تعريفات السياسة المضمنة لـ Azure Virual Network
هذه الصفحة عبارة عن فهرس Azure Policy من تعريفات السياسة المضمنة لـ Azure Virual Network. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
يرتبط اسم كل تعريف سياسة مضمن بتعريف السياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Azure Virtual Network
| الاسم (مدخل Microsoft Azure) |
الوصف | التأثيرات | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب توجيه جميع حركات استخدام الإنترنت عبر Azure Firewall الموزّع | وقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام Azure Firewall أو جدار حماية من الجيل التالي معتمد | AuditIfNotExists، معطل | 3.0.0-معاينة |
| [إصدار أولي]: يجب أن يستخدم سجل حاوية نقطة تقديم خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي "تسجيل حاوية" لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | التدقيق، معطل | 1.0.0-المعاينة |
| يجب تطبيق نهج IPsec/IKE مخصص على كافة اتصالات بوابة الشبكة الافتراضية في Azure | يضمن هذا النهج استخدام كافة اتصالات بوابة الشبكة الافتراضية في Azure نهج مخصص لأمان بروتوكول الإنترنت (Ipsec) / مفتاح إنترنت Exchange(IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | التدقيق، مُعطل | 1.0.0 |
| يجب أن تستخدم خدمة التطبيقات نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي خدمة تطبيقات لم يتم تكوينها لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب ألا تستخدم بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | يضمن هذا النهج عدم استخدام بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | التدقيق، معطل | 1.0.0 |
| يجب تمكين Azure web Application Firewall لنقاط لـ Azure Front Door | انشر تطبيق جدار الحماية لتطبيق الويب للعامة التي تواجه تطبيقات الويب لمزيد من المعاينة على الحركة الواردة. يوفر جدار حماية تطبيق الويب حماية مركزية لتطبيقات الويب الخاصة بك من الاختراقات والثغرات الأمنية الشائعة مثل إضافة SQL والبرمجة عبر الموقع وعمليات تضمين الملفات المحلية والبعيدة. يمكنك أيضاً تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين بروتوكول الإنترنت ومعلمات http(s) الأخرى عبر القواعد المخصصة. | تدقيق، رفض، مُعطل | 1.0.2 |
| تكوين الإعدادات التشخيصية لمجموعات أمان شبكة Azure لتسجيل مساحة عمل Analytics | وزّع إعدادات التشخيص إلى مجموعات أمان شبكة Azure لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 1.0.0 |
| تهيئة مجموعات أمان الشبكة لتمكين تحليلات الحركة | يمكن تمكين تحليلات الحركة لجميع مجموعات أمان الشبكة المستضافة في منطقة معينة بجانب الإعدادات المقدمة أثناء إنشاء النهج. إذا كانت تحليلات الحركة ممكنة بالفعل، فإنه من ثمَّ لا يُعدل النهج إعداداته. يجوز تمكين سجلات التدفق أيضًا لمجموعات أمان الشبكة التي لا تملكها. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.0.1 |
| تهيئة مجموعات أمان الشبكة لاستخدام مساحة العمل المحددة لتحليلات الحركة | إذا كان تحليلات الحركة مفعلة، فإنه من ثمَّ لا يسمح هذا النهج بتعديل إعداداته الحالية بالتعديلات المقدمة في أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.0.1 |
| يجب أن يستخدم Cosmos DB نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي COSMOS DB لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | التدقيق، معطل | 1.0.0 |
| نشر مورد سجل تدفق مع مجموعة أمان الشبكة المستهدفة | تهيئة سجل التدفق لمجموعة أمان شبكة الاتصال المحددة. وسوف تسمح بتوفير سجل معلومات حول تدفق حركة بروتوكول الإنترنت من خلال مجموعة أمان الشبكة. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | deployIfNotExists | 1.0.1 |
| نشر مراقب الشبكة عند إنشاء الشبكات الظاهرية | ينشئ هذا النهج مورد مراقب شبكة اتصال في المناطق التي بها شبكات ظاهرية. تحتاج إلى التأكد من وجود مجموعة موارد تسمى networkWatcherRG، والتي سيتم استخدامها لنشر مثيلات مراقب الشبكة. | DeployIfNotExists | 1.0.0 |
| يجب أن يستخدم Event Hub نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي "مركز أحداث" لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | التدقيق، مُعطل | 1.1.0 |
| يجرى تهيئة سجلات التدفق لكل مجموعة من مجموعات أمان شبكة | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يسمح تمكين سجلات التدفق من تسجيل المعلومات حول حركة بروتوكول الإنترنت التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | التدقيق، مُعطل | 1.0.0 |
