Definições incorporadas da Política Azure para a Rede Virtual Azure

Esta página é um índice de definições políticas incorporadas da Azure Policy para a Rede Virtual Azure. Para obter mais incorporados em Azure Policy para outros serviços, consulte definições incorporadas na Política Azure.

O nome de cada definição de política incorporada liga-se à definição de política no portal Azure. Utilize o link na coluna Versão para visualizar a fonte na Política Azure GitHub repo.

Rede Virtual do Azure

Name
(Portal Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado O Centro de Segurança Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall de próxima geração. Proteja as suas sub-redes de potenciais ameaças restringindo-lhes o acesso com o Azure Firewall ou com uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: [Pré-visualização]: O registo do contentor deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
Uma política personalizada IPsec/IKE deve ser aplicada a todas as ligações de gateway de rede virtual Azure Esta política garante que todas as ligações de gateway de rede virtual Azure utilizem uma política personalizada de Segurança do Protocolo de Internet (Ipsec)/Internet Key Exchange(IKE). Algoritmos suportados e pontos fortes - https://aka.ms/AA62kb0 Auditoria, Deficientes 1.0.0
O Serviço de Aplicações deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Serviço de Aplicações não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
Gateways Azure VPN não devem usar SKU 'básico' Esta política garante que os gateways VPN não utilizem SKU "básico". Auditoria, Deficientes 1.0.0
A azure Web Application Firewall deve ser ativado para pontos de entrada da porta frontal Azure Implemente o Azure Web Application Firewall (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. O Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções SQL, scripts de cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 1.0.2
Configurar definições de diagnóstico para grupos de segurança da rede Azure para registar espaço de trabalho analítico Implementar definições de diagnóstico para grupos de segurança da rede Azure para transmitir registos de recursos para um espaço de trabalho Do Log Analytics. ImplementarIfNotExists, Desativado 1.0.0
Configure grupos de segurança de rede para permitir análises de tráfego A análise do tráfego pode ser ativada para todos os grupos de segurança da rede alojados numa determinada região com as configurações fornecidas durante a criação de políticas. Se já tem análises de tráfego ativadas, então a política não substitui as suas definições. Flow Os Registos também estão ativados para os grupos de segurança da Rede que não o têm. A análise de tráfego é uma solução baseada em nuvem que proporciona visibilidade à atividade do utilizador e da aplicação em redes em nuvem. ImplementarIfNotExists, Desativado 1.0.1
Configure grupos de segurança de rede para utilizar espaço de trabalho específico para análise de tráfego Se já tiver a análise do tráfego ativada, então a política substituirá as definições existentes com as previstas durante a criação de políticas. A análise de tráfego é uma solução baseada em nuvem que proporciona visibilidade à atividade do utilizador e da aplicação em redes em nuvem. ImplementarIfNotExists, Desativado 1.0.1
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
Implementar um recurso de registo de fluxo com o grupo de segurança da rede alvo Configura o registo de fluxo para um grupo específico de segurança de rede. Permitirá registar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Flow registo ajuda a identificar tráfego desconhecido ou não-desejável, verificar o isolamento da rede e o cumprimento das regras de acesso à empresa, analisar fluxos de rede de IPs comprometidos e interfaces de rede. implementarIfNotExists 1.0.1
Implementar o observador de rede quando as redes virtuais são criadas Esta política cria um recurso de observadores de rede em regiões com redes virtuais. É necessário garantir a existência de um grupo de recursos chamado networkWatcherRG, que será utilizado para implementar instâncias de observadores de rede. DeployIfNotExists 1.0.0
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
