Sdílet prostřednictvím


Zásady v analýzách v cloudovém měřítku

Před zvážením nasazení je důležité, aby vaše organizace zavedla mantinely. Pomocí zásad Azure můžete implementovat zásady správného řízení pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.

Pozadí

Základním principem analýzy na úrovni cloudu je snadné vytvářet, číst, aktualizovat a odstraňovat prostředky podle potřeby. I když ale vývojářům poskytuje neomezený přístup k prostředkům, může to vést k nechtěným důsledkům nákladů. Řešením tohoto problému je zásady správného řízení přístupu k prostředkům. Toto řízení je průběžný proces správy, monitorování a auditování využití prostředků Azure ke splnění cílů a požadavků vaší organizace.

Tento koncept už používá cílová zóna architektury přechodu na cloud na podnikové úrovni. Analýzy na úrovni cloudu přidávají vlastní zásady Azure, které budou založené na těchto standardech. Standardy se pak použijí na cílové zóny správy dat a cílové zóny dat.

Diagram that shows how Azure governance works.Diagram znázorňující fungování zásad správného řízení Azure

Azure Policy je důležité při zajišťování zabezpečení a dodržování předpisů v rámci analýz na úrovni cloudu. Pomáhá vynucovat standardy a vyhodnocovat dodržování předpisů ve velkém měřítku. Zásady je možné použít k vyhodnocení prostředků v Azure a jejich porovnání s požadovanými vlastnostmi. Do iniciativy je možné seskupit několik zásad nebo obchodních pravidel. Jednotlivé zásady nebo iniciativy je možné přiřadit k různým rozsahům v Azure. Tyto obory můžou být skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení platí pro všechny prostředky v rámci oboru a v případě potřeby je možné dílčí obory vyloučit s výjimkami.

Aspekty návrhu

Zásady Azure v analýzách na úrovni cloudu byly vyvinuty s následujícími aspekty návrhu:

  • Pomocí zásad Azure můžete implementovat zásady správného řízení a vynucovat pravidla pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.
  • Pokud chcete ušetřit čas, použijte dostupné předem připravené zásady.
  • Přiřaďte zásady na nejvyšší možnou úroveň ve stromu skupiny pro správu, aby se zjednodušila správa zásad.
  • Omezte přiřazení azure Policy provedená v oboru kořenové skupiny pro správu, abyste se vyhnuli správě prostřednictvím vyloučení v zděděných oborech.
  • Výjimky zásad používejte pouze v případě potřeby a vyžadují schválení.

Zásady Azure pro analýzy v cloudovém měřítku

Implementace vlastních zásad umožňuje provádět další akce se službou Azure Policy. Analýza na úrovni cloudu obsahuje sadu předem vytvořených zásad, které vám pomůžou implementovat všechny požadované mantinely ve vašem prostředí.

Azure Policy by měla být základním nástrojem týmu datové platformy Azure, která zajistí dodržování předpisů prostředků v přistávací zóně pro správu dat, přistávacích zónách dat a dalších přistávacích zónách v rámci tenantu organizace. Tato funkce platformy by se měla použít k zavedení mantinelí a vynucování dodržování celkové schválené konfigurace služby v rámci příslušného oboru skupiny pro správu. Týmy platformy můžou azure Policy použít například k vynucení privátních koncových bodů pro všechny účty úložiště hostované v prostředí datové platformy nebo vynutit přenášené šifrování TLS 1.2 pro všechna připojení k účtům úložiště. Pokud je to provedeno správně, toto pravidlo zakazuje všem týmům datových aplikací hostovat služby v nevyhovujícím stavu v příslušném rozsahu tenanta.

Zodpovědné IT týmy by tuto funkci platformy měly využít k řešení problémů se zabezpečením a dodržováním předpisů a otevřít samoobslužný přístup v rámci cílových zón (data).

