Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure İlkesi'de Mevzuat Uyumluluğu, farklı uyumluluk standartlarıyla ilgili uyumluluk etki alanları ve güvenlik denetimleri için Yerleşik olarak bilinen Microsoft tarafından oluşturulan ve yönetilen girişim tanımları sağlar. Bu sayfada Azure Cosmos DB için uyumluluk etki alanları ve güvenlik denetimleri listelenir. Azure kaynaklarınızın belirli bir standartla uyumlu olmasına yardımcı olmak için bir güvenlik denetimi için yerleşikleri tek tek atayabilirsiniz.
Her yerleşik ilke tanımının başlığı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için İlke Sürümü sütunundaki bağlantıyı kullanın.
Önemli
Her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir. Ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme olmaz. Bu nedenle, Azure İlkesi uyumlu yalnızca ilkelerin kendisini ifade eder. Bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standartları için denetimler ve Azure İlkesi Mevzuat Uyumluluğu tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir.
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Cosmos Veritabanı Hesapları Alanlar Arası Yedekli olmalıdır | Cosmos Veritabanı Hesapları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılamaz. 'enableMultipleWriteLocations' değeri 'true' olarak ayarlandıysa, tüm konumların 'isZoneRedundant' özelliği olmalıdır ve 'true' olarak ayarlanmalıdır. 'enableMultipleWriteLocations' değeri 'false' olarak ayarlandıysa birincil konumun ('failoverPriority' değeri 0) 'isZoneRedundant' özelliğine sahip olması ve 'true' olarak ayarlanması gerekir. Bu ilkenin zorunlu olması, Cosmos Veritabanı Hesaplarının alanlar arası yedeklilik için uygun şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Cosmos DB hesapları tüm Azure veri merkezlerinden gelen trafiğe izin vermemelidir | Herhangi bir Azure veri merkezinden gelen tüm trafiğe izin veren '0.0.0.0' IP Güvenlik Duvarı kuralına izin verme. Daha fazla bilgi için: https://aka.ms/cosmosdb-firewall | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesapları, son hesap anahtarı yeniden oluşturma işleminden bu yana izin verilen en fazla gün sayısını aşmamalıdır. | Verilerinizi daha korumalı tutmak için anahtarlarınızı belirtilen sürede yeniden üretin. | Denetim, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Cosmos DB izin verilen konumları | Bu ilke, Azure Cosmos DB kaynaklarını dağıtırken kuruluşunuzun belirtebileceği konumları kısıtlamanızı sağlar. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB anahtar tabanlı meta veri yazma erişimi devre dışı bırakılmalıdır | Bu ilke, tüm Azure Cosmos DB hesaplarının anahtar tabanlı meta veri yazma erişimini devre dışı bırakmasını sağlar. | append | 1.0.0 |
| Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, CosmosDB hesabınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak CosmosDB hesabınızın açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB aktarım hızı sınırlı olmalıdır | Bu ilke, kaynak sağlayıcısı aracılığıyla Azure Cosmos DB veritabanları ve kapsayıcıları oluştururken kuruluşunuzun belirtebileceği en yüksek aktarım hızını kısıtlamanızı sağlar. Otomatik ölçeklendirme kaynaklarının oluşturulmasını engeller. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Cosmos DB veritabanı hesaplarını yapılandırma | Cosmos DB veritabanı hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Değiştir, Devre Dışı | 1.1.0 |
| CosmosDB hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | CosmosDB kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Değiştir, Devre Dışı | 1.0.1 |
| CosmosDB hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. CosmosDB hesabınıza özel uç noktaları eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Cosmos DB veritabanı hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Cosmos DB veritabanı hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Cosmos DB bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış cosmos DB'leri denetler. | Denetim, Devre Dışı | 1.0.0 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Cosmos DB Hesapları için Gelişmiş Tehdit Koruması Dağıtma | Bu ilke, Cosmos DB hesaplarında Gelişmiş Tehdit Koruması'nı etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics'e Azure Cosmos DB (microsoft.documentdb/databaseaccounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Cosmos DB (microsoft.documentdb/databaseaccounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Event Hub'a Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Log Analytics'e Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için depolama alanına kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Cosmos DB hesapları (microsoft.documentdb/databaseaccounts) için depolama hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Olay Hub'ına microsoft.documentdb/cassandraclusters için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, microsoft.documentdb/cassandraclusters için günlükleri bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Log Analytics'e microsoft.documentdb/cassandraclusters için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.documentdb/cassandraclusters için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Microsoft.documentdb/cassandraclusters için depolama alanına kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.documentdb/cassandraclusters için depolama hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Event Hub'a microsoft.documentdb/mongoclusters için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, microsoft.documentdb/mongoclusters için günlükleri bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Log Analytics'e microsoft.documentdb/mongoclusters için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.documentdb/mongoclusters için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
| Microsoft.documentdb/mongoclusters için depolama alanına kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.documentdb/mongoclusters için depolama hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.0.0 |
Sonraki adımlar
- Azure İlkesi Mevzuat Uyumluluğu hakkında daha fazla bilgi edinin.
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.