Flow registos devem ser configurados para cada grupo de segurança de rede Auditoria para grupos de segurança de rede para verificar se os registos de fluxo estão configurados. Permitir registos de fluxo permite registar informações sobre o tráfego IP fluindo através do grupo de segurança de rede. Pode ser usado para otimizar fluxos de rede, monitorizar a produção, verificar a conformidade, detetar intrusões e muito mais. Auditoria, Deficientes 1.1.0
Flow registos devem ser ativados para todos os grupos de segurança da rede Auditoria para os recursos de registo de fluxos para verificar se o estado do registo de fluxo está ativado. Permitir registos de fluxo permite registar informações sobre o tráfego IP fluindo através do grupo de segurança de rede. Pode ser usado para otimizar fluxos de rede, monitorizar a produção, verificar a conformidade, detetar intrusões e muito mais. Auditoria, Deficientes 1.0.0
As sub-redes gateway não devem ser configuradas com um grupo de segurança de rede Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o portal deixe de funcionar. negar 1.0.0
O Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita qualquer Cofre chave não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As interfaces de rede devem desativar o encaminhamento IP Esta política nega as interfaces de rede que permitiram o encaminhamento ip. A definição do encaminhamento IP desativa a verificação da origem e do destino da Azure para uma interface de rede. Isto deve ser revisto pela equipa de segurança da rede. negar 1.0.0
As interfaces de rede não devem ter IPs públicos Esta política nega as interfaces de rede que estão configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet. Isto deve ser revisto pela equipa de segurança da rede. negar 1.0.0
Os registos de fluxo do Observador de Rede devem ter análises de tráfego ativadas A análise de tráfego analisa os registos de fluxo de fluxo do grupo de segurança da rede Network Watcher para fornecer informações sobre o fluxo de tráfego na sua nuvem Azure. Pode ser usado para visualizar a atividade da rede através das suas subscrições Azure e identificar pontos quentes, identificar ameaças de segurança, compreender padrões de fluxo de tráfego, identificar configurações erradas da rede e muito mais. Auditoria, Deficientes 1.0.0
O Observador de Rede deve ser ativado O Network Watcher é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
Armazenamento Contas devem usar um ponto final de serviço de rede virtual Esta política audita qualquer conta Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0
As redes virtuais devem ser protegidas pela Norma de Proteção DDoS da Azure DDoS Proteja as suas redes virtuais contra ataques volumosos e protocolares com o Azure DDoS Protection Standard. Para mais informações, visite https://aka.ms/ddosprotectiondocs. Modificar, Auditar, Desativar 1.0.0
As redes virtuais devem utilizar o gateway de rede virtual especificado Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. AuditIfNotExists, Desativado 1.0.0
Gateways VPN devem usar apenas Azure Ative Directory (Azure AD) autenticação para utilizadores ponto a local A desativação dos métodos de autenticação local melhora a segurança, garantindo que os Gateways VPN utilizem apenas Azure Ative Directory identidades para a autenticação. Saiba mais sobre a autenticação AZure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Auditoria, Negar, Deficientes 1.0.0
Firewall de aplicação web (WAF) deve ser ativado para Gateway de aplicação Implemente o Azure Web Application Firewall (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. O Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções SQL, scripts de cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 2.0.0
Firewall de aplicação web (WAF) deve usar o modo especificado para Gateway de aplicação Determina a utilização do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas de Firewall de Aplicação Web para Gateway de aplicações. Auditoria, Negar, Deficientes 1.0.0
Firewall de aplicação web (WAF) deve usar o modo especificado para O Serviço de Porta Frontal Azure Determina a utilização do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas de Firewall de Aplicação Web para o Serviço de Porta Frontal Azure. Auditoria, Negar, Deficientes 1.0.0

Etiquetas

Name
(Portal Azure)
Description Efeito(s) Versão
(GitHub)
Adicione uma etiqueta aos grupos de recursos Adiciona a etiqueta e o valor especificados quando qualquer grupo de recursos que falte a esta etiqueta é criado ou atualizado. Os grupos de recursos existentes podem ser remediados desencadeando uma tarefa de reparação. Se a etiqueta existir com um valor diferente, não será alterada. modificar 1.0.0
Adicionar uma etiqueta aos recursos Adiciona a etiqueta e o valor especificados quando qualquer recurso em falta esta etiqueta é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. Não modifica as etiquetas nos grupos de recursos. modificar 1.0.0
Adicionar uma etiqueta às subscrições Adiciona a etiqueta especificada e o valor às subscrições através de uma tarefa de reparação. Se a etiqueta existir com um valor diferente, não será alterada. Consulte https://aka.ms/azurepolicyremediation mais informações sobre a reparação de políticas. modificar 1.0.0
Adicione ou substitua uma etiqueta em grupos de recursos Adiciona ou substitui a etiqueta e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser remediados desencadeando uma tarefa de reparação. modificar 1.0.0
Adicionar ou substituir uma etiqueta nos recursos Adiciona ou substitui a etiqueta e o valor especificados quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Não modifica as etiquetas nos grupos de recursos. modificar 1.0.0
Adicione ou substitua uma etiqueta nas subscrições Adiciona ou substitui a etiqueta e o valor especificados nas subscrições através de uma tarefa de reparação. Os grupos de recursos existentes podem ser remediados desencadeando uma tarefa de reparação. Consulte https://aka.ms/azurepolicyremediation mais informações sobre a reparação de políticas. modificar 1.0.0
Apendam uma etiqueta e o seu valor do grupo de recursos Anexa a etiqueta especificada com o seu valor do grupo de recursos quando qualquer recurso que esteja em falta esta etiqueta é criado ou atualizado. Não modifica as etiquetas de recursos criadas antes de esta política ser aplicada até que esses recursos sejam alterados. Estão disponíveis novas políticas de efeito de "modificação" que suportam a reparação de etiquetas nos recursos existentes (ver https://aka.ms/modifydoc). apêndice 1.0.0
Apecimos uma etiqueta e o seu valor aos grupos de recursos Anexa a etiqueta e o valor especificados quando qualquer grupo de recursos que esteja em falta esta etiqueta é criado ou atualizado. Não modifica as etiquetas dos grupos de recursos criados antes de esta política ser aplicada até que esses grupos de recursos sejam alterados. Estão disponíveis novas políticas de efeito de "modificação" que suportam a reparação de etiquetas nos recursos existentes (ver https://aka.ms/modifydoc). apêndice 1.0.0
Apecindo uma etiqueta e seu valor para recursos Anexa a etiqueta e o valor especificados quando qualquer recurso que esteja em falta esta etiqueta é criado ou atualizado. Não modifica as etiquetas de recursos criadas antes de esta política ser aplicada até que esses recursos sejam alterados. Não se aplica a grupos de recursos. Estão disponíveis novas políticas de efeito de "modificação" que suportam a reparação de etiquetas nos recursos existentes (ver https://aka.ms/modifydoc). apêndice 1.0.1
Herdar uma etiqueta do grupo de recursos Adiciona ou substitui a etiqueta e o valor especificados do grupo de recursos-mãe quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. modificar 1.0.0
Herdar uma etiqueta do grupo de recursos se faltar Adiciona a etiqueta especificada com o seu valor do grupo de recursos-mãe quando qualquer recurso em falta esta etiqueta é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. modificar 1.0.0
Herdar uma etiqueta da subscrição Adiciona ou substitui a etiqueta e o valor especificados da subscrição contendo quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. modificar 1.0.0
Herdar uma etiqueta da subscrição se faltar Adiciona a etiqueta especificada com o seu valor a partir da subscrição contendo quando qualquer recurso em falta esta etiqueta é criado ou atualizado. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. modificar 1.0.0
Requerem uma etiqueta e o seu valor em grupos de recursos Aplica uma etiqueta exigida e o seu valor em grupos de recursos. negar 1.0.0
Requerem uma etiqueta e o seu valor em recursos Impõe uma etiqueta exigida e o seu valor. Não se aplica a grupos de recursos. negar 1.0.1
Requerer uma etiqueta em grupos de recursos Impõe a existência de uma etiqueta em grupos de recursos. negar 1.0.0
Requerer uma etiqueta nos recursos Impõe a existência de uma etiqueta. Não se aplica a grupos de recursos. negar 1.0.1

Geral

Name
(Portal Azure)
Description Efeito(s) Versão
(GitHub)
Localizações permitidas Esta política permite-lhe restringir as localizações que a sua organização pode especificar ao implementar recursos. Utilize para impor os requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, e recursos que utilizam a região "global". negar 1.0.0
Locais permitidos para grupos de recursos Esta política permite-lhe restringir as localizações em que a sua organização pode criar grupos de recursos. Utilize para impor os requisitos de conformidade geográfica. negar 1.0.0
Tipos de recursos permitidos Esta política permite especificar os tipos de recursos que a sua organização pode implementar. Apenas os tipos de recursos que suportam "tags" e "localização" serão afetados por esta política. Para restringir todos os recursos, por favor, duplique esta política e altere o 'mode' para 'All'. negar 1.0.0
A localização do recurso de auditoria corresponde à localização do grupo de recursos Auditoria que a localização do recurso corresponde à sua localização de grupo de recursos auditoria 2.0.0
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0
Tipos de recursos não permitidos Restringir quais tipos de recursos podem ser implantados no seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente, ao mesmo tempo que ajuda a gerir os custos. Os resultados de conformidade só são apresentados para recursos não conformes. Auditoria, Negar, Deficientes 2.0.0

Passos seguintes