Azure Policy wbudowane definicje dla usługi Azure Storage

Ta strona jest indeksem Azure Policy wbudowanych definicji zasad dla usługi Azure Storage. Aby uzyskać Azure Policy wbudowanych funkcji dla innych usług, Azure Policy wbudowane definicje.

Nazwa każdej wbudowanej definicji zasad jest linkiem do definicji zasad w Azure Portal. Użyj linku w kolumnie Wersja, aby wyświetlić źródło w Azure Policy GitHub .

Microsoft.Storage

Nazwa
(Azure Portal)
Opis Efekt(y) Wersja
(GitHub)
Azure File Sync używać linku prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji programu Storage umożliwia adresowanie zasobu usługi synchronizacji Storage z poziomu prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Konfigurowanie Azure File Sync z prywatnymi punktami końcowymi Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu Storage synchronizacji. Umożliwia to adresowanie zasobu usługi synchronizacji Storage z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego samodzielnie nie powoduje wyłączenia publicznego punktu końcowego. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie ustawień diagnostycznych dla kont magazynu w obszarze roboczym usługi Log Analytics Wdraża ustawienia diagnostyczne dla kont magazynu w celu strumieniowego przesyłania dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy zostanie utworzone lub zaktualizowane dowolne konto magazynu, na którym brakuje tych ustawień diagnostycznych. DeployIfNotExists, Disabled 1.3.0
Konfigurowanie Storage do korzystania z połączenia z połączeniem prywatnym Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w miejscu źródłowym lub docelowym. Mapowanie prywatnych punktów końcowych na konto magazynu pozwala ograniczyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych na stronie : https://aka.ms/azureprivatelinkoverview DeployIfNotExists, Disabled 1.0.0
Wdrażanie usługi Advanced Threat Protection na kontach magazynu Te zasady umożliwiają korzystanie z usługi Advanced Threat Protection na kontach magazynu. DeployIfNotExists, Disabled 1.0.0
Magazyn geograficznie nadmiarowy powinien być włączony dla Storage kont Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępie Inspekcja, wyłączone 1.0.0
HPC Cache do szyfrowania należy używać klucza zarządzanego przez klienta Zarządzanie szyfrowaniem danych Azure HPC Cache kluczami zarządzanymi przez klienta. Domyślnie dane klienta są szyfrowane za pomocą kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Inspekcja, Wyłączone, Odmów 2.0.0
Modyfikowanie — konfigurowanie Azure File Sync w celu wyłączenia dostępu do sieci publicznej Publiczny Azure File Sync punktu końcowego aplikacji dostępnej z Internetu jest wyłączony przez zasady organizacji. Dostęp do usługi synchronizacji Storage nadal można uzyskać za pośrednictwem jej prywatnych punktów końcowych. Modyfikowanie, wyłączone 1.0.0
Dostęp do sieci publicznej powinien być wyłączony dla Azure File Sync Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi Storage Sync do żądań przeznaczonych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Zezwalanie na żądania do publicznego punktu końcowego nie jest z założenia niezabezpieczone, można jednak wyłączyć go w celu spełnienia wymagań prawnych, prawnych lub organizacyjnych dotyczących zasad. Publiczny punkt końcowy dla usługi synchronizacji Storage można wyłączyć, ustawiając parametr incomingTrafficPolicy zasobu na allowVirtualNetworksOnly. Inspekcja, Odmowa, Wyłączone 1.0.0
Należy włączyć bezpieczny transfer na konta magazynu Wymaganie inspekcji bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS) na koncie magazynu. Użycie protokołu HTTPS zapewnia uwierzytelnianie między serwerem i usługą oraz chroni dane podczas przesyłania przed atakami warstwy sieciowej, takimi jak ataki typu man-in-the-middle, podsłuchiwanie i przejmowanie sesji Inspekcja, Odmowa, Wyłączone 2.0.0
Storage zawierające kontener z dziennikami aktywności muszą być szyfrowane za pomocą szyfrowania BYOK Te zasady przeprowadza inspekcję, Storage konto użytkownika zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą zasad BYOK. Zasady te są sprawdzane tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności. Więcej informacji na temat szyfrowania danych Storage Azure można znaleźć https://aka.ms/azurestoragebyok tutaj. AuditIfNotExists, Disabled 1.0.0
Storage zakresu szyfrowania konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych w spoczynku Zarządzanie szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu przy użyciu kluczy zarządzanych przez klienta. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview . Inspekcja, Odmowa, Wyłączone 1.0.0
Storage zakresów szyfrowania konta powinny używać podwójnego szyfrowania dla danych w spoczynku Włącz szyfrowanie infrastruktury w celu szyfrowania w pozostałych zakresach szyfrowania konta magazynu, aby zapewnić dodatkowe zabezpieczenia. Szyfrowanie infrastruktury zapewnia dwukrotne szyfrowanie danych. Inspekcja, Odmowa, Wyłączone 1.0.0
Storage konta nie powinny być wygasłe Upewnij się, że klucze konta magazynu użytkownika nie wygasły po skonfigurowaniu zasad wygasania kluczy w celu zwiększenia bezpieczeństwa kluczy kont przez podjęcie działań w przypadku wygaśnięcia kluczy. Inspekcja, Odmowa, Wyłączone 3.0.0
[Wersja ] zapoznawcza: Storage dostęp publiczny do konta powinien być niedozwolone Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom zabezpieczeń danych spowodowanym przez niepożądany dostęp anonimowy, firma Microsoft zaleca uniemożliwienie dostępu publicznego do konta magazynu, chyba że jest to wymagane w scenariuszu. inspekcja, odmowa, wyłączone 3.0.1 —wersja zapoznawcza
Storage powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft Niektóre usługi firmy Microsoft, które wchodzą w interakcję z kontami magazynu, działają z sieci, do których nie można przyznać dostępu za pośrednictwem reguł sieci. Aby ułatwić pracę tego typu usługi zgodnie z zamierzonymi zasadami, należy zezwolić zestawowi zaufanych usługi firmy Microsoft ominąć reguły sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. Inspekcja, Odmowa, Wyłączone 1.0.0
Storage powinny być ograniczone przez dozwolone jednostki SKU Ogranicz zestawy jednostki SKU konta magazynu, które organizacja może wdrożyć. Inspekcja, Odmowa, Wyłączone 1.1.0
Storage konta powinny być migrowane do nowych Azure Resource Manager zasobów Użyj nowego rozwiązania Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i ład oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD oraz obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0
Storage powinny mieć szyfrowanie infrastruktury Włącz szyfrowanie infrastruktury w celu zapewnienia wyższego poziomu bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwukrotnie. Inspekcja, Odmowa, Wyłączone 1.0.0
Storage powinny uniemożliwiać dostęp do klucza wspólnego Wymaganie inspekcji Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania można autoryzować przy użyciu Azure Active Directory poświadczeń lub przy użyciu klucza dostępu do konta w celu autoryzacji klucza wspólnego. Z tych dwóch typów autoryzacji usługa Azure AD zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza wspólnego i jest zalecana przez firmę Microsoft. Inspekcja, Odmowa, Wyłączone 1.0.0
Storage powinny ograniczać dostęp do sieci Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieci, aby tylko aplikacje z dozwolonych sieci mogły uzyskać dostęp do konta magazynu. Aby zezwolić na połączenia z określonego Internetu lub klientów lokalnych, można przyznać dostęp do ruchu z określonych sieci wirtualnych platformy Azure lub z zakresów publicznych internetowych adresów IP Inspekcja, Odmowa, Wyłączone 1.1.1
Storage powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej Chroń konta magazynu przed potencjalnymi zagrożeniami, używając reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia dostęp publicznych adresów IP do kont magazynu. Inspekcja, Odmowa, Wyłączone 1.0.1
Storage Konta powinny używać punktu końcowego usługi dla sieci wirtualnej Te zasady przeprowadza inspekcję wszystkich Storage, które nie zostały skonfigurowane do korzystania z punktu końcowego usługi dla sieci wirtualnej. Inspekcja, wyłączone 1.0.0
Storage powinny używać klucza zarządzanego przez klienta do szyfrowania Zabezpieczanie konta magazynu plików i obiektów blob z większą elastycznością przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Korzystanie z kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. Inspekcja, wyłączone 1.0.3
Storage powinny używać linku prywatnego Azure Private Link umożliwia połączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentem a usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto magazynu zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych na stronie : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0

