поддерживаемых ресурсов в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в хранилище для всех поддерживаемых ресурсов. | 33 | 1.0.0 |
| Включение Azure Monitor для гибридных виртуальных машин с помощью AMA | Включите Azure Monitor для виртуальных машин (ВМ) с помощью AMA. | 6 | 1.0.0 |
| Включение Azure Monitor для виртуальных машин с помощью агента мониторинга Azure (AMA) | Включите Azure Monitor для виртуальных машин (ВМ) с помощью AMA. | 7 | 1.0.0 |
| Включение Azure Monitor для масштабируемых наборов виртуальных машин с помощью агента мониторинга Azure (AMA) | Включите Azure Monitor для масштабируемого набора виртуальных машин с помощью AMA. | 7 | 1.0.0 |
| Прежняя версия: включение Azure Monitor для масштабируемых наборов виртуальных машин | Прежняя версия: включите Azure Monitor для масштабируемых наборов виртуальных машин в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается рабочая область Log Analytics. Используйте новую инициативу под названием "Включение Azure Monitor для масштабируемых наборов виртуальных машин с помощью агента мониторинга Azure (AMA)". Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. | 6 | 1.0.2 |
| Прежняя версия. Включение Azure Monitor для виртуальных машин | Прежняя версия: включите Azure Monitor для виртуальных машин (ВМ) в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается рабочая область Log Analytics. Используйте новую инициативу под названием "Включение Azure Monitor для виртуальных машин с помощью агента мониторинга Azure (AMA)". | 10 | 2.0.1 |
Network
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Журналы потоков должны быть настроены и включены для каждой группы безопасности сети | Аудит для групп безопасности сети, чтобы проверить, настроены ли журналы потоков и включено ли состояние журнала потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | 2 | 1.0.0 |
Соответствие нормативным требованиям
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]: Australian Government ISM PROTECTED | Эта инициатива включает политики, которые обеспечивают соответствие требованиям "Руководства по информационной безопасности", публикуемого полномочным органом Австралии. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [предварительная версия]: CMMC 2.0 уровня 2 | Эта инициатива включает политики для соответствия подмножеству нормативных требований CMMC 2.0 Уровня 2. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Предварительная версия]: Американская ассоциация кинокомпаний (MPAA) | Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие рекомендациям и требованиям к обеспечению безопасности Американской ассоциации кинокомпаний (MPAA). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [предварительная версия]: Резервный банк Индии — ИТ-платформа для банков | Эта инициатива включает в себя политику, которая касается подмножества резервного банка Индии ИТ-платформы для банков. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [предварительная версия]: Резервный банк Индии — IT Framework для NBFC | Эта инициатива включает политики, которые охватывают подмножество элементов управления ИТ-инфраструктуры Резервного банка Индии для небанковских финансовых компаний (NBFC). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [предварительная версия]: базовый уровень суверенитета — конфиденциальные политики | Microsoft Cloud для суверенитета рекомендует конфиденциальные политики, чтобы помочь организациям достичь своих целей суверенитета по умолчанию, запрещая создание ресурсов за пределами утвержденных регионов, запрещая ресурсы, которые не поддерживаются конфиденциальными вычислениями Azure, и запрещая ресурсы хранилища данных, которые не используют ключи, управляемые клиентом. Дополнительные сведения см. здесь: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0 (предварительная версия) |
| [предварительная версия]: базовый уровень суверенитета — глобальные политики | Microsoft Cloud для суверенитета рекомендует глобальной политике помочь организациям достичь своих целей суверенитета по умолчанию, отрицая создание ресурсов за пределами утвержденных регионов. Дополнительные сведения см. здесь: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: SWIFT CSP-CSCF v2020 | Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие требованиям CSP-CSCF v2020. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [предварительная версия]: SWIFT CSP-CSCF версии 2021 | Эта инициатива включает политики, которые охватывают подмножество элементов управления Customer Security Controls Framework v2021 в рамках Программы безопасности пользователей SWIFT. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| ACAT для сертификации Microsoft 365 | Средство автоматизации соответствия приложений для Microsoft 365 (ACAT) упрощает процесс достижения сертификации Microsoft 365, см. в статье https://aka.ms/acat. Эта сертификация гарантирует, что приложения имеют строгие методики безопасности и соответствия требованиям для защиты данных клиентов, безопасности и конфиденциальности. Эта инициатива включает политики, касающиеся подмножества элементов управления сертификации Microsoft 365. В будущих выпусках будут добавлены дополнительные политики. | 24 | 1.0.0 |