Analýzy v cloudu obsahují vlastní zásady související se správou prostředků a nákladů, ověřováním, šifrováním, izolací sítě, protokolováním, odolností a dalšími prostředky.

Poznámka:

Zásady by se měly zobrazovat jenom jako pokyny a je možné je použít v závislosti na obchodních požadavcích. Zásady by se měly vždy použít na nejvyšší možnou úroveň a ve většině případů se jedná o skupinu pro správu.

Všechny služby

Název zásady Oblast zásad Popis
Odepřít publicIp Izolace sítě Omezte nasazení veřejných IP adres.
Deny-PrivateEndpoint-PrivateLinkServiceConnections Izolace sítě Odepřít privátní koncové body prostředkům mimo tenanta a předplatného Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint Izolace sítě Nasadí konfigurace skupiny zón Privátní DNS podle parametru privátního koncového bodu služby. Používá se k vynucení konfigurace do jedné zóny Privátní DNS.
DiagnosticSettings-{Service}-LogAnalytics Protokolování Odeslání nastavení diagnostiky pro službu Azure Cosmos DB do pracovního prostoru služby Log Analytics

Úložiště

Název zásady Oblast zásad Popis
Připojení k úložišti – šifrování Šifrování Vynucujte šifrování pro účty úložiště.
Odepřít-Storage-AllowBlobPublicAccess Izolace sítě Vynucuje žádný veřejný přístup ke všem objektům blob nebo kontejnerům v účtu úložiště.
Deny-Storage-ContainerDeleteRetentionPolicy Odolnost Vynucujte zásady uchovávání informací o odstranění kontejneru pro účet úložiště větší než sedm dnů.
Odepření úložiště – CorsRules Izolace sítě Odepřít pravidla cors pro účet úložiště.
Odepření úložiště –InfrastructureEncryption Šifrování Vynucujte šifrování infrastruktury (double) pro účty úložiště.
Deny-Storage-MinimumTlsVersion Šifrování Vynucuje minimální protokol TLS verze 1.2 pro účet úložiště.
Odepřít-Storage-NetworkAclsBypass Izolace sítě Vynucuje vynechání sítě pro účet úložiště.
Odepřít-Storage-NetworkAclsIpRules Izolace sítě Vynucuje pravidla síťových IP adres pro účet úložiště.
Deny-Storage-NetworkAclsVirtualNetworkRules Izolace sítě Odmítne pravidla virtuální sítě pro účet úložiště.
Odepřít skladovou položku Storage Správa zdrojů Vynucuje skladové položky účtu úložiště.
Deny-Storage-SupportsHttpsTrafficOnly Šifrování Vynucuje provoz https pro účet úložiště.
Nasazení služby Storage–BlobServices Správa zdrojů Nasaďte výchozí nastavení služby Blob Services pro účet úložiště.
Odepřít-Storage-RoutingPreference Izolace sítě
Odepřít druh úložiště Správa zdrojů
Odepřít-Storage-NetworkAclsDefaultAction Izolace sítě

Key Vault

Název zásady Oblast zásad Popis
Audit-KeyVault-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsBypass Izolace sítě Vynucuje vynechání pravidel na úrovni sítě pro trezor klíčů.
Deny-KeyVault-NetworkAclsDefaultAction Izolace sítě Vynucuje výchozí akci na úrovni seznamu ACL sítě pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsIpRules Izolace sítě Vynucuje pravidla síťových IP adres pro trezor klíčů.
Deny-KeyVault-NetworkAclsVirtualNetworkRules Izolace sítě Odmítne pravidla virtuální sítě pro trezor klíčů.
Deny-KeyVault-PurgeProtection Odolnost Vynucuje ochranu před vymazáním trezoru klíčů.
Deny-KeyVault-SoftDelete Odolnost Vynucuje obnovitelné odstranění s minimálním počtem dnů uchovávání pro trezor klíčů.
Deny-KeyVault-TenantId Správa zdrojů Vynucujte ID tenanta pro trezor klíčů.

