Předdefinované definice služby Azure Policy pro Azure Storage
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Storage. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Microsoft.Storage
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Pro objekty blob v účtech úložiště by měla být povolená služba Azure Backup. | Zajistěte ochranu účtů úložiště povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace zálohování objektů blob v účtech úložiště s danou značkou do existujícího trezoru záloh ve stejné oblasti | Vynucujte zálohování objektů blob ve všech účtech úložiště, které obsahují danou značku, do centrálního trezoru záloh. Díky tomu můžete spravovat zálohování objektů blob obsažených ve více účtech úložiště ve velkém měřítku. Další podrobnosti najdete tady: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Preview]: Konfigurace zálohování objektů blob pro všechny účty úložiště, které neobsahují danou značku trezoru záloh ve stejné oblasti | Vynucujte zálohování objektů blob ve všech účtech úložiště, které neobsahují danou značku centrálnímu trezoru záloh. Díky tomu můžete spravovat zálohování objektů blob obsažených ve více účtech úložiště ve velkém měřítku. Další podrobnosti najdete tady: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| [Preview]: Účty úložiště by měly být zónově redundantní | Účty úložiště je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Pokud název skladové položky účtu úložiště nekončí názvem ZRS nebo jeho druhem je Storage, není zónově redundantní. Tato zásada zajišťuje, že vaše účty úložiště používají konfiguraci zónově redundantní. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Synchronizace souborů Azure s privátními koncovými body | Privátní koncový bod se nasadí pro uvedený prostředek služby synchronizace úložiště. To vám umožní adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP adres sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Existence jednoho nebo více privátních koncových bodů sama o sobě nezakážuje veřejný koncový bod. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro službu Blob Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro službu Blob Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba blob, která chybí, tato nastavení diagnostiky. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro Souborové služby do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Souborovou službu pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud je vytvořená nebo aktualizovaná nějaká souborová služba, která chybí. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro službu Queue Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Queue Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje nějaká služba fronty, která chybí. Poznámka: Tato zásada se neaktivuje při vytváření účtu úložiště a vyžaduje vytvoření úlohy nápravy, aby bylo možné účet aktualizovat. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurace nastavení diagnostiky pro účty úložiště do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro účty úložiště pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje všechny účty úložiště, u kterých chybí toto nastavení diagnostiky. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurace nastavení diagnostiky pro Table Services do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Table Services pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje nějaká služba table Service, u které chybí tato nastavení diagnostiky. Poznámka: Tato zásada se neaktivuje při vytváření účtu úložiště a vyžaduje vytvoření úlohy nápravy, aby bylo možné účet aktualizovat. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurace zabezpečeného přenosu dat v účtu úložiště | Zabezpečený přenos je možnost, která vynutí účet úložiště přijímat požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtu úložiště pro použití připojení privátního propojení | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na účet úložiště můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů úložiště pro zakázání přístupu k veřejné síti | Pokud chcete zlepšit zabezpečení účtů úložiště, ujistěte se, že nejsou vystavené veřejnému internetu a dají se k nim přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/storageaccountpublicnetworkaccess. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Upravit, zakázáno | 1.0.1 |
| Nakonfigurujte účty úložiště tak, aby omezovaly síťový přístup pouze prostřednictvím konfigurace vynechat seznam ACL sítě. | Pokud chcete zlepšit zabezpečení účtů úložiště, povolte přístup pouze prostřednictvím obejití seznamu ACL sítě. Tato zásada by se měla používat v kombinaci s privátním koncovým bodem pro přístup k účtu úložiště. | Upravit, zakázáno | 1.0.0 |
| Nakonfigurujte veřejný přístup k účtu úložiště tak, aby se nepovolil. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtu úložiště pro povolení správy verzí objektů blob | Správu verzí úložiště objektů blob můžete povolit, aby se předchozí verze objektu automaticky udržovaly. Pokud je povolená správa verzí objektů blob, můžete získat přístup ke starším verzím objektu blob, abyste obnovili data, pokud jsou upravená nebo odstraněná. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nasazení Defenderu pro úložiště (Classic) v účtech úložiště | Tato zásada povolí Defender for Storage (Classic) u účtů úložiště. | DeployIfNotExists, zakázáno | 1.0.1 |
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro mezipaměti HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro movery úložiště (microsoft.storagemover/storagemovers) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro přesunovače úložiště (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro přesuny úložiště (microsoft.storagemover/storagemovers) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro přesuny úložiště (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro přesuny úložiště (microsoft.storagemover/storagemovers) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro movery úložiště (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. | Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Úprava – Konfigurace Synchronizace souborů Azure pro zakázání přístupu k veřejné síti | Veřejný koncový bod přístupný z internetu Synchronizace souborů Azure jsou zakázány zásadami vaší organizace. Ke službě Synchronizace úložiště můžete stále přistupovat prostřednictvím jeho privátních koncových bodů. | Upravit, zakázáno | 1.0.0 |
