Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы хранилища Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Microsoft.Storage;
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: azure Backup должна быть включена для БОЛЬШИХ двоичных объектов в учетных записях хранения | Обеспечьте защиту учетных записей хранения, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, отключено | 1.0.0 (предварительная версия) |
| [предварительная версия]: Служба архивации Azure должна быть включена в общих папках Azure | Обеспечьте защиту общих папок Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, отключено | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка резервного копирования для общих папок Azure с заданным тегом в новом хранилище служб восстановления с помощью новой политики | Принудительное резервное копирование для всех файлов Azure путем развертывания хранилища служб восстановления в том же расположении и группе ресурсов, что и учетная запись хранения. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. Кроме того, вы можете включить файлы Azure в учетные записи хранения, содержащие указанный тег для управления областью назначения. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка резервного копирования для общих папок Azure с заданным тегом в существующем хранилище служб восстановления в том же расположении | Принудительное резервное копирование для всех файлов Azure путем резервного копирования в существующее центральное хранилище служб восстановления в том же регионе, что и учетная запись хранения. Хранилище может находиться в той же или другой подписке. Это полезно, когда центральная команда управляет резервными копиями между подписками. Вы также можете включить файлы Azure в учетные записи хранения с указанным тегом для управления областью назначения политики. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 2.0.0-preview |
| [Предварительная версия]: настройка резервного копирования для общих папок Azure без заданного тега в новом хранилище служб восстановления с помощью новой политики | Принудительное резервное копирование для всех файлов Azure путем развертывания хранилища служб восстановления в том же расположении и группе ресурсов, что и учетная запись хранения. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить файлы Azure в учетных записях хранения, содержащих указанный тег для управления областью назначения. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка резервного копирования для общих папок Azure без заданного тега в существующем хранилище служб восстановления в том же расположении | Принудительное резервное копирование для всех файлов Azure путем резервного копирования в существующее центральное хранилище служб восстановления в том же регионе, что и учетная запись хранения. Хранилище может находиться в той же или другой подписке. Это полезно, когда центральная команда управляет резервными копиями между подписками. Кроме того, вы можете исключить файлы Azure в учетных записях хранения с указанным тегом для управления областью назначения политики. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 2.0.0-preview |
| [Предварительная версия]. Настройка резервного копирования BLOB-объектов для учетных записях хранения с указанным тегом в существующее резервное хранилище в том же регионе | Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. | Развернуть, если не существует, Проверить, если не существует, Отключено | 2.0.0-preview |
| Предварительная версия. Настройка резервного копирования BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в резервное хранилище в том же регионе | Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. | Развернуть, если не существует, Проверить, если не существует, Отключено | 2.0.0-preview |
| [Предварительная версия]: учетные записи хранения должны быть избыточными по зонам | Учетные записи хранения можно настроить для избыточности зоны или нет. Если имя SKU учетной записи хранения не заканчивается "ZRS" или его типом "Хранилище", он не является избыточным по зонам. Эта политика гарантирует, что учетные записи хранения используют конфигурацию избыточности зоны. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Настройка частных конечных точек для Синхронизации файлов Azure | Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка параметров диагностики для служб BLOB-объектов в рабочей области Log Analytics | Развертывает параметры диагностики для служб BLOB-объектов, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы BLOB-объектов, где эти параметры диагностики отсутствуют. | Развернуть, если не существует, Проверить, если не существует, Отключено | 4.0.0 |
| Настройка параметров диагностики для файловых служб в рабочей области Log Analytics | Развертывает параметры диагностики для файловых служб, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой файловой службы, где эти параметры диагностики отсутствуют. | Развернуть, если не существует, Проверить, если не существует, Отключено | 4.0.0 |
| Настройка параметров диагностики для служб очередей в рабочей области Log Analytics | Развертывает параметры диагностики для служб очередей, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы очередей, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи хранения и требует создания задачи исправления для обновления учетной записи. | Развернуть, если не существует, Проверить, если не существует, Отключено | 4.0.1 |
| Настройка параметров диагностики для учетных записей хранения в рабочей области Log Analytics | Развертывает параметры диагностики для учетных записей хранения, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении учетных записей хранения, где эти параметры отсутствуют. | Развернуть, если не существует, Проверить, если не существует, Отключено | 4.0.0 |
| Настройка параметров диагностики для служб таблиц в рабочей области Log Analytics | Развертывает параметры диагностики для служб таблиц, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы таблиц, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи хранения и требует создания задачи исправления для обновления учетной записи. | Развернуть, если не существует, Проверить, если не существует, Отключено | 4.0.1 |
| Настройка безопасной передачи данных в учетную запись хранения | Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только из безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Изменить, Отключено | 1.0.0 |
| Настройка учетной записи хранения для использования подключения приватного канала | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своей учетной записью хранения, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка отключения доступа из общедоступной сети для учетных записей хранения | Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Изменить, Отключено | 1.0.1 |
| Настройте учетные записи хранения, чтобы ограничить сетевой доступ только через конфигурацию обхода сетевого списка ACL. | Чтобы повысить безопасность учетных записей хранения, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. | Изменить, Отключено | 1.0.0 |
| Настройка запрета общего доступа к учетной записи хранения | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | Изменить, Отключено | 1.0.0 |