Azure Data Factory

Název zásady Oblast zásad Popis
Append-DataFactory-IdentityType Ověřování Vynucuje použití identity přiřazené systémem pro datovou továrnu.
Deny-DataFactory-ApiVersion Správa zdrojů Odmítne starou verzi rozhraní API pro objekt pro vytváření dat V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork Izolace sítě Odmítá prostředí Integration Runtime, která nejsou připojená ke spravované virtuální síti.
Deny-DataFactory-LinkedServicesConnectionStringType Ověřování Odepření tajných kódů, které nejsou uložené ve službě Key Vault pro propojené služby.
Deny-DataFactory-ManagedPrivateEndpoints Izolace sítě Odmítne externí privátní koncové body pro propojené služby.
Deny-DataFactory-PublicNetworkAccess Izolace sítě Odmítne veřejný přístup k datové továrně.
Deploy-DataFactory-ManagedVirtualNetwork Izolace sítě Nasaďte spravovanou virtuální síť pro datovou továrnu.
Nasazení selfHostedIntegrationRuntime-Sharing Odolnost Sdílejte místní prostředí Integration Runtime hostované v datovém centru s datovými továrnami v datových uzlech.

Azure Synapse Analytics

Název zásady Oblast zásad Popis
Append-Synapse-LinkedAccessCheckOnTargetResource Izolace sítě Vynutit LinkedAccessCheckOnTargetResource v nastavení spravované virtuální sítě při vytvoření pracovního prostoru Synapse.
Append-Synapse-Purview Izolace sítě Vynucujte připojení mezi instancí centrální purview a pracovním prostorem Synapse.
Append-SynapseSpark-ComputeIsolation Správa zdrojů Když se vytvoří fond Synapse Spark bez izolace výpočetních prostředků, tím se přidá.
Append-SynapseSpark-DefaultSparkLogFolder Protokolování Když se vytvoří fond Synapse Spark bez protokolování, přidá se.
Append-SynapseSpark-SessionLevelPackages Správa zdrojů Při vytváření fondu Synapse Spark bez balíčků na úrovni relace jsou tyto balíčky následně přidány.
Audit-Synapse-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking Izolace sítě
Odepřít bránu firewall Synapse Izolace sítě Konfigurujte firewall Synapse.
Odepřít Synapse-ManagedVirtualNetwork Izolace sítě Když se pracovní prostor Synapse vytvoří bez spravované virtuální sítě, pak se tato síť přidá.
Deny-Synapse-PreventDataExfiltration Izolace sítě Vynucená prevence exfiltrace dat pro virtuální síť spravovanou službou Synapse
Deny-SynapsePrivateLinkHub Izolace sítě Odmítne centrum Synapse Private Link.
Odepřít SynapseSpark-AutoPause Správa zdrojů Vynucuje automatické pozastavení pro fondy Synapse Spark.
Zamítnutí automatického škálování SynapseSpark Správa zdrojů Vynucuje automatické škálování pro fondy Synapse Spark.
Deny-SynapseSql-SKU Správa zdrojů Odmítne určité skladové položky fondu Synapse SQL.
Deploy-SynapseSql-AuditingSettings Protokolování Odesílat protokoly auditování pro fondy Synapse SQL do log Analytics.
Deploy-SynapseSql-MetadataSynch Správa zdrojů Nastavte synchronizaci metadat pro fondy Synapse SQL.
Deploy-SynapseSql-SecurityAlertPolicies Protokolování Nasaďte zásady upozornění zabezpečení fondu Synapse SQL.
Deploy-SynapseSql-TransparentDataEncryption Šifrování Nasazení transparentního šifrování dat Synapse SQL
Deploy-SynapseSql-VulnerabilityAssessment Protokolování Nasazení posouzení ohrožení zabezpečení fondu Synapse SQL

Azure Databricks

Název zásady Oblast zásad Popis
Append-Databricks-PublicIp Izolace sítě Vynucuje v pracovních prostorech Databricks žádný veřejný přístup.
Deny-Databricks-SKU Správa zdrojů Odepřít neprémiovou položku Databricks SKU.
Deny-Databricks-VirtualNetwork Izolace sítě Zakázat implementaci nevirtuální sítě pro Databricks.

