Definiciones de directivas integradas de Azure Policy para Azure Virtual Network

Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure Virtual Network. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.

El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.

Azure Virtual Network

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0 Audit, Disabled 1.0.0
[Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
App Service debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de App Service no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las instancias de Azure VPN Gateway no deben usar la SKU "básica". Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". Audit, Disabled 1.0.0
Configurar grupos de seguridad de red para habilitar el análisis de tráfico El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. DeployIfNotExists, Disabled 1.0.0
Configurar grupos de seguridad de red para usar el área de trabajo específica para el análisis de tráfico Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. DeployIfNotExists, Disabled 1.0.0
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. deployIfNotExists 1.0.0
Implementar Network Watcher al crear redes virtuales. Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. DeployIfNotExists 1.0.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Los registros de flujo se deben configurar para cada grupo de seguridad de red Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.1.0
Los registros de flujo se deben habilitar para cada grupo de seguridad de red Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.0.0
Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. deny 1.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las interfaces de red deben deshabilitar el reenvío IP Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. deny 1.0.0
Las interfaces de red no deben tener direcciones IP públicas. Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. deny 1.0.0
Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico El análisis de tráfico analiza los registros de flujo del grupo de seguridad de red de Network Watcher para proporcionar conclusiones sobre el flujo de tráfico en la nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. Audit, Disabled 1.0.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
El acceso RDP desde Internet debe estar bloqueado Esta directiva audita cualquier regla de seguridad de red que permita el acceso RDP desde Internet. Audit, Disabled 2.0.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
El acceso SSH desde Internet debe estar bloqueado Esta directiva audita cualquier regla de seguridad de red que permita el acceso SSH desde Internet. Audit, Disabled 2.0.0
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0
Las redes virtuales deben protegerse con el estándar Azure DDoS Protection. Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection Estándar. Para más información, visite https://aka.ms/ddosprotectiondocs. Modificación, auditoría y deshabilitación 1.0.0
Las redes virtuales deben usar la puerta de enlace de red virtual especificada Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. AuditIfNotExists, Disabled 1.0.0
Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. Audit, Deny, Disabled 1.0.0
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. Audit, Deny, Disabled 1.0.1
El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. Audit, Deny, Disabled 1.0.0
El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Etiquetas

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una etiqueta a los grupos de recursos Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Agregar una etiqueta a los recursos Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. No modifica las etiquetas de los grupos de recursos. modify 1.0.0
Agregar una etiqueta a las suscripciones Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. modify 1.0.0
Agregar o reemplazar una etiqueta en los grupos de recursos Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Agregar o reemplazar una etiqueta en los recursos Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier recurso. Los recursos existentes se pueden corregir con una tarea de corrección. No modifica las etiquetas de los grupos de recursos. modify 1.0.0
Agregar o reemplazar una etiqueta en las suscripciones Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. modify 1.0.0
Anexar una etiqueta y su valor desde el grupo de recursos Anexa la etiqueta especificada y su valor del grupo de recursos cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.0
Anexar una etiqueta y su valor a los grupos de recursos Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.0
Anexar una etiqueta y su valor a los recursos Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. No se aplica a los grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). append 1.0.1
Heredar una etiqueta del grupo de recursos Agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Heredar una etiqueta del grupo de recursos si falta Agrega la etiqueta especificada y su valor del grupo de recursos primario cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Heredar una etiqueta de la suscripción Agrega o reemplaza la etiqueta y el valor especificados de la suscripción contenedora cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. modify 1.0.0
Heredar una etiqueta de la suscripción si falta Agrega la etiqueta especificada y su valor en la suscripción contenedora cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. modify 1.0.0
Requerir una etiqueta y su valor en los grupos de recursos Aplica una etiqueta obligatoria y su valor en los grupos de recursos. deny 1.0.0
Requerir una etiqueta y su valor en los recursos Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos. deny 1.0.1
Solicitar una etiqueta en los grupos de recursos Requiere que se use una etiqueta en los grupos de recursos. deny 1.0.0
Solicitar una etiqueta en los recursos Requiere que haya una etiqueta. No se aplica a los grupos de recursos. deny 1.0.1

General

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ubicaciones permitidas Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, y recursos que usan la región "global". deny 1.0.0
Ubicaciones permitidas para grupos de recursos Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. deny 1.0.0
Tipos de recursos permitidos Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". deny 1.0.0
La ubicación del recurso de auditoría coincide con la del grupo de recursos Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. auditoría 2.0.0
Auditar el uso de reglas de RBAC personalizadas Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.0
No deben existir roles de propietario de suscripción personalizados. Esta directiva garantiza que no existe ningún rol de propietario de suscripción personalizado. Audit, Disabled 2.0.0
Tipos de recursos no permitidos Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. Audit, Deny, Disabled 2.0.0

Pasos siguientes