| Úprava – Konfigurace účtu úložiště pro povolení správy verzí objektů blob | Správu verzí úložiště objektů blob můžete povolit, aby se předchozí verze objektu automaticky udržovaly. Pokud je povolená správa verzí objektů blob, můžete získat přístup ke starším verzím objektu blob, abyste obnovili data, pokud jsou upravená nebo odstraněná. Upozorňujeme, že stávající účty úložiště nebudou upraveny tak, aby povolovaly správu verzí služby Blob Storage. Povolení správy verzí úložiště objektů blob budou mít jenom nově vytvořené účty úložiště. | Upravit, zakázáno | 1.0.0 |
| Přístup k veřejné síti by měl být pro Synchronizace souborů Azure zakázaný. | Zakázání veřejného koncového bodu umožňuje omezit přístup k prostředku služby synchronizace úložiště na žádosti určené pro schválené privátní koncové body v síti vaší organizace. Není nic ze své podstaty nezabezpečené o povolení požadavků na veřejný koncový bod, ale můžete chtít zakázat jeho splnění zákonných, právních nebo organizačních zásad. Veřejný koncový bod pro službu synchronizace úložiště můžete zakázat nastavením příchozítrafficPolicy prostředku na AllowVirtualNetworksOnly. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Queue Storage by pro šifrování měl používat klíč spravovaný zákazníkem. | Zabezpečte úložiště front s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. | Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory šifrování účtu úložiště by měly používat dvojité šifrování neaktivních uložených dat. | Pokud chcete přidat zabezpečení, povolte šifrování infrastruktury pro šifrování neaktivních rozsahů šifrování účtu úložiště. Šifrování infrastruktury zajišťuje, že se vaše data šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Platnost klíčů účtu úložiště by neměla vypršená. | Ujistěte se, že po nastavení zásad vypršení platnosti klíče nevypršela platnost klíčů účtu uživatele, aby se zlepšilo zabezpečení klíčů účtu provedením akce při vypršení platnosti klíčů. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly být omezené povolenými skladovými jednotkami | Omezte sadu skladových položek účtu úložiště, které může vaše organizace nasadit. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zakázat přístup k veřejné síti | Pokud chcete zlepšit zabezpečení účtů úložiště, ujistěte se, že nejsou vystavené veřejnému internetu a dají se k nim přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://aka.ms/storageaccountpublicnetworkaccess. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly mít nakonfigurované zásady sdíleného přístupového podpisu (SAS). | Ujistěte se, že účty úložiště mají povolené zásady vypršení platnosti sdíleného přístupového podpisu (SAS). Uživatelé používají SAS k delegování přístupu k prostředkům v účtu Azure Storage. Zásady vypršení platnosti SAS navíc doporučují horní limit vypršení platnosti, když uživatel vytvoří token SAS. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly mít zadanou minimální verzi protokolu TLS. | Nakonfigurujte minimální verzi protokolu TLS pro zabezpečenou komunikaci mezi klientskou aplikací a účtem úložiště. Aby se minimalizovalo riziko zabezpečení, doporučená minimální verze protokolu TLS je nejnovější vydaná verze, což je aktuálně TLS 1.2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zabránit replikaci objektů mezi tenanty | Audit omezení replikace objektů pro váš účet úložiště Ve výchozím nastavení můžou uživatelé nakonfigurovat replikaci objektů se zdrojovým účtem úložiště v jednom tenantovi Azure AD a cílovým účtem v jiném tenantovi. Jedná se o bezpečnostní problém, protože data zákazníka je možné replikovat do účtu úložiště, který vlastní zákazník. Nastavením allowCrossTenantReplication na false je možné nakonfigurovat replikaci objektů pouze v případě, že jsou zdrojové i cílové účty ve stejném tenantovi Azure AD. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zabránit přístupu ke sdíleným klíčům | Audit požadavků azure Active Directory (Azure AD) na autorizaci požadavků na váš účet úložiště Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace nabízí autorizace přes Azure AD vyšší zabezpečení a snadnější použití než autorizace pomocí sdíleného klíče, a proto ji Microsoft doporučuje. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pouze prostřednictvím konfigurace vynechat seznam ACL sítě. | Pokud chcete zlepšit zabezpečení účtů úložiště, povolte přístup pouze prostřednictvím obejití seznamu ACL sítě. Tato zásada by se měla používat v kombinaci s privátním koncovým bodem pro přístup k účtu úložiště. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Table Storage by pro šifrování měla používat klíč spravovaný zákazníkem. | Zabezpečte úložiště tabulek s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
Microsoft.StorageCache
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro mezipaměti HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro mezipaměti PROSTŘEDÍ HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. | Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Zakázáno, Odepřít | 2.0.0 |
Microsoft.StorageSync
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Synchronizace souborů Azure s privátními koncovými body | Privátní koncový bod se nasadí pro uvedený prostředek služby synchronizace úložiště. To vám umožní adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP adres sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Existence jednoho nebo více privátních koncových bodů sama o sobě nezakážuje veřejný koncový bod. | DeployIfNotExists, zakázáno | 1.0.0 |
| Úprava – Konfigurace Synchronizace souborů Azure pro zakázání přístupu k veřejné síti | Veřejný koncový bod přístupný z internetu Synchronizace souborů Azure jsou zakázány zásadami vaší organizace. Ke službě Synchronizace úložiště můžete stále přistupovat prostřednictvím jeho privátních koncových bodů. | Upravit, zakázáno | 1.0.0 |
| Přístup k veřejné síti by měl být pro Synchronizace souborů Azure zakázaný. | Zakázání veřejného koncového bodu umožňuje omezit přístup k prostředku služby synchronizace úložiště na žádosti určené pro schválené privátní koncové body v síti vaší organizace. Není nic ze své podstaty nezabezpečené o povolení požadavků na veřejný koncový bod, ale můžete chtít zakázat jeho splnění zákonných, právních nebo organizačních zásad. Veřejný koncový bod pro službu synchronizace úložiště můžete zakázat nastavením příchozítrafficPolicy prostředku na AllowVirtualNetworksOnly. | Audit, Odepřít, Zakázáno | 1.0.0 |
Microsoft.ClassicStorage
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.