Další zásady použité v pracovním prostoru Databricks prostřednictvím zásad clusteru:

Název zásady clusteru Oblast zásad
Omezení verze Sparku Správa zdrojů
Omezení velikosti clusteru a typů virtuálních počítačů Správa zdrojů
Vynucení označování nákladů Správa zdrojů
Vynucení automatického škálování Správa zdrojů
Vynucení automatického pozastavení Správa zdrojů
Omezení jednotek DBU za hodinu Správa zdrojů
Odepřít veřejné SSH Ověřování
Povolené předávání přihlašovacích údajů clusteru Ověřování
Povolení izolace procesů Izolace sítě
Vynucení monitorování Sparku Protokolování
Vynucení protokolů clusteru Protokolování
Povolit pouze SQL, Python Řízení zdrojů
Odepřít další instalační skripty Řízení zdrojů

Azure IoT Hub

Název zásady Oblast zásad Popis
Append-IotHub-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro iot Hub.
Audit-IotHub-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro iot Huby.
Deny-IotHub-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro iot Hub.
Odepřít skladovou položku IotHubu Správa zdrojů Vynucuje skladové položky iot Hubu.
Deploy-IotHub-IoTSecuritySolutions Zabezpečení Nasaďte Microsoft Defender pro IoT pro IoT Hubs.

Azure Event Hubs

Název zásady Oblast zásad Popis
Odepřít-EventHub-Ipfilterrules Izolace sítě Odepřít přidávání pravidel filtru IP adres pro službu Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits Izolace sítě Odepře přístup k veřejné síti pro servery SQL.
Deny-EventHub-NetworkRuleSet Izolace sítě Vynucuje výchozí pravidla virtuální sítě pro službu Azure Event Hubs.
Odepřít skladovou položku EventHub-EventHub Správa zdrojů Zamítá určité AKU pro Službu Azure Event Hubs.
Zamítnutí –EventHub–Virtualnetworkrules Izolace sítě Odepřít přidávání pravidel virtuální sítě pro službu Azure Event Hubs.

Azure Stream Analytics

Název zásady Oblast zásad Popis
Append-StreamAnalytics-IdentityType Ověřování Vynucuje použití identity přiřazené systémem pro analýzu datových proudů.
Deny-StreamAnalytics-ClusterId Správa zdrojů Vynucuje použití clusteru Stream Analytics.
Odepřít StreamAnalytics-StreamingUnits Správa zdrojů Vynucuje počet jednotek streamování Stream Analytics.

Průzkumník dat Azure

Název zásady Oblast zásad Popis
Deny-DataExplorer-DiskEncryption Šifrování Vynucuje použití šifrování disku pro Průzkumníka dat.
Deny-DataExplorer-DoubleEncryption Šifrování Vynucuje použití dvojitého šifrování pro Průzkumníka dat.
Deny-DataExplorer-Identity Ověřování Vynucuje použití identity přiřazené systémem nebo uživatelem pro Průzkumníka dat.
Deny-DataExplorer-SKU Správa zdrojů Vynucuje skladové položky Průzkumníka dat.
Deny-DataExplorer-TrustedExternalTenants Izolace sítě Odmítne externí tenanty pro Průzkumníka dat.
Deny-DataExplorer-VirtualNetworkConfiguration Izolace sítě Vynucuje příjem dat virtuální sítě pro průzkumníka dat.

