Azure İlkesi kullanarak Azure kapsayıcı kayıt defterlerinin uyumluluğunu denetleme
Azure İlkesi, Azure'da ilke tanımları oluşturmak, atamak ve yönetmek için kullandığınız bir hizmettir. Bu ilke tanımları, kaynaklarınız üzerinde farklı kurallar ve etkiler uygular, böylece bu kaynaklar kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalır.
Bu makale, Azure Container Registry için yerleşik ilke tanımlarını tanıtır. Yeni ve mevcut kayıt defterlerini uyumluluk açısından denetlemek için bu tanımları kullanın.
Azure İlkesi kullanmak için ücret alınmaz.
Yerleşik ilke tanımları
Aşağıdaki yerleşik ilke tanımları Azure Container Registry'ye özgüdür:
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli olmalıdır | Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Bir Container Registry için zoneRedundancy özelliği 'Disabled' olarak ayarlandığında, kayıt defterinin Alanlar Arası Yedekli olmadığı anlamına gelir. Bu ilkenin zorunlu tutulması, Container Registry'nizin bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak için bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Container Registry bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Container Registry'leri denetler. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Anonim kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| ARM hedef kitle belirteci kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Yerel yönetici hesabını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.1 |
| Genel ağ erişimini devre dışı bırakmak için Kapsayıcı kayıt defterlerini yapılandırma | Container Registry kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. ve https://aka.ms/acr/private-linkadresinden https://aka.ms/acr/portal/public-network daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Depo kapsamlı erişim belirtecini devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerini özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları premium kapsayıcı kayıt defteri kaynaklarınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints ve https://aka.ms/acr/private-link. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Kapsayıcı kayıt defterlerinin anonim kimlik doğrulaması devre dışı bırakılmalıdır. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin ARM hedef kitle belirteci kimlik doğrulaması devre dışı bırakılmalıdır. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde dışarı aktarmalar devre dışı bırakılmalıdır | Dışarı aktarmaların devre dışı bırakılması, kayıt defterindeki verilere yalnızca veri düzlemi ('docker pull') aracılığıyla erişildiğinden emin olarak güvenliği artırır. Veriler 'acr içeri aktarma' veya 'acr aktarımı' yoluyla kayıt defterinden taşınamaz. Dışarı aktarmaları devre dışı bırakmak için genel ağ erişiminin devre dışı bırakılması gerekir. Daha fazla bilgi için: https://aka.ms/acr/export-policy. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin yerel yönetici hesabı devre dışı bırakılmalıdır. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterlerinin depo kapsamı belirlenmiş erişim belirteci devre dışı bırakılmalıdır. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde Özel Bağlantı destekleyen SKU'lar olmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri önbellek kuralı oluşturmayı engellemelidir | Önbellek çekmelerini önlemek için Azure Container Registry'nizde önbellek kuralı oluşturmayı devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/acr/cache. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| Event Hub'a Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Olay Hub'ına (microsoft.containerregistry/registries) yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics'e Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Depolama'ya Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Depolama Hesabına (microsoft.containerregistry/registries) yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Kapsayıcı kayıt defterleri için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişiminin devre dışı bırakılması, kapsayıcı kayıt defterlerinin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması kapsayıcı kayıt defteri kaynaklarının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
İlke atamaları oluşturma
- Azure portalı, Azure CLI, Resource Manager şablonu veya Azure İlkesi SDK'larını kullanarak ilke atamaları oluşturun.
- İlke atamasını kaynak grubuna, aboneliğe veya Azure yönetim grubuna kapsam olarak belirleyin. Kapsayıcı kayıt defteri ilkesi atamaları, kapsamdaki mevcut ve yeni kapsayıcı kayıt defterlerine uygulanır.
- İstediğiniz zaman ilke zorlamayı etkinleştirin veya devre dışı bırakın.
Not
İlke atamasını oluşturduktan veya güncelleştirdikten sonra atamanın tanımlı kapsamdaki kaynakları değerlendirmesi biraz zaman alır. İlke değerlendirme tetikleyicileri hakkındaki bilgilere bakın.
İlke uyumluluğunu gözden geçirme
azure portalını, Azure komut satırı araçlarını veya Azure İlkesi SDK'larını kullanarak ilke atamalarınız tarafından oluşturulan uyumluluk bilgilerine erişin. Ayrıntılar için bkz . Azure kaynaklarının uyumluluk verilerini alma.
Bir kaynak uyumsuz olduğunda, birçok olası neden vardır. Nedeni belirlemek veya değişikliği sorumlu bulmak için bkz . Uyumsuzluk belirleme.
Portalda ilke uyumluluğu:
Tüm hizmetler'i seçin ve İlke'yi arayın.
Uyumluluk'a tıklayın.
Uyumluluk durumlarını sınırlamak veya ilke aramak için filtreleri kullanın.
Toplu uyumluluk ayrıntılarını ve olaylarını gözden geçirmek için bir ilke seçin. İsterseniz, kaynak uyumluluğu için belirli bir kayıt defteri seçin.
Azure CLI'da ilke uyumluluğu
Uyumluluk verilerini almak için Azure CLI'yi de kullanabilirsiniz. Örneğin, uygulanan Azure Container Registry ilkelerinin ilke kimliklerini almak için CLI'daki az policy assignment list komutunu kullanın:
az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table
Örnek çıkış:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK) /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a
Ardından, belirli bir ilke kimliği altındaki tüm kaynaklar için JSON biçimli uyumluluk durumunu döndürmek için az policy state list komutunu çalıştırın:
az policy state list \
--resource <policyID>
Veya az policy state list komutunu çalıştırarak myregistry gibi belirli bir kayıt defteri kaynağının JSON biçimli uyumluluk durumunu döndürebilirsiniz:
az policy state list \
--resource myregistry \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \
--resource-group myresourcegroup
Sonraki adımlar
Azure İlkesi tanımları ve etkileri hakkında daha fazla bilgi edinin.
Özel bir ilke tanımı oluşturun.
Azure'daki idare özellikleri hakkında daha fazla bilgi edinin.