Аудит соответствия реестров контейнеров Azure с помощью политики Azure

2025-05-03

Политика Azure — это служба в Azure, используемая для создания, назначения и управления определениями политик. Эти определения политики применяют различные правила и эффекты над ресурсами, поэтому эти ресурсы остаются совместимыми с корпоративными стандартами и соглашениями об уровне обслуживания.

В этой статье приведены встроенные определения политик для Реестра контейнеров Azure. Используйте эти определения для аудита новых и существующих реестров для соответствия требованиям.

Плата за использование политики Azure не взимается.

Встроенные определения политик

Следующие встроенные определения политик относятся к Реестру контейнеров Azure.

Имя _{(портал Azure)}	Описание	Эффект(ы)	Версия _(GitHub)
[Предварительная версия]: реестр контейнеров должен быть избыточным по зонам	Реестр контейнеров может быть настроен на зону избыточности или без неё. Если свойству zoneRedundancy для реестра контейнеров присвоено значение "Отключено", это означает, что реестр не является избыточным по зонам. Применение этой политики помогает обеспечить правильную настройку реестра контейнеров для обеспечения устойчивости зоны, что снижает риск простоя во время сбоев в зонах.	Аудит, отказ в доступе, отключено	1.0.0 (предварительная версия)
[Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети	Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети.	Аудит, отключено	1.0.0 (предварительная версия)
Уязвимости образов контейнеров реестра Azure должны быть устранены (при поддержке Управления уязвимостями Microsoft Defender)	Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания.	AuditIfNotExists, отключено	1.0.1
Настройте реестры контейнеров для отключения анонимной проверки подлинности.	Отключите анонимный запрос для реестра, чтобы данные не были доступны пользователем без проверки подлинности. Отключение локальных методов аутентификации, таких как учетная запись администратора, токены доступа в области репозитория и анонимное извлечение, повышает безопасность. Это гарантирует, что реестры контейнеров требуют исключительно учетных записей Azure Active Directory для аутентификации. См. дополнительные сведения: https://aka.ms/acr/authentication.	Изменить, Отключено	1.0.0
Настройте реестры контейнеров для отключения аутентификации с использованием аудитории токенов ARM.	Отключите маркеры аудитории Azure Active Directory ARM для проверки подлинности в реестре. Для проверки подлинности будут использоваться только токены целевой аудитории реестра контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение аудиторных маркеров ARM не влияет на проверку подлинности пользователя-администратора или маркеров доступа с заданной областью. См. дополнительные сведения: https://aka.ms/acr/authentication.	Изменить, Отключено	1.0.0
Настройте реестры контейнеров для отключения учетной записи локального администратора.	Отключите учетную запись администратора для реестра, чтобы он не был доступен локальным администратором. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно удостоверений Azure Active Directory для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication.	Изменить, Отключено	1.0.1
Настройка реестров контейнеров для отключения доступа через общедоступную сеть	Отключите доступ к общедоступной сети для своего ресурса Реестра контейнеров, чтобы он был недоступным через Интернет. Это позволяет снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link.	Изменить, Отключено	1.0.0
Настройте реестры контейнеров для отключения маркера доступа с областью действия репозитория.	Отключите репозиторские токены доступа для вашего реестра, чтобы репозитории не были доступны по токенам. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно удостоверений Azure Active Directory для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication.	Изменить, Отключено	1.0.0
Настройка реестров контейнеров с помощью частных конечных точек	Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с ресурсами реестра контейнеров класса Premium, вы можете снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/privateendpoints и https://aka.ms/acr/private-link.	РазвернутьЕслиНеСуществует, Отключено	1.0.0
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом	Используйте ключи, управляемые клиентом, для управления шифрованием данных в состоянии покоя в ваших реестрах. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK.	Аудит, отказ в доступе, отключено	1.1.2
Реестры контейнеров должны иметь анонимную проверку подлинности.	Отключите анонимный запрос для реестра, чтобы данные не были доступны пользователем без проверки подлинности. Отключение локальных методов аутентификации, таких как пользователь с правами администратора, токены доступа, ограниченные областью репозитория, и анонимное извлечение, повышает безопасность, поскольку реестры контейнеров требуют только удостоверений Azure Active Directory для аутентификации. См. дополнительные сведения: https://aka.ms/acr/authentication.	Аудит, отказ в доступе, отключено	1.0.0
Реестры контейнеров должны отключать проверку подлинности маркера аудитории ARM.	Отключите маркеры аудитории Azure Active Directory ARM для проверки подлинности в реестре. Для аутентификации будут использоваться только токены доступа реестра контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение маркеров аудитории ARM не оказывает влияния на проверку подлинности пользователя администратора или маркеров доступа с заданной областью действия. См. дополнительные сведения: https://aka.ms/acr/authentication.	Аудит, отказ в доступе, отключено	1.0.0
Реестры контейнеров должны иметь отключенные экспорты	Отключение экспорта повышает безопасность, обеспечивая доступ к данным в реестре исключительно через план данных (docker pull). Данные не могут быть перемещены из реестра с помощью команды 'acr import' или 'acr transfer'. Чтобы отключить экспорт, необходимо отключить доступ к общедоступной сети. См. дополнительные сведения: https://aka.ms/acr/export-policy.	Аудит, отказ в доступе, отключено	1.0.0
Реестры контейнеров должны отключать учетную запись локального администратора.	Отключите учетную запись администратора для реестра, чтобы он не был доступен локальным администратором. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно удостоверений Azure Active Directory для проверки подлинности. См. дополнительные сведения: https://aka.ms/acr/authentication.	Аудит, отказ в доступе, отключено	1.0.1
Реестры контейнеров должны отключать маркер доступа с областью действия репозитория.	Отключите токены с областью действия репозитория для вашего реестра, чтобы репозитории не были доступны с помощью токенов. Отключение методов локальной аутентификации, таких как учетная запись администратора, маркеры доступа, привязанные к репозиторию, и анонимное извлечение, повышает безопасность, требуя, чтобы реестры контейнеров использовали исключительно учетные записи Azure Active Directory для аутентификации. См. дополнительные сведения: https://aka.ms/acr/authentication.	Аудит, отказ в доступе, отключено	1.0.0
Реестры контейнеров должны иметь номера SKU, поддерживающие частные ссылки	Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с реестрами контейнеров вместо всей службы риски утечки данных снижаются. См. дополнительные сведения: https://aka.ms/acr/private-link.	Аудит, отказ в доступе, отключено	1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ	По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet.	Аудит, отказ в доступе, отключено	2.0.0
Реестры контейнеров должны предотвратить создание правила кэша	Отключите создание правила кэша для реестра контейнеров Azure, чтобы предотвратить извлечение кэша. См. дополнительные сведения: https://aka.ms/acr/cache.	Аудит, отказ в доступе, отключено	1.0.0
Реестры контейнеров должны использовать приватное соединение	Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link.	Аудит, отключено	1.0.1
Включить ведение журнала по категориям для реестров контейнеров (microsoft.containerregistry/registries) в Event Hub	Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для реестров контейнеров (microsoft.containerregistry/registries).	Развернуть, если не существует, Проверить, если не существует, Отключено	1.2.0
Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в Log Analytics	Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для реестров контейнеров (microsoft.containerregistry/registries).	Развернуть, если не существует, Проверить, если не существует, Отключено	1.1.0
Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в хранилище	Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для реестров контейнеров (microsoft.containerregistry/registries).	Развернуть, если не существует, Проверить, если не существует, Отключено	1.1.0
Для реестров контейнеров должен быть отключен доступ через общедоступную сеть	Отключение доступа к общедоступной сети усиливает защиту, гарантируя, что реестры контейнеров не будут представлены в общедоступном Интернете. Создание частных конечных точек может снизить риски раскрытия ресурсов реестра контейнеров. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link.	Аудит, отказ в доступе, отключено	1.0.0