| يجب عدم تكوين الشبكات الفرعية للعبارة مع مجموعة أمان شبكة اتصال | يرفض هذا النهج إذا تم تكوين شبكة فرعية عبارة مع مجموعة أمان شبكة اتصال. سيؤدي تعيين مجموعة أمان شبكة لشبكة بوابة فرعية إلى توقف البوابة عن العمل. | رفض | 1.0.0 |
| يجب أن تستخدم خدمة Key Vault نقطة نهاية خدمة شبكة افتراضية | يقوم هذا النهج بمراجعة أي Key Vault لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | التدقيق، معطل | 1.0.0 |
| يجب أن تُعطل واجهات الشبكة إعادة توجيه بروتوكول الإنترنت | يرفض هذا النهج واجهات شبكة الاتصال التي مكنت إعادة توجيه بروتوكول الإنترنت. يؤدي إعداد إعادة توجيه بروتوكول الإنترنت إلى تعطيل فحص Azure للمصدر وواجهة واجهة شبكة الاتصال. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب ألا تحتوي واجهات الشبكة على بروتوكولات إنترنت عامة | يرفض هذا النهج واجهات شبكة الاتصال التي تم تهيئتها باستخدام بروتوكول إنترنت عام تسمح عناوين بروتوكول الإنترنت العامة لموارد الإنترنت بالاتصال بالموارد الواردة إلى Azure، وموارد Azure للاتصال بالإنترنت. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب أن تسمح سجلات تدفق بتمكين مراقب الشبكة على تحليلات الحركة | تُحلل تحليلات الشبكة سجلات تدفق مجموعة أمان شبكة مراقب الشبكة لتوفير رؤى حول تدفق الحركة في التطبيق السحابي في Azure ويمكن استخدامه لتصور نشاط الشبكة عبر اشتراكات Azure وتحديد النقاط الساخنة والتهديدات الأمنية وفهم أنماط تدفق الحركة وتحديد التهيئات الخاطئة للشبكة وغيرها. | التدقيق، معطل | 1.0.0 |
| يجب تمكين تشغيل مراقب الشبكة | تُعرف خدمة مراقب الشبكة على أنها خدمة إقليمية تمكنك من مراقبة وتشخيص الحالات على مستوى سيناريو الشبكة في Azure ومنه وإليه. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. يُشترط الحصول على مجموعة موارد مراقب شبكة الاتصال بغرض إنشائها في كل منطقة توجد بها شبكة ظاهرية. ويتم تمكين تنبيه إذا لم تتوفر مجموعة موارد مراقب شبكة الاتصال في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يستخدم خادم SQL Server نقطة نهاية خدمة شبكة اتصال افتراضية | يقوم هذا النهج بمراجعة أي SQL Server لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي حساب تخزين لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | التدقيق، معطل | 1.0.0 |
| يجب توصيل الأجهزة الافتراضية بشبكة افتراضية معتمدة | يقوم هذا النهج بمراجعة أي جهاز ظاهري متصل بشبكة ظاهرية لم تتم الموافقة عليه. | تدقيق، رفض، مُعطل | 1.0.0 |
| تجرى حماية الشبكات الافتراضية من خلال معايير حماية هجوم حجب خدمة Azure | احمِ الشبكات الافتراضية من هجمات حجب الخدمة والبروتوكول من خلال معايير حماية هجوم حجب الخدمة في Azure. للمزيد من المعلومات، راجع https://aka.ms/ddosprotectiondocs | تعديل، تدقيق، تعطيل | 1.0.0 |
| يجب أن تستخدم الشبكات الافتراضية بوابة شبكة اتصال افتراضية محددة | يقوم هذا النهج بمراجعة أي شبكة اتصال افتراضية إذا لم يشر المسار الافتراضي إلى بوابة الشبكة الافتراضية المحددة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم بوابات الشبكة الخاصة الافتراضية مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي النقطة إلى الموقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرّف على المزيد حول مصادقة Azure AD https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | تدقيق، رفض، مُعطل | 1.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لبوابة Application Gateway | انشر جدار حماية تطبيق الويب من Azure أمام تطبيقات الويب التي تواجه العامة لمزيد من المعاينة على الحركة الواردة. يوفر جدار حماية تطبيق الويب حماية مركزية لتطبيقات الويب الخاصة بك من الاختراقات والثغرات الأمنية الشائعة مثل إضافة SQL والبرمجة عبر الموقع وعمليات تضمين الملفات المحلية والبعيدة. يمكنك أيضاً تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين بروتوكول الإنترنت ومعلمات http(s) الأخرى عبر القواعد المخصصة. | تدقيق، رفض، مُعطل | 2.0.0 |
| يجب أن يستخدم جدار حماية تطبيق الويب الوضع المحدد في بوابة التطبيق | تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لبوابة التطبيق. | تدقيق، رفض، مُعطل | 1.0.0 |
| يجب أن يستخدم جدار حماية تطبيق الويب الوضع المحدد في Azure Front Door Service | تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service. | تدقيق، رفض، مُعطل | 1.0.0 |
