Definições internas do Azure Policy para o Registro de Contêiner do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Registro de Contêiner do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Registro de Contêiner do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: o Registro de Contêiner deve ser com redundância de zona | O Registro de Contêiner pode ser configurado para ser Com Redundância de Zona ou não. Quando a propriedade zoneRedundancy para um Registro de Contêiner é definida como 'Desabilitada', significa que o registro não é Com Redundância de Zona. A imposição dessa política ajuda a garantir que o Registro de Contêiner esteja configurado adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: o Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita os Registros de Contêiner que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 – versão prévia |
| As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desabilitado | 1.0.1 |
| Configurar os registros de contêiner para desabilitar a autenticação anônima. | Desabilite o pull anônimo para o registro, de modo que os dados não possam ser acessados por um usuário não autenticado. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desabilitado | 1.0.0 |
| Configure registros de contêiner para desabilitar a autenticação de token de audiência do ARM. | Desabilite os tokens de audiência do ARM do Azure Active Directory para autenticação no registro. Somente tokens de audiência do ACR (Registro de Contêiner do Azure) serão usados para autenticação. Isso garantirá que somente tokens destinados ao uso no registro possam ser usados para autenticação. Desabilitar tokens de audiência do ARM não afeta a autenticação de tokens de acesso do usuário administrador ou com escopo. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desabilitado | 1.0.0 |
| Configurar registros de contêiner para desabilitar a conta de administrador local. | Desabilite a conta de administrador do seu registro, de modo que o administrador local não possa acessá-lo. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desabilitado | 1.0.1 |
| Configurar Registros de Contêiner para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso do Registro de Contêiner para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desabilitado | 1.0.0 |
| Configurar registros de contêiner para desabilitar o token de acesso no escopo do repositório. | Desabilite os tokens de acesso no escopo do repositório para o registro, de modo que os repositórios não possam ser acessados pelos tokens. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desabilitado | 1.0.0 |
| Configurar Registros de Contêiner com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Pelo mapeamento de pontos de extremidade privados para seus recursos de registro de contêiner Premium, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link. | DeployIfNotExists, desabilitado | 1.0.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
| Os registros de contêiner devem ter a autenticação anônima desabilitada. | Desabilite o pull anônimo para o registro, de modo que os dados não possam ser acessados por um usuário não autenticado. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Audit, Deny, desabilitado | 1.0.0 |
| Os registros de contêiner devem ter a autenticação de token de audiência do ARM desabilitada. | Desabilite os tokens de audiência do ARM do Azure Active Directory para autenticação no registro. Somente tokens de audiência do ACR (Registro de Contêiner do Azure) serão usados para autenticação. Isso garantirá que somente tokens destinados ao uso no registro possam ser usados para autenticação. Desabilitar tokens de audiência do ARM não afeta a autenticação de tokens de acesso do usuário administrador ou com escopo. Saiba mais em: https://aka.ms/acr/authentication. | Audit, Deny, desabilitado | 1.0.0 |
| As exportações dos registros de contêiner devem estar desabilitadas | Desabilitar exportações melhora a segurança ao garantir que os dados de um registro sejam acessados exclusivamente pelo dataplane ("docker pull"). Os dados não podem ser movidos para fora do registro via "acr import" ou "acr transfer". Para desabilitar as exportações, é preciso desabilitar o acesso à rede pública. Saiba mais em: https://aka.ms/acr/export-policy. | Audit, Deny, desabilitado | 1.0.0 |
| Os registros de contêiner devem ter a conta de administrador local desabilitada. | Desabilite a conta de administrador do seu registro, de modo que o administrador local não possa acessá-lo. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Audit, Deny, desabilitado | 1.0.1 |
| Os registros de contêiner devem ter o token de acesso no escopo do repositório desabilitado. | Desabilite os tokens de acesso no escopo do repositório para o registro, de modo que os repositórios não possam ser acessados pelos tokens. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Audit, Deny, desabilitado | 1.0.0 |
| Os Registros de Contêiner devem ter SKUs que dão suporte a Links Privados | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Pelo mapeamento de pontos de extremidade privados para seus Registros de Contêiner, em vez de todo o serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/acr/private-link. | Audit, Deny, desabilitado | 1.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem impedir a criação de regra de cache | Desabilite a criação de regra de cache para o Registro de Contêiner do Azure para evitar efetuar pull por meio de pulls de cache. Saiba mais em: https://aka.ms/acr/cache. | Audit, Deny, desabilitado | 1.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para um Hub de Eventos para Registros de Contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Registros de contêiner (microsoft.containerregistry/registries) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para um workspace do Log Analytics para Registros de Contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para uma Conta de armazenamento para Registros de Contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| O acesso à rede pública deve ser desabilitado para Registros de Contêiner | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que os Registros de Contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de recursos do registro de contêiner. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Audit, Deny, desabilitado | 1.0.0 |
Próximas etapas
- Confira as diretrizes para atribuir políticas e examinar a conformidade.
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.