Azure-beli tárolóregisztrálók megfelelőségi naplózása a Azure Policy

Azure Policy azure-beli szolgáltatás, amely szabályzatdefiníciók létrehozására, hozzárendelésre és kezelésére használható. Ezek a szabályzatdefiníciók különböző szabályokat és hatásokat kényszerítnek ki az erőforrásokon, hogy azok megfeleljenek a vállalati szabványoknak és szolgáltatói szerződéseknek.

Ez a cikk bemutatja a beépített szabályzatdefiníciókat a Azure Container Registry. Ezekkel a definíciókat használhatja az új és meglévő beállításregisztrálók naplózáshoz a megfelelőség érdekében.

A Azure Policy.

Beépített szabályzatdefiníciók

Az alábbi beépített szabályzatdefiníciók csak a Azure Container Registry:

Name
(Azure Portal)
Description Hatás(ak) Verzió
(GitHub)
Konfigurálja a tárolóregisztrálókat a helyi hitelesítés letiltásához. Tiltsa le a helyi hitelesítést, hogy a tárolóregisztrálók kizárólag Azure Active Directory identitásokat követelnek meg a hitelesítéshez. További információ: https://aka.ms/acr/authentication . Módosítás, Letiltva 1.0.0
Tárolóregisztrálók konfigurálása a nyilvános hálózati hozzáférés letiltásához Tiltsa le a nyilvános hálózati Container Registry, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link . Módosítás, Letiltva 1.0.0
Tárolóregisztrálók konfigurálása privát végpontokkal A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásnál vagy a célnál. Ha privát végpontokat leképez a prémium szintű tároló-beállításjegyzék erőforrásaira, csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/privateendpoints és https://aka.ms/acr/private-link . DeployIfNotExists, Disabled 1.0.0
A tárolóregisztrálókat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által kezelt kulcsokkal kezelheti a beállításjegyzékek többi tartalmának titkosítását. Alapértelmezés szerint az adatok titkosítása szolgáltatás által felügyelt kulcsokkal történik, de az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által kezelt kulcsok lehetővé teszik az adatok titkosítását egy olyan Azure Key Vault, amelyet Ön hozott létre és birtokolt. A kulcs életciklusa teljes körű vezérléssel és felelősséggel jár, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK . Naplózás, Megtagadás, Letiltva 1.1.2
A tárolóregisztrálókban le kell tiltani az exportálásokat Az exportálások letiltása növeli a biztonságot azáltal, hogy a regisztrációs adatbázisban lévő adatokhoz kizárólag az adatsíkon ("docker pull" keresztül) férnek hozzá. Az adatok nem mozgathatók a beállításjegyzékből az "acr import" vagy az "acr transfer" segítségével. Az exportálások letiltásához le kell tiltani a nyilvános hálózati hozzáférést. További információ: https://aka.ms/acr/export-policy . Naplózás, Megtagadás, Letiltva 1.0.0
A tárolóregisztrálókban le kell tiltani a helyi hitelesítési módszereket. A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy a tárolóregisztrálók kizárólag Azure Active Directory identitásokat követelnek meg a hitelesítéshez. További információ: https://aka.ms/acr/authentication . Naplózás, Megtagadás, Letiltva 1.0.0
A tárolóregisztrálóknak olyan termékkódokkal kell rendelkezik, amelyek támogatják a privát hivatkozásokat Azure Private Link segítségével nyilvános IP-cím nélkül csatlakoztathatja a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásnál vagy a célnál. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy a privát végpontokat a teljes szolgáltatás helyett a tárolóregisztrálókhoz leképezi, csökkennek az adatszivárgási kockázatok. További információ: https://aka.ms/acr/private-link . Naplózás, Megtagadás, Letiltva 1.0.0
A tárolóregisztrálók nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-beli tárolóregisztrálók alapértelmezés szerint bármilyen hálózatban található gazdagépről fogadnak internetes kapcsolatokat. A regisztrációs adatbázisokat úgy védheti meg a lehetséges fenyegetésekkel szemben, hogy csak bizonyos nyilvános IP-címekről vagy címtartományokról engedélyezi a hozzáférést. Ha a beállításjegyzék nem rendelkezik IP-/tűzfals szabálysal vagy konfigurált virtuális hálózattal, az a nem megfelelő erőforrások között fog megjelenni. A hálózati szabályokról Container Registry itt és https://aka.ms/acr/portal/public-network itt olvashat https://aka.ms/acr/vnet bővebben. Naplózás, Megtagadás, Letiltva 1.1.0
A tárolóregisztrálóknak privát kapcsolatot kell használniuk Azure Private Link segítségével nyilvános IP-cím nélkül csatlakoztathatja a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásnál vagy a célnál. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a privát végpontokat a teljes szolgáltatás helyett a tárolóregisztrálókhoz leképezi, azzal védelmet nyújt az adatszivárgási kockázatok ellen is. További információ: https://aka.ms/acr/private-link . Naplózás, Letiltva 1.0.1
[Előzetes ] verzió: Container Registry virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplót Container Registry virtuális hálózati szolgáltatásvégpont használatára konfigurált összes virtuális gépet. Naplózás, Letiltva 1.0.0-preview
A nyilvános hálózati hozzáférést le kell tiltani a tárolóregisztrálókhoz A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy a tárolóregisztrálók ne tegyenek elérhetővé a nyilvános interneten. A privát végpontok létrehozásával korlátozható a tároló-beállításjegyzék erőforrásainak kitettsége. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link . Naplózás, Megtagadás, Letiltva 1.0.0
A biztonsági Azure Container Registry rendszerképek biztonsági réseit helyre kell Azure Container Registry. A tároló rendszerképének sebezhetőségi felmérése biztonsági réseket keres a tárolójegyzékben minden leküldett tároló rendszerképen, és részletes eredményeket ad az egyes (Qualys által működtetett) rendszerképekkel kapcsolatban. A biztonsági rések megoldása jelentősen javíthatja a tárolók biztonsági biztonságát, és megvédheti őket a támadásokkal szemben. AuditIfNotExists, Disabled 2.0.0

