Beépített Azure Policy-definíciók az Azure Container Registryhez
Ez a lap az Azure Container Registry beépített Azure Policy-szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure Container Registry
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak zónaredundánsnak kell lennie | A tárolóregisztrációs adatbázis zónaredundánsként konfigurálható. Ha egy tárolóregisztrációs adatbázis zoneRedundancy tulajdonsága "Letiltva" értékre van állítva, az azt jelenti, hogy a beállításjegyzék nem zónaredundáns. A szabályzat kényszerítésével biztosítható, hogy a tárolóregisztrációs adatbázis megfelelően legyen konfigurálva a zóna rugalmassága érdekében, ezáltal csökkentve a zónakimaradások során az állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | AuditIfNotExists, Disabled | 1.0.1 |
| Konfigurálja a tárolóregisztrációs adatbázisokat a névtelen hitelesítés letiltásához. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhesse hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat az ARM-célközönség jogkivonat-hitelesítésének letiltásához. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat a helyi rendszergazdai fiók letiltásához. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.1 |
| Tárolóregisztrációs adatbázisok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a tárolóregisztrációs adatbázis-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat az adattár hatókörű hozzáférési jogkivonatának letiltásához. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Tárolóregisztrációs adatbázisok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a prémium szintű tárolóregisztrációs adatbázis erőforrásaihoz, csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/privateendpoints és https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| A tárolóregisztrációs adatbázisokban le kell tiltani a névtelen hitelesítést. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhessenek hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisokban le kell tiltani az ARM-célközönség jogkivonatának hitelesítését. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak le kell tiltani az exportálást | Az exportálás letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a regisztrációs adatbázisban lévő adatok kizárólag az adatsíkon (docker pull) keresztül férhessenek hozzá. Az adatok nem helyezhetők át a beállításjegyzékből "acr import" vagy "acr transfer" használatával. Az exportálás letiltásához le kell tiltani a nyilvános hálózati hozzáférést. További információ: https://aka.ms/acr/export-policy. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisokban le kell tiltani a helyi rendszergazdai fiókot. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárolóregisztrációs adatbázisoknak le kell tiltani az adattár hatókörű hozzáférési jogkivonatát. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak olyan termékváltozatokkal kell rendelkezniük, amelyek támogatják a privát hivatkozásokat | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgás kockázata csökken. További információ: https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak meg kell akadályoznia a gyorsítótárszabály létrehozását | Tiltsa le az Azure Container Registry gyorsítótárszabályainak létrehozását a gyorsítótár lekérésének megakadályozása érdekében. További információ: https://aka.ms/acr/cache. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a tárolóregisztrációs eseményközpontba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/registries) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/regiszries) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs tárfiókba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a tárolóregisztrációs adatbázisok esetében | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok nem érhetők el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a tárolóregisztrációs adatbázis erőforrásainak kitettségét. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
Következő lépések
- Útmutatás a szabályzatok hozzárendeléséhez és a megfelelőség áttekintéséhez.
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.