Azure Container Registry için yerleşik tanımları Azure İlkesi
Bu sayfa, Azure Container Registry için yerleşik Azure İlkesi ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Container Registry
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli olmalıdır | Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Bir Container Registry için zoneRedundancy özelliği 'Disabled' olarak ayarlandığında, kayıt defterinin Alanlar Arası Yedekli olmadığı anlamına gelir. Bu ilkenin zorunlu tutulması, Container Registry'nizin bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak için bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Container Registry bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Container Registry'leri denetler. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Anonim kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| ARM hedef kitle belirteci kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Yerel yönetici hesabını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.1 |
| Genel ağ erişimini devre dışı bırakmak için Kapsayıcı kayıt defterlerini yapılandırma | Container Registry kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. ve https://aka.ms/acr/private-linkadresinden https://aka.ms/acr/portal/public-network daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Depo kapsamlı erişim belirtecini devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerini özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları premium kapsayıcı kayıt defteri kaynaklarınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints ve https://aka.ms/acr/private-link. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Kapsayıcı kayıt defterlerinin anonim kimlik doğrulaması devre dışı bırakılmalıdır. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin ARM hedef kitle belirteci kimlik doğrulaması devre dışı bırakılmalıdır. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde dışarı aktarmalar devre dışı bırakılmalıdır | Dışarı aktarmaların devre dışı bırakılması, kayıt defterindeki verilere yalnızca veri düzlemi ('docker pull') aracılığıyla erişildiğinden emin olarak güvenliği artırır. Veriler 'acr içeri aktarma' veya 'acr aktarımı' yoluyla kayıt defterinden taşınamaz. Dışarı aktarmaları devre dışı bırakmak için genel ağ erişiminin devre dışı bırakılması gerekir. Daha fazla bilgi için: https://aka.ms/acr/export-policy. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin yerel yönetici hesabı devre dışı bırakılmalıdır. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterlerinin depo kapsamı belirlenmiş erişim belirteci devre dışı bırakılmalıdır. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde Özel Bağlantı destekleyen SKU'lar olmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri önbellek kuralı oluşturmayı engellemelidir | Önbellek çekmelerini önlemek için Azure Container Registry'nizde önbellek kuralı oluşturmayı devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/acr/cache. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| Event Hub'a Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Olay Hub'ına (microsoft.containerregistry/registries) yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Kapsayıcı kayıt defterlerinin (microsoft.containerregistry/registries) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Depolama Hesabına (microsoft.containerregistry/registries) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Kapsayıcı kayıt defterleri için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişiminin devre dışı bırakılması, kapsayıcı kayıt defterlerinin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması kapsayıcı kayıt defteri kaynaklarının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sonraki adımlar
- İlke atama ve uyumluluğu gözden geçirme yönergelerine bakın.
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.