Microsoft.StorageCache

Nazwa
(Azure Portal)
Opis Efekt(y) Wersja
(GitHub)
HPC Cache do szyfrowania należy używać klucza zarządzanego przez klienta Zarządzanie szyfrowaniem danych Azure HPC Cache kluczami zarządzanymi przez klienta. Domyślnie dane klienta są szyfrowane za pomocą kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Inspekcja, Wyłączone, Odmów 2.0.0

Microsoft.StorageSync

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure File Sync należy użyć linku prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji usługi Storage umożliwia adresowanie zasobu usługi synchronizacji usługi Storage z poziomu prywatnej przestrzeni adresów IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Konfigurowanie Azure File Sync z prywatnymi punktami końcowymi Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu Storage synchronizacji. Umożliwia to adresowanie zasobu usługi synchronizacji Storage z poziomu prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego samodzielnie nie powoduje wyłączenia publicznego punktu końcowego. DeployIfNotExists, Disabled 1.0.0
Modyfikowanie — konfigurowanie Azure File Sync w celu wyłączenia dostępu do sieci publicznej Publiczny Azure File Sync punktu końcowego dostępnego z Internetu jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi Storage Sync za pośrednictwem jej prywatnych punktów końcowych. Modyfikowanie, wyłączone 1.0.0
Dostęp do sieci publicznej powinien być wyłączony dla Azure File Sync Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi Storage Sync do żądań przeznaczonych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Zezwalanie na żądania do publicznego punktu końcowego nie jest z założenia niezabezpieczone, ale możesz go wyłączyć, aby spełniał wymagania prawne, prawne lub organizacyjne. Publiczny punkt końcowy dla usługi synchronizacji Storage można wyłączyć, ustawiając parametr incomingTrafficPolicy zasobu na AllowVirtualNetworksOnly. Inspekcja, Odmowa, Wyłączone 1.0.0

Microsoft.ClassicStorage

Nazwa
(Azure Portal)
Opis Efekt(y) Wersja
(GitHub)
Storage powinny być migrowane do nowych Azure Resource Manager zasobów Użyj nowego rozwiązania Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i ład oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD oraz obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0

Następne kroki