| Настройка учетной записи хранения для включения управления версиями BLOB-объектов | Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Создание региональной учетной записи хранения для потоков виртуальных сетей в resourceGroupName RG | Создает региональную учетную запись хранения в назначенной области и в группе ресурсов nwtarg-subscriptionID<> по умолчанию для потоков виртуальных сетей. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для перемещения хранилища (microsoft.storagemover/storagemovers) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для перемещения хранилища (microsoft.storagemover/storagemovers). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для перемещения хранилища (microsoft.storagemover/storagemovers) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для перемещения хранилища (microsoft.storagemover/storagemovers). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для перемещения хранилища (microsoft.storagemover/storagemovers) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для перемещения хранилища (microsoft.storagemover/storagemovers). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Аудит, отключено | 1.0.0 |
| Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом | Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Аудит, Отключено, Отклонить | 2.0.0 |
| Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети | Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. | Изменить, Отключено | 1.0.0 |
| Изменение. Настройка учетной записи хранения для включения управления версиями BLOB-объектов | Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. Обратите внимание, что существующие учетные записи хранения не будут изменены, чтобы включить управление версиями хранилища BLOB-объектов. Только недавно созданные учетные записи хранения будут иметь включенную версию хранилища BLOB-объектов. | Изменить, Отключено | 1.0.0 |
| Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен | Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Хранилище очередей должно использовать для шифрования ключ, управляемый клиентом | Обеспечение безопасности хранилища очередей благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, отключено | 1.0.0 |
| В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В областях шифрования учетных записей хранения следует применять двойное шифрование неактивных данных | Включите шифрование инфраструктуры для шифрования неактивных данных в областях шифрования учетной записи хранения для повышения безопасности. Если включено шифрование инфраструктуры, данные шифруются дважды. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Ключи учетной записи хранения не должны быть просрочены | Убедитесь, что ключи учетной записи хранения пользователя не просрочены, если задана политика срока действия ключа. Это позволит повысить безопасность ключей учетной записи, предпринимая меры по истечении срока действия ключей. | Аудит, отказ в доступе, отключено | 3.0.0 |
| Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 3.1.1 |
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи хранения должны ограничиваться разрешенными SKU | Ограничение набора SKU учетных записей хранения, которые может развертывать ваша организация. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для учетных записей хранения должен быть отключен доступ из общедоступной сети | Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Аудит, отказ в доступе, отключено | 1.0.1 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для учетных записей хранения должны быть настроены политики подписанных URL-адресов (SAS) | Для учетных записей хранения должна быть включена политика срока действия подписанных URL-адресов (SAS). Пользователи используют SAS для делегирования доступа к ресурсам в учетной записи хранения Azure. При создании пользователем маркера SAS политика срока действия SAS рекомендует использовать верхний предел срока. | Аудит, отказ в доступе, отключено | 1.0.0 |
| У учетных записей хранения должна быть указанная минимальная версия TLS | Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью хранения. Чтобы свести к минимуму риск безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2). | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи хранения должны предотвращать репликацию объектов в разных клиентах | Необходимо вести аудит ограничения репликации объектов для учетной записи хранения. По умолчанию пользователи могут настраивать репликацию объектов с помощью учетной записи источника в одном клиенте Azure AD и учетной записи назначения в другом клиенте. При этом возникает проблема безопасности, поскольку данные клиента могут быть реплицированы в учетную запись хранения, которая принадлежит заказчику. Если задать параметру allowCrossTenantReplication значение false, репликацию объектов можно настроить только в том случае, если учетные записи источника и назначения находятся в одном клиенте Azure AD. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи хранения должны предотвращать доступ к общему ключу | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Учетные записи хранения должны предотвратить доступ к общему ключу (за исключением учетных записей хранения, созданных Databricks) | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети только через конфигурацию обхода сетевого списка ACL. | Чтобы повысить безопасность учетных записей хранения, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Учетные записи хранения должны ограничить доступ к сети с помощью правил виртуальной сети (за исключением учетных записей хранения, созданных Databricks) | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, отключено | 1.0.3 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
| Учетные записи хранения должны использовать приватный канал (за исключением учетных записей хранения, созданных Databricks) | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 1.0.0 |
| Маркеры SAS хранилища должны соответствовать 7 дням максимально допустимости | Эта политика гарантирует, что маркеры подписанного URL-адреса (SAS) для учетных записей хранения настроены с максимальным сроком действия 7 дней или меньше. Он запрещает или проверяет учетные записи хранения, которые позволяют больше времени существования маркера SAS или не имеют соответствующих действий по истечении срока действия. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Хранилище таблиц должно использовать для шифрования ключ, управляемый клиентом | Обеспечение безопасности хранилища таблиц благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, отказ в доступе, отключено | 1.0.0 |
Microsoft.StorageCache
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для кэшей HPC (microsoft.storagecache/caches) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для кэшей HPC (microsoft.storagecache/caches). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0 |
| Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом | Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Аудит, Отключено, Отклонить | 2.0.0 |
Microsoft.StorageSync
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Настройка частных конечных точек для Синхронизации файлов Azure | Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети | Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. | Изменить, Отключено | 1.0.0 |
| Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен | Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. | Аудит, отказ в доступе, отключено | 1.0.0 |
Microsoft.ClassicStorage
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, отказ в доступе, отключено | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.