Azure Cosmos DB

Název zásady Oblast zásad Popis
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess Ověřování Odepření přístupu k zápisu metadat založených na klíčích pro účty Azure Cosmos DB
Append-Cosmos-PublicNetworkAccess Izolace sítě Vynucuje žádný přístup k veřejné síti pro účty Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro službu Azure Cosmos DB.
Odepřít cosmos-Cors Izolace sítě Odmítne pravidla CORS pro účty služby Azure Cosmos DB.
Odepřít cosmos-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro účty služby Azure Cosmos DB.

Azure Container Registry

Název zásady Oblast zásad Popis
Audit-ContainerRegistry-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro kognitivní služby.
Deny-ContainerRegistry-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro registr kontejneru.
Deny-ContainerRegistry-SKU Správa zdrojů Vynucuje skladovou položku Premium pro registr kontejnerů.

Azure Cognitive Services

Název zásady Oblast zásad Popis
Append-CognitiveServices-IdentityType Ověřování Vynucuje použití identity přiřazené systémem pro kognitivní služby.
Audit-CognitiveServices-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro kognitivní služby.
Odepření šifrování služeb CognitiveServices Šifrování Vynucuje použití šifrování pro kognitivní služby.
Deny-CognitiveServices-PublicNetworkAccess Izolace sítě Vynucuje pro kognitivní služby žádný přístup k veřejné síti.
Odepřít služby CognitiveServices-SKU Správa zdrojů Odepřít bezplatnou skladovou položku kognitivních služeb.
Odepřít služby CognitiveServices-UserOwnedStorage Izolace sítě Vynucuje úložiště vlastněné uživatelem pro kognitivní služby.

Azure Machine Learning

Název zásady Oblast zásad Popis
Append-MachineLearning-PublicAccessWhenBehindVnet Izolace sítě Odepřít veřejný přístup za virtuální sítí pro pracovní prostory strojového učení.
Audit-MachineLearning-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro strojové učení.
Deny-MachineLearning-HbiWorkspace Izolace sítě Vynucujte pracovní prostory strojového učení s vysokým obchodním dopadem v celém prostředí.
Odepřít-MachineLearningAks Správa zdrojů Odepřít vytváření AKS (nepřipojuje se) ve strojovém učení.
Deny-MachineLearningCompute-SubnetId Izolace sítě Odepřít veřejnou IP adresu pro výpočetní clustery a instance strojového učení.
Odepřít-MachineLearningCompute-VmSize Správa zdrojů Omezte povolené velikosti virtuálních počítačů pro výpočetní clustery a instance strojového učení.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess Izolace sítě Odepřít veřejný přístup ke clusterům přes SSH.
Deny-MachineLearningComputeCluster-Scale Správa zdrojů Vynucujte nastavení škálování pro výpočetní clustery strojového učení.

Azure SQL Managed Instance

Název zásady Oblast zásad Popis
Append-SqlManagedInstance-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro servery sql Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint Izolace sítě Odmítne veřejný datový koncový bod pro spravované instance SQL.
Deny-SqlManagedInstance-SKU Správa zdrojů
Deny-SqlManagedInstance-SubnetId Izolace sítě Vynucuje nasazení do podsítí služby SQL Managed Instance.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications Ověřování Vynucuje ověřování Microsoft Entra-only pro službu SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies Protokolování Nasaďte zásady výstrah zabezpečení služby SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment Protokolování Nasazení posouzení ohrožení zabezpečení služby SQL Managed Instance

Azure SQL Database

Název zásady Oblast zásad Popis
Append-Sql-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro servery SQL.
Audit-Sql-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro Azure SQL.
Odepřít sql-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro servery SQL.
Deny-Sql-StorageAccountType Odolnost Vynucuje geograficky redundantní zálohování databáze.
Deploy-Sql-AuditingSettings Protokolování Nasazení nastavení auditování SQL
Nasazení Sql-AzureAdOnlyAuthentications Ověřování Vynucuje ověřování Microsoft Entra-only pro SQL Server.
Deploy-Sql-SecurityAlertPolicies Protokolování Nasaďte zásady výstrah zabezpečení SQL.
Deploy-Sql-TransparentDataEncryption Šifrování Nasazení transparentního šifrování dat SQL
Deploy-Sql-VulnerabilityAssessment Protokolování Nasazení posouzení ohrožení zabezpečení SQL
Deploy-SqlDw-AuditingSettings Protokolování Nasaďte nastavení auditování SLUŽBY SQL DW.