Szabályzat-hozzárendelések létrehozása

  • Szabályzat-hozzárendeléseket hozhat létre a Azure Portal, az Azure CLI,Resource Manager sablon,vagy a Azure Policy-k használatával.
  • Szabályzat-hozzárendelés hatóköre erőforráscsoportra, előfizetésre vagy Azure felügyeleti csoportra. A tároló-beállításjegyzék szabályzat-hozzárendelései a hatókörben lévő meglévő és új tárolóregisztrálókra vonatkoznak.
  • A házirendek betartatását bármikor engedélyezheti vagy letilthatja.

Megjegyzés

A szabályzat-hozzárendelés létrehozása vagy frissítése után némi időbe telik, hogy a hozzárendelés kiértékelje a meghatározott hatókör erőforrásait. Lásd a szabályzatértékelési eseményindítókra vonatkozó információkat.

Szabályzat-megfelelőség áttekintése

A szabályzat-hozzárendelések által létrehozott megfelelőségi információkhoz a Azure Portal, az Azure parancssori eszközeivel vagy a Azure Policy SDK-okkal férhet hozzá. Részletekért lásd: Az Azure-erőforrások megfelelőségi adatainak lekért adatai.

Ha egy erőforrás nem megfelelő, annak számos oka lehet. A módosítás okának megállapításához vagy a felelős megkeresését lásd: Meg nem felelés meghatározása.

Szabályzat-megfelelőség a portálon:

  1. Válassza a Minden szolgáltatás lehetőséget, és keressen rá a Szabályzat kifejezésre.

  2. Válassza a Megfelelőség lehetőséget.

  3. A szűrőkkel korlátozhatja a megfelelőségi államokat, vagy szabályzatokat kereshet.

    Szabályzatok megfelelősége a portálon

  4. Válasszon ki egy szabályzatot az összesített megfelelőségi adatok és események áttekintésére. Ha szükséges, válasszon ki egy adott regisztrációs adatbázist az erőforrás-megfelelőséghez.

Szabályzat-megfelelőség az Azure CLI-ban

A megfelelőségi adatokat az Azure CLI használatával is lekértheti. Például a parancssori felület az policy assignment list parancsával lekérte az Azure Container Registry szabályzatok szabályzat-Azure Container Registry le:

az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table

Példa a kimenetre:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access           /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK)  /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a

Ezután futtassa az az policy state list parancsokat az adott szabályzatazonosítóban található összes erőforrás JSON-formátumú megfelelőségi állapotának visszaadása érdekében:

az policy state list \
  --resource <policyID>

Vagy futtassa az az policy state list parancsokat egy adott beállításjegyzék-erőforrás, például a myregistry JSON-formátumú megfelelőségi állapotának visszaadása érdekében:

az policy state list \
 --resource myregistry \
 --namespace Microsoft.ContainerRegistry \
 --resource-type registries \
 --resource-group myresourcegroup

Következő lépések