علامات
| الاسم (مدخل Microsoft Azure) |
الوصف | التأثيرات | إصدار (GitHub) |
|---|---|---|---|
| إضافة علامة إلى مجموعات الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد لا تحتوي على هذه العلامة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| إضافة علامة إلى الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة إلى الاشتراكات | إضافة العلامة والقيمة المحددتين للاشتراكات عبر مهمة الإصلاح. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة في مجموعات الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة على الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة أو استبدالها في الاشتراكات | إضافة أو استبدال العلامة والقيمة المحددتين للاشتراكات عبر مهمة المعالجة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إرفاق علامة وقيمتها من مجموعة الموارد | لإرفاق العلامة المحددة بقيمتها من مجموعة الموارد عند إنشاء أو تحديث أي مورد يفتقد هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بمجموعات الموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد تفتقد إلى هذه العلامة. لا يتم تعديل علامات مجموعات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير مجموعات الموارد هذه. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بالموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد يفتقد إلى هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. لا ينطبق على مجموعات الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.1 |
| استيراد علامة من مجموعة الموارد | إضافة أو استبدال العلامة والقيمة المحددتين من مجموعة الموارد الرئيسية عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من مجموعة الموارد في حالة فقدها | إضافة العلامة المحددة بقيمتها من مجموعة الموارد الرئيسية عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك | استيراد أو استبدال العلامة والقيمة المحددتين من الاشتراك المتضمن عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك في حالة فقدها | إضافة العلامة المحددة بقيمتها من الاشتراك المتضمن عند إنشاء أو تحديث أي مورد لا يحتوي على هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| طلب علامة وقيمتها في مجموعات الموارد | فرض علامة مطلوبة وقيمتها على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة وقيمتها في الموارد | فرض العلامة المطلوبة وقيمتها. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
| طلب علامة في مجموعات الموارد | فرض وجود علامة على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة على الموارد | فرض وجود علامة. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
عام
| الاسم (مدخل Microsoft Azure) |
الوصف | التأثيرات | إصدار (GitHub) |
|---|---|---|---|
| المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. باستثناء مجموعات الموارد وMicrosoft.AzureActiveDirectory/b2cDirectory والموارد التي تستخدم المنطقة "العمومية". | رفض | 1.0.0 |
| المواقع المسموح بها لمجموعات الموارد | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | رفض | 1.0.0 |
| أنواع الموارد غير المسموح بها | يمكّنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك نشرها. لن تتأثر سوى أنواع الموارد التي تدعم "العلامات" و"الموقع" بهذه السياسة. لتقييد جميع الموارد، يرجى تكرار هذه السياسة وتغيير الوضع إلى "All". | رفض | 1.0.0 |
| يتطابق موقع موارد التدقيق مع موقع مجموعة الموارد | تحقق من مطابقة موقع المورد لموقع مجموعة الموارد الخاصة به | تحقق | 2.0.0 |
| التحقق من استخدام قواعد RBAC المخصصة | راجع الأدوار المتكوينة مثل "المالك، والمساهم والقارئ" بدلاً من أدوار التحكم في الوصول استناداً إلى الدور المخصصة، والتي تكون عرضة للخطأ. يجرى التعامل مع استخدام الأدوار المخصصة باعتبارها استثناء وتتطلب المراجعة الدقيقة ونمذجة للتهديدات | التدقيق، مُعطل | 1.0.0 |
| أنواع الموارد غير المسموح بها | تقييد أنواع الموارد التي يمكن نشرها في بيئتك. يمكن أن يؤدي الحد من أنواع الموارد إلى تقليل التعقيد والهجوم على سطح بيئتك بينما يساعد أيضًا في إدارة التكاليف. لا يتم عرض سوى نتائج الامتثال الخاصة بالموارد غير المتوافقة. | فحص، رفض، تعطيل | 2.0.0 |
الخطوات التالية
- اطلع على العناصر المضمنة في مستودع GitHub لـ Azure Policy.
- اطلع على تصميم تعريف Azure Policy.
- اطلع على فهم تأثيرات النهج.