Создание назначений политик

Создайте назначения политик с помощью портала Azure, Azure CLI, шаблона Resource Manager или пакетов SDK для политики Azure.
Определите область назначения политики для группы ресурсов, подписки или группы управления Azure. Назначения политик реестра контейнеров применяются к существующим и новым реестрам контейнеров в рамках области действия.
Включите или отключите принудительное применение политик в любое время.

Замечание

После создания или обновления назначения политики требуется некоторое время для оценки ресурсов в определенной области. См. сведения о триггерах оценки политики.

Проверка соответствия политик

Получите доступ к информации о соответствии требованиям, созданной вашими назначениями политик, с помощью портала Azure, средств командной строки Azure или пакетов SDK для Azure Policy. Дополнительные сведения см. в статье "Получение данных о соответствии ресурсам Azure".

Если ресурс не соответствует требованиям, возможных причин этого множество. Чтобы определить причину или найти изменение, см. статью "Определение несоответствия".

Соответствие политик на портале:

Выберите все службы и найдите политику.
Выберите Соответствие.
Используйте фильтры для выбора состояний соответствия требованиям и поиска политик.
Выберите политику для просмотра статистических сведений о соответствии и событий. При необходимости выберите определенный реестр для соответствия ресурсам.

Соответствие политик в Azure CLI

Вы также можете использовать Azure CLI для получения данных о соответствии. Например, используйте команду az policy assignment list в интерфейсе командной строки, чтобы получить идентификаторы политик политик реестра контейнеров Azure, которые применяются:

az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table

Образец вывода:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access           /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK)  /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a

Затем запустите az policy state list , чтобы вернуть состояние соответствия в формате JSON для всех ресурсов в соответствии с определенным идентификатором политики:

az policy state list \
  --resource <policyID>

Или запустите az policy state list , чтобы вернуть состояние соответствия в формате JSON определенного ресурса реестра, например myregistry:

az policy state list \
 --resource myregistry \
 --namespace Microsoft.ContainerRegistry \
 --resource-type registries \
 --resource-group myresourcegroup

Дальнейшие шаги

Дополнительные сведения об определениях и эффектах политики Azure.
Создайте определение настраиваемой политики.
Дополнительные сведения о возможностях управления в Azure.