Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: 
Nosql Mongodb Кассандра Гремлин Таблица
Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Azure Cosmos DB. Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Внимание
Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: учетные записи базы данных Cosmos должны быть избыточными по зонам | Учетные записи базы данных Cosmos можно настроить как избыточные по зонам или нет. Если параметр enableMultipleWriteLocations имеет значение true, все расположения должны иметь свойство IsZoneRedundant, и оно должно иметь значение true. Если для свойства enableMultipleWriteLocations задано значение false, то основное расположение ("failoverPriority" имеет значение 0) должно иметь свойство isZoneRedundant, и оно должно иметь значение true. Применение этой политики гарантирует, что учетные записи базы данных Cosmos правильно настроены для избыточности зоны. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.1.0 |
| Учетные записи Azure Cosmos DB не должны разрешать трафик из всех центров обработки данных Azure | Запретить правило брандмауэра IP-адресов (0.0.0.0.0), которое позволяет выполнять весь трафик из любых центров обработки данных Azure. Дополнительные сведения см. на странице https://aka.ms/cosmosdb-firewall. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи Azure Cosmos DB не должны превышать максимальное количество дней, разрешенных после последнего восстановления ключа учетной записи. | Повторно создайте ключи за указанное время, чтобы обеспечить защиту данных. | Audit, Disabled | 1.0.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Разрешенные расположения Azure Cosmos DB | Эта политика позволяет ограничить расположения, которые ваша организация может указать при развертывании ресурсов Azure Cosmos DB. Используется для соблюдения географических требований. | [parameters('policyEffect')] | 1.1.0 |
| Доступ для записи метаданных на основе ключей Azure Cosmos DB должен быть отключен | Эта политика обеспечивает отключение доступа на запись метаданных на основе ключей для всех учетных записей Azure Cosmos DB. | append | 1.0.0 |
| Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ваша учетная запись Cosmos DB не будет представлен в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| Пропускная способность Azure Cosmos DB должна быть ограничена | Эта политика позволяет ограничить максимальную пропускную способность, которую может указать организация при создании баз данных и контейнеров Azure Cosmos DB с помощью поставщика ресурсов. Она блокирует создание автомасштабируемых ресурсов. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Настройка учетных записей базы данных Cosmos DB для отключения локальной проверки подлинности | Отключите локальные способы проверки подлинности, чтобы учетные записи базы данных Cosmos DB требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modify, Disabled | 1.1.0 |
| Настройка учетных записей CosmosDB для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для своего ресурса Cosmos DB, чтобы он был недоступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modify, Disabled | 1.0.1 |
| Настройка учетных записей Cosmos DB с частными конечными точками | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своей учетной записью Cosmos DB, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Для учетных записей базы данных Cosmos DB локальные способы проверки подлинности должны быть отключены | Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| Служба Cosmos DB должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Развертывание Расширенной защиты от угроз для учетных записей Cosmos DB | Эта политика включает Расширенную защиту от угроз для учетных записей Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Azure Cosmos DB (microsoft.documentdb/databaseaccounts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группам категорий для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для учетных записей Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/cassandraclusters в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/cassandraclusters в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/cassandraclusters в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/mongoclusters в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/mongoclusters в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.documentdb/mongoclusters в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Следующие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.