Azure Depolama için yerleşik tanımları Azure İlkesi
Bu sayfa, Azure Depolama için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Microsoft.Storage
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Depolama Hesaplarında Bloblar için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek Depolama Hesaplarınızın korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Aynı bölgedeki mevcut bir yedekleme kasasına verilen etikete sahip depolama hesaplarındaki bloblar için yedeklemeyi yapılandırma | Merkezi bir yedekleme kasasına belirli bir etiket içeren tüm depolama hesaplarında bloblar için yedeklemeyi zorunlu kılma. Bunu yapmak, büyük ölçekte birden çok depolama hesabında bulunan blobların yedeklemesini yönetmenize yardımcı olabilir. Diğer ayrıntılar için https://aka.ms/AB-BlobBackupAzPolicies adresine bakın | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-önizleme |
| [Önizleme]: Aynı bölgedeki bir yedekleme kasasına verilen etiketi içermeyen tüm depolama hesapları için blob yedeklemeyi yapılandırma | Merkezi bir yedekleme kasasına belirli bir etiket içermeyen tüm depolama hesaplarında bloblar için yedeklemeyi zorunlu kılın. Bunu yapmak, büyük ölçekte birden çok depolama hesabında bulunan blobların yedeklemesini yönetmenize yardımcı olabilir. Diğer ayrıntılar için https://aka.ms/AB-BlobBackupAzPolicies adresine bakın | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| [Önizleme]: Depolama Hesapları Alanlar Arası Yedekli olmalıdır | Depolama Hesapları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılamaz. bir Depolama Hesabının SKU adı 'ZRS' ile bitmiyorsa veya türü 'Depolama' ise, Alanlar Arası Yedekli değildir. Bu ilke, Depolama Hesaplarınızın ae Alanlar Arası Yedekli yapılandırma kullanmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel uç noktalarla Azure Dosya Eşitleme yapılandırma | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta dağıtılır. Bu, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Bir veya daha fazla özel uç noktanın tek başına varlığı genel uç noktayı devre dışı bırakmaz. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics çalışma alanına Blob Hizmetleri için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir blob Hizmeti oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Blob Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Dosya Hizmetleri'nin Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir dosya Hizmeti oluşturulduğunda veya güncelleştirildiğinde, kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Dosya Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Log Analytics çalışma alanına Kuyruk Hizmetleri için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir kuyruk Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Kuyruk Hizmetleri için tanılama ayarlarını dağıtır. Not: Bu ilke Depolama Hesap oluşturma işleminde tetiklenmez ve hesabın güncelleştirilmesi için bir düzeltme görevi oluşturulmasını gerektirir. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| log analytics çalışma alanına Depolama hesapları için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir depolama hesabı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına aktarmak için Depolama hesapları için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Tablo Hizmetleri'nin Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir tablo Hizmeti oluşturulduğunda veya güncelleştirildiğinde Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Tablo Hizmetleri tanılama ayarlarını dağıtır. Not: Bu ilke Depolama Hesap oluşturma işleminde tetiklenmez ve hesabın güncelleştirilmesi için bir düzeltme görevi oluşturulmasını gerektirir. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Depolama hesabında güvenli veri aktarımını yapılandırma | Güvenli aktarım, depolama hesabını yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Değiştir, Devre Dışı | 1.0.0 |
| Depolama hesabını özel bağlantı bağlantısı kullanacak şekilde yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için depolama hesaplarını yapılandırma | Depolama Hesaplarının güvenliğini artırmak için, genel İnternet'te kullanıma sunulmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/storageaccountpublicnetworkaccessgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Değiştir, Devre Dışı | 1.0.1 |
| Depolama Hesaplarını yalnızca ağ ACL atlama yapılandırması üzerinden ağ erişimini kısıtlayacak şekilde yapılandırın. | Depolama Hesaplarının güvenliğini artırmak için yalnızca ağ ACL'sini atlayarak erişimi etkinleştirin. Bu ilke, depolama hesabı erişimi için özel bir uç noktayla birlikte kullanılmalıdır. | Değiştir, Devre Dışı | 1.0.0 |
| Depolama hesabınızın genel erişiminin izin verilmeyen şekilde yapılandırılması | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | Değiştir, Devre Dışı | 1.0.0 |
