Definisi bawaan Azure Policy untuk Azure Container Registry
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Container Registry. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure Container Registry
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Container Registry harus Zona Redundan | Container Registry dapat dikonfigurasi menjadi Zona Redundan atau tidak. Ketika properti zoneRedundancy untuk Container Registry diatur ke 'Dinonaktifkan', itu berarti registri bukan Zona Redundan. Menerapkan kebijakan ini membantu memastikan bahwa Container Registry Anda dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Container Registry yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0-preview |
| Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Konfigurasikan registri kontainer untuk menonaktifkan autentikasi anonim. | Nonaktifkan penarikan anonim untuk registri Anda sehingga data tidak dapat diakses oleh pengguna yang tidak diautentikasi. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan autentikasi token audiens ARM. | Nonaktifkan token audiens Azure Active Directory ARM untuk autentikasi ke registri Anda. Hanya token audiens Azure Container Registry (ACR) yang akan digunakan untuk autentikasi. Ini akan memastikan hanya token yang dimaksudkan untuk penggunaan pada registri yang dapat digunakan untuk autentikasi. Menonaktifkan token audiens ARM tidak memengaruhi autentikasi token akses pengguna admin atau token akses tercakup. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan akun admin lokal. | Nonaktifkan akun admin untuk registri Anda sehingga tidak dapat diakses oleh admin lokal. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasi Container registry untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya Container Registry Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan token akses terlingkup repositori. | Nonaktifkan token akses cakupan repositori untuk registri Anda sehingga repositori tidak dapat diakses oleh token. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Container registry dengan titik akhir pribadi | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya container registry premium Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints dan https://aka.ms/acr/private-link. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. | Audit, Tolak, Dinonaktifkan | 1.1.2 |
| Registri kontainer harus menonaktifkan autentikasi anonim. | Nonaktifkan penarikan anonim untuk registri Anda sehingga data tidak dapat diakses oleh pengguna yang tidak diautentikasi. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menonaktifkan autentikasi token audiens ARM. | Nonaktifkan token audiens Azure Active Directory ARM untuk autentikasi ke registri Anda. Hanya token audiens Azure Container Registry (ACR) yang akan digunakan untuk autentikasi. Ini akan memastikan hanya token yang dimaksudkan untuk penggunaan pada registri yang dapat digunakan untuk autentikasi. Menonaktifkan token audiens ARM tidak memengaruhi autentikasi token akses pengguna admin atau token akses tercakup. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Fitur ekspor di registri kontainer harus sudah dinonaktifkan | Menonaktifkan fitur ekspor meningkatkan keamanan dengan memastikan bahwa data dalam registri hanya dapat diakses melalui dataplane ('docker pull'). Data tidak dapat dipindahkan dari registri melalui 'acr import' atau melalui 'acr transfer'. Untuk menonaktifkan fitur ekspor, akses jaringan publik harus dinonaktifkan. Pelajari selengkapnya di: https://aka.ms/acr/export-policy. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menonaktifkan akun admin lokal. | Nonaktifkan akun admin untuk registri Anda sehingga tidak dapat diakses oleh admin lokal. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Registri kontainer harus menonaktifkan token akses cakupan repositori. | Nonaktifkan token akses cakupan repositori untuk registri Anda sehingga repositori tidak dapat diakses oleh token. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Container registry harus memiliki SKU yang mendukung Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari lebih lanjut tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Registri kontainer harus mencegah pembuatan aturan cache | Nonaktifkan pembuatan aturan cache untuk Azure Container Registry Anda untuk mencegah penarikan melalui tarikan cache. Pelajari selengkapnya di: https://aka.ms/acr/cache. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk registri Kontainer | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa container registry tidak terekspos di internet publik. Membuat titik akhir pribadi dapat membatasi paparan sumber daya container registry. Pelajari selengkapnya di: https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Langkah berikutnya
- Lihat panduan untuk menetapkan kebijakan dan meninjau kepatuhan.
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.