| Canada Federal PBMM | Эта инициатива включает политики для соответствия подмножеству нормативных требований Канадского федерального PBMM. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| Тесты для оценки безопасности CIS для платформ Microsoft Azure версии 1.1.0 | Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики предназначены для подмножества элементов управления CIS Microsoft Azure Foundations Benchmark версии 1.1.0. Дополнительные сведения: https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark версии 1.3.0 | Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики охватывают подмножество директив CIS Microsoft Azure Foundations Benchmark v1.3.0. Дополнительные сведения: https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark версии 1.4.0 | Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики охватывают подмножество директив CIS Microsoft Azure Foundations Benchmark v1.4.0. Дополнительные сведения: https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark версии 2.0.0 | Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики предназначены для подмножества элементов управления CIS Microsoft Azure Foundations Benchmark версии 2.0.0. Дополнительные сведения: https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CMMC уровня 3 | Эта инициатива включает политики, соответствующие некоторым требованиям Cybersecurity Maturity Model Certification (CMMC) уровня 3. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP — высокий уровень | FedRAMP — это программа на уровне правительства США, которая обеспечивает стандартный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и служб. FedRAMP определяет набор элементов управления для систем низкого, умеренного или высокого уровня влияния на безопасность на основе базовых элементов управления NIST. Эти политики касаются подмножества элементов управления FedRAMP (High). Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP — средний уровень | FedRAMP — это программа на уровне правительства США, которая обеспечивает стандартный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и служб. FedRAMP определяет набор элементов управления для систем низкого, умеренного или высокого уровня влияния на безопасность на основе базовых элементов управления NIST. Эти политики касаются подмножества элементов управления FedRAMP (умеренный). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | Альянс доверия к здравоохранению (HITRUST) помогает организациям из всех секторов, но особенно в области здравоохранения эффективно управлять данными, информационными рисками и соответствием требованиям. Сертификация HITRUST означает, что организация прошла тщательную оценку программы информационной безопасности. Эти политики рассматривают подмножество элементов управления HITRUST. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075, сентябрь 2016 г. | Эта инициатива включает политики для соответствия подмножеству нормативных требований IRS1075 по состоянию на сентябрь 2016 года. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | Стандарт ISO 27001 международной организации по стандартизации (ISO) 27001 предоставляет требования к созданию, реализации, поддержанию и непрерывному улучшению системы управления информационной безопасностью (ISMS). Эти политики предназначены для подмножества элементов управления ISO 27001:2013. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171, ред. 2 | Национальный институт стандартов и технологий США (NIST) способствует и поддерживает стандарты измерения и руководящие принципы, помогающие защитить информационные и информационные системы федеральных учреждений. В ответ на исполнительный указ 13556 по управлению контролируемой неклассифицированной информацией (CUI), она опубликовала NIST SP 800-171. Эти политики предназначены для подмножества элементов управления NIST SP 800-171 ред. 2. Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53, ред. 4 | Национальный институт стандартов и технологий (NIST) SP 800-53 R4 обеспечивает стандартный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений для управления рисками информационной безопасности. Эти политики предназначены для подмножества элементов управления NIST SP 800-53 R4. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53, ред. 5 | Национальный институт стандартов и технологий (NIST) SP 800-53 ред. 5 обеспечивает стандартный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений для управления рисками информационной безопасности. Эти политики предназначены для подмножества элементов управления NIST SP 800-53 R5. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| Тема облака NL BIO | Эта инициатива включает политики, касающиеся элементов управления Информативебилинг (BIO) нидерландских базовых показателей (BIO) специально для элементов управления "thema-uitwerking Clouddiensten" и включают политики, охватываемые элементами управления SOC2 и ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS версии 4 | Стандарты безопасности данных в сфере платежных карт (PCI DSS) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества путем тщательного контроля данных кредитных карт. Соответствие требованиям PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает платежи и карта заполнители. Эти политики рассматривают подмножество элементов управления PCI-DSS версии 4. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Эта инициатива включает политики для соответствия подмножеству нормативных требований PCI v3.2.1:2018. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Малайзия | Эта инициатива включает политики для соответствия подмножеству требований RMIT. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения приведены на сайте aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 Type 2 | Система и управление организацией (SOC) 2 — это отчет, основанный на принципах и критериях службы доверия, установленных Американским институтом сертифицированных государственных бухгалтеров (AICPA). Отчет оценивает информационную систему организации, соответствующую следующим принципам: безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность. Эти политики предназначены для подмножества элементов управления SOC 2 Типа 2. Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF версии 2022 | Программа безопасности клиентов SWIFT (CSP) помогает финансовым учреждениям обеспечить актуальность и эффективность защиты от кибератак, чтобы защитить целостность более широкой финансовой сети. Пользователи сравнивают меры безопасности, которые они реализовали, с теми, которые подробно описаны в платформе управления безопасностью клиентов (CSCF). Эти политики решают подмножество элементов управления SWIFT. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| UK OFFICIAL и UK NHS | Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие требованиям UK OFFICIAL и UK NHS. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. по адресу https://aka.ms/ukofficial-init и https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Устойчивость
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]: ресурсы должны быть устойчивыми к зонам | Некоторые типы ресурсов можно развернуть с избыточностью между зонами (например, База данных SQL); некоторые могут быть развернуты в соответствии с зонами (например, Виртуальные машины); некоторые из этих типов можно развернуть либо выравнивание по зонам, либо избыточность между зонами (например, Масштабируемые наборы виртуальных машин). Выравнивание зоны не гарантирует устойчивость, но это основа, на которой можно создать устойчивое решение (например, три Масштабируемые наборы виртуальных машин зоны, выровненные по трем разным зонам в одном регионе с подсистемой балансировки нагрузки). Дополнительные сведения см. в разделе https://aka.ms/AZResilience . | 34 | 1.10.0-preview |
SDN-
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Аудит доступа к общедоступной сети | Аудит ресурсов Azure, разрешающих доступ из общедоступного Интернета | 35 | 4.2.0 |
| Оценка использования приватных каналов для всех поддерживаемых ресурсов Azure | У ресурсов, соответствующих требованиям, существует по крайней мере одно утвержденное подключение частной конечной точки | 30 | 1.1.0 |
Центр безопасности
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия] Развертывание агента Microsoft Defender для конечной точки | Развертывание агента Microsoft Defender для конечной точки в соответствующих образах. | 4 | 1.0.0 (предварительная версия) |
| Настройка включения Расширенной защиты от угроз для реляционных баз данных с открытым кодом | Включите Расширенную защиту от угроз для реляционных баз данных с открытым кодом небазового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. См. раздел https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Настройка включения Azure Defender на серверах SQL Server и Управляемых экземплярах SQL | Включение Azure Defender на серверах SQL Server и Управляемых экземплярах SQL Azure позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или использования в них эксплойта. | 3 | 3.0.0 |
| Настройка планов Microsoft Defender для облака | Microsoft Defender для облака предоставляет комплексные облачные средства защиты от разработки до среды выполнения в нескольких облачных средах. Используйте инициативу политики для настройки планов и расширений Defender для облака для включения выбранных область. | 11 | 1.0.0 |
| Настройка включения Microsoft Defender для баз данных | Настройте Microsoft Defender для Баз данных, чтобы защитить Базы данных SQL Azure, Управляемые экземпляры, Реляционные базы данных с открытым исходным кодом и Cosmos DB. | 4 | 1.0.0 |
| Настройка нескольких параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака | Настройте несколько параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION и т. д.). См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | 3 | 1.0.0 |
| Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с рабочей областью LA | Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | 9 | 1.2.1 |
| Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | 8 | 1.1.1 |
| Управление безопасностью в облаке Майкрософт | Инициатива microsoft cloud security benchmark представляет политики и элементы управления, реализующие рекомендации по безопасности, определенные в microsoft cloud security benchmark, см. в разделе https://aka.ms/azsecbm. Она также выступает в качестве инициативы политики по умолчанию для Microsoft Defender для облака. Вы можете напрямую назначить эту инициативу или управлять ее политиками и результатами соответствия в Microsoft Defender для облака. | 241 | 57.37.0 |
SQL
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| База данных SQL Azure должна иметь проверку подлинности только для Microsoft Entra | Требовать проверку подлинности только для Microsoft Entra для База данных SQL Azure, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. | 2 | 1.0.0 |
| Управляемый экземпляр SQL Azure должна иметь проверку подлинности только для Microsoft Entra | Требовать проверку подлинности только для Microsoft Entra для управляемого экземпляра SQL Azure, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. | 2 | 1.0.0 |
Synapse
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Настройка рабочих областей Synapse для мандатов только для проверки подлинности microsoft Entra | Требовать и настраивать проверку подлинности только для Microsoft Entra для рабочих областей Synapse, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. | 2 | 1.0.0 |
| Рабочие области Synapse должны иметь проверку подлинности только для Microsoft Entra | Требовать проверку подлинности только для Microsoft Entra для рабочих областей Synapse, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. | 2 | 1.0.0 |
Теги
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| Гарантирует, что ресурсы не имеют определенного тега. | Запрещает создание ресурса, содержащего заданный тег. Не применяется к группам ресурсов. | 1 | 2.0.0 |
Доверенный запуск
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]. Настройка необходимых компонентов для включения гостевой аттестации на виртуальных машинах с поддержкой доверенного запуска | Настройка на виртуальных машинах с поддержкой доверенного запуска автоматической установки расширения аттестации гостей и включение управляемого удостоверения, назначаемого системой, чтобы позволить Центру безопасности Azure осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. Дополнительные сведения см. по следующей ссылке: https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]: управление использованием AKS в виртуальном анклавах | Эта инициатива развертывает политики Azure для AKS, обеспечивая защиту границ этого ресурса во время работы в логической структуре Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием Служба приложений в виртуальном анклавах | Эта инициатива развертывает политики Azure для Служба приложений обеспечения защиты границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием реестра контейнеров в виртуальном анклавах | Эта инициатива развертывает политики Azure для реестра контейнеров, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием CosmosDB в виртуальном анклавах | Эта инициатива развертывает политики Azure для CosmosDB, обеспечивая защиту границ этого ресурса во время работы в логической структуре Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием параметров диагностики для определенных ресурсов в виртуальном анклавах | Эта инициатива развертывает политики Azure для обеспечения конфигурации определенных типов ресурсов в Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием Key Vault в виртуальном анклавах | Эта инициатива развертывает политики Azure для Key Vault, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием Microsoft SQL в виртуальном анклавах | Эта инициатива развертывает политики Azure для Microsoft SQL, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0 (предварительная версия) |
| [предварительная версия]: управление использованием PostgreSql в виртуальном анклавах | Эта инициатива развертывает политики Azure для PostgreSql, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0 (предварительная версия) |
| [предварительная версия]: управление использованием служебная шина в виртуальном анклавах | Эта инициатива развертывает политики Azure для служебная шина обеспечения защиты границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0 (предварительная версия) |
| [Предварительная версия]: управление использованием учетных записей служба хранилища в виртуальном анклавах | Эта инициатива развертывает политики Azure для учетных записей служба хранилища, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0 (предварительная версия) |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.