| blob sürümü oluşturmayı etkinleştirmek için Depolama hesabınızı yapılandırma | Bir nesnenin önceki sürümlerini otomatik olarak korumak için Blob depolama sürümü oluşturmayı etkinleştirebilirsiniz. Blob sürümü oluşturma etkinleştirildiğinde, değiştirildiğinde veya silindiğinde verilerinizi kurtarmak için blobun önceki sürümlerine erişebilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarında Depolama için Defender'ı dağıtma (Klasik) | Bu ilke, depolama hesaplarında Depolama için Defender'ı (Klasik) etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| OLAY Hub'ına HPC önbellekleri (microsoft.storagecache/caches) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, hpc önbellekleri (microsoft.storagecache/caches) için bir Olay Hub'ına günlükleri yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e HPC önbellekleri (microsoft.storagecache/caches) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, HPC önbellekleri (microsoft.storagecache/caches) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC önbelleklerinin (microsoft.storagecache/caches) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri HPC önbellekleri için Depolama Hesabına (microsoft.storagecache/caches) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Depolama taşıyıcıları (microsoft.storagemover/storagemovers) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, Depolama taşıyıcıları (microsoft.storagemover/storagemovers) için günlükleri bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Depolama taşıyıcılar (microsoft.storagemover/storagemovers) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, Depolama taşıyıcıları (microsoft.storagemover/storagemovers) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama Depolama taşıyıcılar (microsoft.storagemover/storagemovers) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Depolama taşıyıcılar (microsoft.storagemover/storagemovers) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| coğrafi olarak yedekli depolama Depolama Hesapları için etkinleştirilmelidir | Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma | Denetim, Devre Dışı | 1.0.0 |
| HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Değiştir - genel ağ erişimini devre dışı bırakmak için Azure Dosya Eşitleme yapılandırma | Azure Dosya Eşitleme İnternet'e erişilebilen genel uç noktası, kuruluş ilkeniz tarafından devre dışı bırakılır. Depolama Eşitleme Hizmeti'ne özel uç noktaları aracılığıyla erişmeye devam edebilirsiniz. | Değiştir, Devre Dışı | 1.0.0 |
| Değiştirme - blob sürümü oluşturmayı etkinleştirmek için Depolama hesabınızı yapılandırma | Bir nesnenin önceki sürümlerini otomatik olarak korumak için Blob depolama sürümü oluşturmayı etkinleştirebilirsiniz. Blob sürümü oluşturma etkinleştirildiğinde, değiştirildiğinde veya silindiğinde verilerinizi kurtarmak için blobun önceki sürümlerine erişebilirsiniz. Blob depolama sürümü oluşturmayı etkinleştirmek için mevcut depolama hesaplarının değiştirilmeyeceğini lütfen unutmayın. Yalnızca yeni oluşturulan depolama hesaplarında Blob depolama sürümü oluşturma etkin olur | Değiştir, Devre Dışı | 1.0.0 |
| Azure Dosya Eşitleme için genel ağ erişimi devre dışı bırakılmalıdır | Genel uç noktayı devre dışı bırakmak, Depolama Eşitleme Hizmeti kaynağınıza erişimi kuruluşunuzun ağında onaylanan özel uç noktaları hedefleyen isteklerle kısıtlamanıza olanak tanır. Genel uç noktaya yönelik isteklere izin verme konusunda doğal olarak güvenli olmayan bir şey yoktur, ancak yasal, yasal veya kurumsal ilke gereksinimlerini karşılamak için bunu devre dışı bırakmak isteyebilirsiniz. Kaynağın incomingTrafficPolicy değerini AllowVirtualNetworksOnly olarak ayarlayarak Depolama Eşitleme Hizmeti için genel uç noktayı devre dışı bırakabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kuyruk Depolama şifreleme için müşteri tarafından yönetilen anahtarı kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kuyruk depolama alanınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabın BYOK ile şifrelenmesi gerekir | Bu ilke, etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabının KAG ile şifrelenip şifrelenmediğini denetler. İlke yalnızca depolama hesabı tasarım gereği etkinlik günlükleri ile aynı abonelikte yer alırsa çalışır. Bekleyen Azure Depolama şifrelemesi hakkında daha fazla bilgiyi burada https://aka.ms/azurestoragebyokbulabilirsiniz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama hesap şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesap şifreleme kapsamları bekleyen veriler için çift şifreleme kullanmalıdır | Ek güvenlik için depolama hesabı şifreleme kapsamlarınızın geri kalanında şifreleme için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi, verilerinizin iki kez şifrelenmesini sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesap anahtarlarının süresi dolmamalıdır | Anahtar süre sonu ilkesi ayarlandığında, anahtarların süresi dolduğunda işlem yaparak hesap anahtarlarının güvenliğini artırmak için kullanıcı depolama hesabı anahtarlarının süresinin dolmadığından emin olun. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Depolama hesapları güvenilen Microsoft hizmetleri erişime izin vermelidir | Depolama hesaplarıyla etkileşim kuran bazı Microsoft hizmetleri, ağ kuralları aracılığıyla erişim verilmeyen ağlardan çalışır. Bu hizmet türünün amaçlandığı gibi çalışmasına yardımcı olmak için, güvenilen Microsoft hizmetleri kümesinin ağ kurallarını atlamasına izin verin. Bu hizmetler daha sonra depolama hesabına erişmek için güçlü kimlik doğrulaması kullanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları izin verilen SKU'lar ile sınırlandırılmalıdır | Kuruluşunuzun dağıtabileceği depolama hesabı SKU'ları kümesini kısıtlayın. