Встроенные определения в Политике Azure для службы хранилища Azure

Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы хранилища Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.

Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

Microsoft.Storage;

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Предварительная версия. Настройка резервного копирования BLOB-объектов для учетных записей хранения с заданным тегом в существующее резервное хранилище в том же регионе Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
Предварительная версия. Настройка резервного копирования BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в резервное хранилище в том же регионе Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
Настройка частных конечных точек для Синхронизации файлов Azure Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. DeployIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для служб BLOB-объектов в рабочей области Log Analytics Развертывает параметры диагностики для служб BLOB-объектов, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы BLOB-объектов, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для файловых служб в рабочей области Log Analytics Развертывает параметры диагностики для файловых служб, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой файловой службы, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для служб очередей в рабочей области Log Analytics Развертывает параметры диагностики для служб очередей, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы очередей, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для учетных записей хранения в рабочей области Log Analytics Развертывает параметры диагностики для учетных записей хранения, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении учетных записей хранения, где эти параметры отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для служб таблиц в рабочей области Log Analytics Развертывает параметры диагностики для служб таблиц, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы таблиц, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Настройка безопасной передачи данных в учетную запись хранения Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только из безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Modify, Disabled 1.0.0
Настройка учетной записи хранения для использования подключения приватного канала Частные конечные точки соединяют вашу виртуальную сеть со службами Azure без использования общедоступного IP-адреса в источнике или назначении. Сопоставляя частные конечные точки со своей учетной записью хранения, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. DeployIfNotExists, Disabled 1.0.0
Настройка отключения доступа из общедоступной сети для учетных записей хранения Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Modify, Disabled 1.0.1
Настройка запрета общего доступа к учетной записи хранения Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. Modify, Disabled 1.0.0
Развертывание Расширенной защиты от угроз для учетных записей хранения Эта политика позволяет включить Advanced Threat Protection для учетных записей хранения. DeployIfNotExists, Disabled 1.0.0
Учетные записи хранения должны использовать геоизбыточное хранилище Использование геоизбыточности для создания высокодоступных приложений Audit, Disabled 1.0.0
Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Disabled, Deny 2.0.0
Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. Modify, Disabled 1.0.0
Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0
Хранилище очередей должно использовать для шифрования ключ, управляемый клиентом Обеспечение безопасности хранилища очередей благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование управляемых клиентом ключей предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Deny, Disabled 1.0.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
В областях шифрования учетных записей хранения следует применять двойное шифрование неактивных данных Включите шифрование инфраструктуры для шифрования неактивных данных в областях шифрования учетной записи хранения для повышения безопасности. Если включено шифрование инфраструктуры, данные шифруются дважды. Audit, Deny, Disabled 1.0.0
Ключи учетной записи хранения не должны быть просрочены Убедитесь, что ключи учетной записи хранения пользователя не просрочены, если задана политика срока действия ключа. Это позволит повысить безопасность ключей учетной записи, предпринимая меры по истечении срока действия ключей. Audit, Deny, Disabled 3.0.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничиваться разрешенными SKU Ограничение набора SKU учетных записей хранения, которые может развертывать ваша организация. Audit, Deny, Disabled 1.1.0
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0
Для учетных записей хранения должен быть отключен доступ из общедоступной сети Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.0.1
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
Для учетных записей хранения должны быть настроены политики подписанных URL-адресов (SAS) Для учетных записей хранения должна быть включена политика срока действия подписанных URL-адресов (SAS). Пользователи используют SAS для делегирования доступа к ресурсам в учетной записи хранения Azure. При создании пользователем маркера SAS политика срока действия SAS рекомендует использовать верхний предел срока. Audit, Deny, Disabled 1.0.0
У учетных записей хранения должна быть указанная минимальная версия TLS Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью хранения. Чтобы свести к минимуму риск для безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2). Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны предотвращать репликацию объектов в разных клиентах Необходимо вести аудит ограничения репликации объектов для учетной записи хранения. По умолчанию пользователи могут настраивать репликацию объектов с помощью учетной записи источника в одном клиенте Azure AD и учетной записи назначения в другом клиенте. При этом возникает проблема безопасности, поскольку данные клиента могут быть реплицированы в учетную запись хранения, которая принадлежит заказчику. Если задать параметру allowCrossTenantReplication значение false, репликацию объектов можно настроить только в том случае, если учетные записи источника и назначения находятся в одном клиенте Azure AD. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны предотвращать доступ к общему ключу Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации Azure Active Directory проще и обеспечивает лучшую безопасность по сравнению с использованием общего ключа, и этот тип авторизации рекомендуется Майкрософт. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Audit, Deny, Disabled 1.0.1
Учетная запись хранения должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов за счет ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование управляемых клиентом ключей предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled 1.0.3
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Хранилище таблиц должно использовать для шифрования ключ, управляемый клиентом Обеспечение безопасности хранилища таблиц благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование управляемых клиентом ключей предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Deny, Disabled 1.0.0

Microsoft.StorageCache

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Disabled, Deny 2.0.0

Microsoft.StorageSync

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
Настройка частных конечных точек для Синхронизации файлов Azure Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. DeployIfNotExists, Disabled 1.0.0
Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. Modify, Disabled 1.0.0
Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0

Microsoft.ClassicStorage

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0

Дальнейшие действия