Definições internas do Azure Policy para o Armazenamento do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Armazenamento do Microsoft Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Microsoft.Storage
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: O Backup do Azure deve ser habilitado para Blobs nas Contas de Armazenamento | Garanta a proteção de suas Contas de Armazenamento habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar o backup de blobs nas contas de armazenamento com uma determinada marca para um cofre de backup existente na mesma região | Imponha o backup para blobs em todas as contas de armazenamento que contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.0-preview |
[Versão prévia]: Configurar o backup de blobs para todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup na mesma região | Imponha o backup para blobs em todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.0-preview |
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
[Versão prévia]: as contas de armazenamento devem ser com redundância de zona | As contas de armazenamento podem ser configuradas para serem com redundância de zona ou não. Se o nome do SKU de uma conta de armazenamento não terminar com 'ZRS' ou seu tipo for 'Armazenamento', ela não será uma conta de armazenamento com redundância de zona. Essa política garante que suas contas de armazenamento usem a configuração com redundância de zona. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
Configurar a Sincronização de Arquivos do Azure com pontos de extremidade privados | Um ponto de extremidade privado é implantado para o recurso de Serviço de Sincronização de Armazenamento indicado. Isso permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privados da rede da sua organização, em vez de pelo ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados, por si só, não desabilita o ponto de extremidade público. | DeployIfNotExists, desabilitado | 1.0.0 |
Definir as configurações de diagnóstico do serviço Blob para o workspace do Log Analytics | Implanta as configurações de diagnóstico do serviço Blob para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Blob sem essas configurações de diagnóstico for criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 4.0.0 |
Definir as configurações de diagnóstico do serviço Arquivos para o workspace do Log Analytics | Implanta as configurações de diagnóstico do serviço Arquivos para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Arquivos sem essas configurações de diagnóstico for criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 4.0.0 |
Definir as configurações de diagnóstico do serviço Filas para o workspace do Log Analytics | Implanta as configurações de diagnóstico do serviço Fila para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Fila sem essas configurações de diagnóstico for criado ou atualizado. Observação: essa política não é disparada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar na conta. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 4.0.1 |
Definir as configurações de diagnóstico das contas de armazenamento para o workspace do Log Analytics | Implanta as configurações de diagnóstico para transmitir os logs de recurso a um workspace do Log Analytics quando uma conta de armazenamento sem essas configurações de diagnóstico for criada ou atualizada. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 4.0.0 |
Definir as configurações de diagnóstico do serviço Tabelas para o workspace do Log Analytics | Implanta as configurações de diagnóstico do serviço Tabela para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Tabela sem essas configurações de diagnóstico for criado ou atualizado. Observação: essa política não é disparada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar na conta. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 4.0.1 |
Configurar a transferência segura de dados em uma conta de armazenamento | A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Modificar, Desabilitado | 1.0.0 |
Configurar a Conta de armazenamento para usar uma conexão de link privado | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para a conta de armazenamento, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar contas de armazenamento para desabilitar o acesso à rede pública | Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Modificar, Desabilitado | 1.0.1 |
Configure contas de armazenamento para restringir o acesso à rede apenas por meio da configuração de bypass de ACL de rede. | Para aprimorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do bypass de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Modificar, Desabilitado | 1.0.0 |
Configurar o acesso público à conta de armazenamento como não permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | Modificar, Desabilitado | 1.0.0 |
Configure sua conta de Armazenamento para habilitar o controle de versão do blob | Você pode habilitar o controle de versão do Armazenamento de Blobs para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blobs estiver habilitado, você poderá acessar as versões anteriores de um blob para recuperar os dados, caso tenham sido modificados ou excluídos. | Audit, Deny, desabilitado | 1.0.0 |
Implantar o Defender para Armazenamento (Clássico) em contas de armazenamento | Essa política ativa o Defender para Armazenamento (Clássico) em contas de armazenamento. | DeployIfNotExists, desabilitado | 1.0.1 |
Habilitar o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilite o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilite o registro em log por grupo de categorias para movimentadores de armazenamento (microsoft.storagemover/storagemovers) para o Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilite o registro em log por grupo de categorias para movimentadores de armazenamento (microsoft.storagemover/storagemovers) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilite o registro em log por grupo de categorias para movimentadores de armazenamento (microsoft.storagemover/storagemovers) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, desabilitado, negação | 2.0.0 |
Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública | Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. | Modificar, Desabilitado | 1.0.0 |
Modificar - Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão do Armazenamento de Blobs para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blobs estiver habilitado, você poderá acessar as versões anteriores de um blob para recuperar os dados, caso tenham sido modificados ou excluídos. Observe que as contas de armazenamento existentes não serão modificadas para habilitar o controle de versão do armazenamento Blobs. Apenas contas de armazenamento recém-criadas terão o controle de versão do armazenamento de blobs ativado | Modificar, Desabilitado | 1.0.0 |
O acesso à rede pública deve ser desabilitado para a Sincronização de Arquivos do Azure | A desabilitação do ponto de extremidade público permite restringir o acesso ao seu recurso de Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um serviço de sincronização de armazenamento definindo o incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Audit, Deny, desabilitado | 1.0.0 |
O Armazenamento de Filas deve usar chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento de filas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, Deny, desabilitado | 1.0.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK | Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desabilitado | 1.0.0 |
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Audit, Deny, desabilitado | 1.0.0 |
Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para os dados inativos | Habilite a criptografia de infraestrutura para criptografia em repouso em seus escopos de criptografia de conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
As chaves da conta de armazenamento não devem expirar | Verifique se as chaves da conta de armazenamento do usuário não expiraram quando a política de expiração de chave é definida a fim de melhorar a segurança das chaves de conta com a execução de uma ação quando as chaves expiram. | Audit, Deny, desabilitado | 3.0.0 |
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem ser limitadas por SKUs permitidos | Restrinja o conjunto de SKUs de conta de armazenamento que a sua organização pode implantar. | Audit, Deny, desabilitado | 1.1.0 |
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem desabilitar o acesso à rede pública | Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Audit, Deny, desabilitado | 1.0.1 |
As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem ter as políticas de SAS (assinatura de acesso compartilhado) configuradas | Verifique se as contas de armazenamento têm a política de expiração de SAS (assinatura de acesso compartilhado) habilitada. Os usuários usam uma SAS para delegar o acesso a recursos na conta de Armazenamento Azure. E a política de expiração de SAS recomenda o limite de expiração quando um usuário cria um token SAS. | Audit, Deny, desabilitado | 1.0.0 |
Contas de armazenamento devem ter a versão mínima do TLS especificada | Configure uma versão mínima do TLS para estabelecer uma comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a mais recente lançada, que é o TLS 1.2. | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem impedir a replicação de objetos entre locatários | Audite a restrição da replicação de objetos para sua conta de armazenamento. Por padrão, os usuários podem configurar a replicação de objetos com uma conta de armazenamento de origem em um locatário do Azure AD e uma conta de destino em um locatário diferente. Trata-se de uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que pertence ao cliente. Ao definir allowCrossTenantReplication como false, a replicação de objetos poderá ser configurada somente se as contas de origem e de destino estiverem no mesmo locatário do Azure AD. | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem impedir o acesso de chave compartilhada | Requisito de auditoria do Azure AD (Azure Active Directory) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com as credenciais do Azure Active Directory ou usando a chave de acesso da conta para a autorização de chave compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. | Audit, Deny, desabilitado | 2.0.0 |
As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede apenas por meio da configuração de bypass de ACL de rede. | Para aprimorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do bypass de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
O Armazenamento de Tabelas deve usar a chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento de tabelas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, Deny, desabilitado | 1.0.0 |
Microsoft.StorageCache
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Habilitar o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilite o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o log por grupo de categorias para caches HPC (microsoft.storagecache/caches) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, desabilitado, negação | 2.0.0 |
Microsoft.StorageSync
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
Configurar a Sincronização de Arquivos do Azure com pontos de extremidade privados | Um ponto de extremidade privado é implantado para o recurso de Serviço de Sincronização de Armazenamento indicado. Isso permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privados da rede da sua organização, em vez de pelo ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados, por si só, não desabilita o ponto de extremidade público. | DeployIfNotExists, desabilitado | 1.0.0 |
Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública | Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. | Modificar, Desabilitado | 1.0.0 |
O acesso à rede pública deve ser desabilitado para a Sincronização de Arquivos do Azure | A desabilitação do ponto de extremidade público permite restringir o acesso ao seu recurso de Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um serviço de sincronização de armazenamento definindo o incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Audit, Deny, desabilitado | 1.0.0 |
Microsoft.ClassicStorage
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.