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları genel ağ erişimini devre dışı bırakmalıdır | Depolama Hesaplarının güvenliğini artırmak için, genel İnternet'te kullanıma sunulmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/storageaccountpublicnetworkaccessgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapların altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarında paylaşılan erişim imzası (SAS) ilkeleri yapılandırılmış olmalıdır | Depolama hesaplarının paylaşılan erişim imzası (SAS) süre sonu ilkesinin etkinleştirildiğinden emin olun. Kullanıcılar, Azure Depolama hesabındaki kaynaklara erişim yetkisi vermek için SAS kullanır. Kullanıcı SAS belirteci oluşturduğunda SAS süre sonu ilkesi üst süre sonu sınırı önerir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları belirtilen en düşük TLS sürümüne sahip olmalıdır | İstemci uygulamasıyla depolama hesabı arasında güvenli iletişim için en düşük TLS sürümünü yapılandırın. Güvenlik riskini en aza indirmek için önerilen en düşük TLS sürümü, şu anda TLS 1.2 olan en son sürümdür. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları kiracılar arası nesne çoğaltmasını engellemelidir | Depolama hesabınız için nesne çoğaltmanın denetim kısıtlaması. Varsayılan olarak, kullanıcılar bir Azure AD kiracısında bir kaynak depolama hesabı ve farklı bir kiracıdaki hedef hesapla nesne çoğaltmayı yapılandırabilir. Müşterinin verileri, müşterinin sahip olduğu bir depolama hesabına çoğaltılabildiğinden bu bir güvenlik sorunudur. allowCrossTenantReplication ayarını false olarak ayarlayarak, nesne çoğaltma yalnızca hem kaynak hem de hedef hesaplar aynı Azure AD kiracısındaysa yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları paylaşılan anahtar erişimini engellemelidir | Depolama hesabınıza yönelik istekleri yetkilendirmek için Azure Active Directory'nin (Azure AD) denetim gereksinimi. Varsayılan olarak, istekler Azure Active Directory kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Azure AD, Paylaşılan Anahtara göre üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilen seçenektir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama Hesapları yalnızca ağ ACL atlama yapılandırması üzerinden ağ erişimini kısıtlamalıdır. | Depolama Hesaplarının güvenliğini artırmak için yalnızca ağ ACL'sini atlayarak erişimi etkinleştirin. Bu ilke, depolama hesabı erişimi için özel bir uç noktayla birlikte kullanılmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama Hesapları sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış Depolama Hesabını denetler. | Denetim, Devre Dışı | 1.0.0 |
| Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Tablo Depolama şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak tablo depolama alanınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Microsoft. Depolama Cache
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| OLAY Hub'ına HPC önbellekleri (microsoft.storagecache/caches) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, hpc önbellekleri (microsoft.storagecache/caches) için bir Olay Hub'ına günlükleri yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e HPC önbellekleri (microsoft.storagecache/caches) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, HPC önbellekleri (microsoft.storagecache/caches) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC önbelleklerinin (microsoft.storagecache/caches) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri HPC önbellekleri için Depolama Hesabına (microsoft.storagecache/caches) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Devre Dışı, Reddet | 2.0.0 |
Microsoft. Depolama Sync
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel uç noktalarla Azure Dosya Eşitleme yapılandırma | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta dağıtılır. Bu, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Bir veya daha fazla özel uç noktanın tek başına varlığı genel uç noktayı devre dışı bırakmaz. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Değiştir - genel ağ erişimini devre dışı bırakmak için Azure Dosya Eşitleme yapılandırma | Azure Dosya Eşitleme İnternet'e erişilebilen genel uç noktası, kuruluş ilkeniz tarafından devre dışı bırakılır. Depolama Eşitleme Hizmeti'ne özel uç noktaları aracılığıyla erişmeye devam edebilirsiniz. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Dosya Eşitleme için genel ağ erişimi devre dışı bırakılmalıdır | Genel uç noktayı devre dışı bırakmak, Depolama Eşitleme Hizmeti kaynağınıza erişimi kuruluşunuzun ağında onaylanan özel uç noktaları hedefleyen isteklerle kısıtlamanıza olanak tanır. Genel uç noktaya yönelik isteklere izin verme konusunda doğal olarak güvenli olmayan bir şey yoktur, ancak yasal, yasal veya kurumsal ilke gereksinimlerini karşılamak için bunu devre dışı bırakmak isteyebilirsiniz. Kaynağın incomingTrafficPolicy değerini AllowVirtualNetworksOnly olarak ayarlayarak Depolama Eşitleme Hizmeti için genel uç noktayı devre dışı bırakabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Microsoft.Classic Depolama
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin