Azure Ilkesi kullanarak Azure Container Registry 'nin uyumluluğunu denetleme

Azure ilkesi , Azure 'da ilke oluşturmak, atamak ve yönetmek için kullandığınız bir hizmettir. Bu ilkeler, kaynaklarınız üzerinden farklı kuralları ve eylemleri uygulatarak kaynaklarınızın kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalmasını sağlar.

Bu makalede Azure Container Registry için yerleşik ilkeler tanıtılmıştır. Yeni ve mevcut kayıt defterlerinin uyumluluğunu denetlemek için bu ilkeleri kullanın.

Azure Ilkesi kullanımı için herhangi bir ücret alınmaz.

Yerleşik ilke tanımları

Aşağıdaki yerleşik ilke tanımları Azure Container Registry özgüdür:

Name
(Azure portal)
Description Efekt (ler) Sürüm
GitHub
Ortak ağ erişimini devre dışı bırakmak için kapsayıcı kayıt defterleri yapılandırma Genel internet üzerinden erişilememesi için Container Registry kaynağınız için ortak ağ erişimini devre dışı bırakın. Bu, veri sızıntısı riskini azaltabilir. Ve hakkında daha fazla bilgi edinin https://aka.ms/acr/portal/public-network https://aka.ms/acr/private-link . Değiştirme, devre dışı 1.0.0
Özel uç noktalarla kapsayıcı kayıt defterlerini yapılandırma Özel uç noktalar, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlayın. Özel uç noktaları Premium kapsayıcı kayıt defteri kaynaklarınıza eşleyerek, veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi edinin: https://aka.ms/privateendpoints ve https://aka.ms/acr/private-link . DeployIfNotExists, devre dışı 1.0.0
Kapsayıcı kayıt defterleri, müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Kayıt defterlerinden geri kalan içeriklerinde şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla birlikte şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar genellikle gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin oluşturulmuş ve sizin tarafınızdan sahip olduğu bir Azure Key Vault anahtarla şifrelenmesini sağlar. Anahtar yaşam döngüsü için, döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluğa sahipsiniz. Daha fazla bilgi edinin https://aka.ms/acr/CMK . Denetim, reddetme, devre dışı 1.1.2
Kapsayıcı kayıt defterleri, Özel Bağlantıları destekleyen SCU'lara sahip olmalı Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Reddet, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri kısıtlanmamış ağ erişimine izin vermeli Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağ üzerinde konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlere karşı korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verme. Kayıt defterinizin IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağı yoksa, iyi olmayan kaynaklarda görünür. Ağ kurallarının nasıl Container Registry daha fazla bilgi için buraya https://aka.ms/acr/portal/public-network ve buraya https://aka.ms/acr/vnet bakabilirsiniz. Denetim, Reddet, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanlı Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Devre Dışı 1.0.1
Container Registry sanal ağ hizmet uç noktası kullanacağız Bu ilke, Container Registry ağ hizmet uç noktası kullanmak üzere yapılandırılmamış tüm yapılandırmaları kontrol ediyor. Denetim, Devre Dışı 1.0.0-önizleme
Kapsayıcı kayıt defterleri için genel ağ erişimi devre dışı bırakılmıştır Genel ağ erişimini devre dışı bırakmak, kapsayıcı kayıt defterlerini genel İnternet'e açık bırakmamalarını sağlayarak güvenliği artırıyor. Özel uç noktalar oluşturmak, kapsayıcı kayıt defteri kaynaklarının açıklarını sınırlayıcı olabilir. Daha fazla bilgi için: https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/private-link . Denetim, Reddet, Devre Dışı 1.0.0
Görüntü Azure Container Registry güvenlik açıkları düzeltildi Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinize her bir kapsayıcı görüntüsüyle ilgili güvenlik açıklarını tarar ve her görüntüye ilişkin ayrıntılı bulguları (Qualys tarafından desteklenen) ortaya çıkarır. Güvenlik açıklarını çözmek, kapsayıcıların güvenlik duruşlarını önemli ölçüde geliştirebilir ve bunları saldırılara karşı koruyabilir. AuditIfNotExists, Disabled 2.0.0

İlke atama

Not

Bir ilkeyi atadıktan veya güncelleştirdikten sonra, bu, atamanın tanımlanan kapsamdaki kaynaklara uygulanması biraz zaman alır. İlke değerlendirme Tetikleyicilerihakkında bilgi için bkz..

İlke uyumluluğunu gözden geçirme

İlke atamalarınız tarafından oluşturulan uyumluluk bilgilerine Azure portal, Azure komut satırı araçlarını veya Azure Policy SDK 'larını kullanarak erişin. Ayrıntılar için bkz. Azure kaynaklarının uyumluluk verilerini edinme.

Bir kaynak uyumsuz olduğunda birçok olası neden vardır. Nedenini öğrenmek veya sorumluyu bulmak için bkz. uyumsuzluk belirleme.

Portalda ilke uyumluluğu:

  1. Tüm hizmetler' i seçin ve ilke araması yapın.

  2. Uyumluluk' i seçin.

  3. Uyumluluk durumlarını sınırlamak veya ilkeleri aramak için filtreleri kullanın.

    Portalda ilke uyumluluğu

  4. Toplu uyumluluk ayrıntılarını ve olaylarını gözden geçirmek için bir ilke seçin. İsterseniz, kaynak uyumluluğu için belirli bir kayıt defteri seçin.

Azure CLı 'de ilke uyumluluğu

Uyumluluk verilerini almak için Azure CLı 'yi de kullanabilirsiniz. Örneğin, uygulanan Azure Container Registry ilkelerinin ilke kimliklerini almak için CLı 'daki az Policy atama listesi komutunu kullanın:

az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table

Örnek çıktı:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access           /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK)  /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a

Ardından, belirli bir ilke KIMLIĞI altındaki tüm kaynaklar için JSON biçimli uyumluluk durumunu döndürmek üzere az Policy State List öğesini çalıştırın:

az policy state list \
  --resource <policyID>

Veya, myregistry gibi belirli bir kayıt DEFTERI kaynağının JSON biçimli uyumluluk durumunu döndürmek için az Policy State List ' i çalıştırın:

az policy state list \
 --resource myregistry \
 --namespace Microsoft.ContainerRegistry \
 --resource-type registries \
 --resource-group myresourcegroup

Sonraki adımlar