Azure Database for MariaDB

Název zásady Oblast zásad Popis
Append-MariaDb-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro servery MariaDB.
Audit-MariaDb-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro MariaDB.
Deny-MariaDb-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro servery MariaDB.
Deny-MariaDb-StorageProfile Odolnost Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-MariaDb-SecurityAlertPolicies Protokolování Nasazení zásad upozornění zabezpečení SQL pro MariaDB

Azure Database for MySQL

Název zásady Oblast zásad Popis
Append-MySQL-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro servery MySQL.
Audit-MySql-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro MySQL.
Odepřít-MySQL-InfrastructureEncryption Šifrování Vynucuje šifrování infrastruktury pro servery MySQL.
Odepřít-MySQL-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro servery MySQL.
Deny-MySql-StorageProfile Odolnost Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-MySql-SecurityAlertPolicies Protokolování Nasaďte zásady upozornění zabezpečení SQL pro MySQL.

Azure Database for PostgreSQL

Název zásady Oblast zásad Popis
Append-PostgreSQL-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro servery PostgreSQL.
Audit-PostgreSql-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption Šifrování Vynucuje šifrování infrastruktury pro servery PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro servery PostgreSQL.
Deny-PostgreSql-StorageProfile Odolnost Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-PostgreSql-SecurityAlertPolicies Protokolování Nasaďte zásady upozornění zabezpečení SQL pro PostgreSQL.
Název zásady Oblast zásad Popis
Append-Search-IdentityType Ověřování Vynucuje použití identity přiřazené systémem pro Azure AI Search.
Audit-Search-PrivateEndpointId Izolace sítě Auditujte veřejné koncové body vytvořené v jiných předplatných pro Azure AI Search.
Odepřít-Search-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro Azure AI Search.
Odepřít-search-SKU Správa zdrojů Vynucuje skladové položky Azure AI Search.

Azure DNS

Název zásady Oblast zásad Popis
Deny-PrivateDnsZones Správa zdrojů Omezte nasazení privátních zón DNS, abyste se vyhnuli šíření.

Skupina zabezpečení sítě

Název zásady Oblast zásad Popis
Deploy-Nsg-FlowLogs Protokolování Nasaďte protokoly toku NSG a analýzu provozu.

Batch

Název zásady Oblast zásad Popis
Odepřít fond batch-InboundNatPools Izolace sítě Odmítne příchozí fondy překladu adres (NAT) pro fondy virtuálních počítačů s účtem Batch.
Odepření konfigurace služby Batch-NetworkConfiguration Izolace sítě Odmítne veřejné IP adresy pro fondy virtuálních počítačů s účtem Batch.
Odepření služby Batch-PublicNetworkAccess Izolace sítě Odmítne přístup k veřejné síti pro účty Batch.
Odepření dávkového škálování Správa zdrojů Odmítne určité konfigurace škálování pro fondy virtuálních počítačů s účtem Batch.
Odepřít batch-VmSize Správa zdrojů Odmítne určité velikosti virtuálních počítačů pro fondy virtuálních počítačů s účtem Batch.

Azure Cache for Redis

Název zásady Oblast zásad Popis
Odepřít mezipaměť –Enterprise Správa zdrojů Odmítne Redis Cache Enterprise.
Odepřít pravidla brány firewall mezipaměti Izolace sítě Odmítne pravidla brány firewall pro Redis Cache.
Deny-Cache-MinimumTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro Redis Cache.
Deny-Cache-NonSslPort Izolace sítě Vynucuje vypnutí portu jiného typu než SSL pro Redis Cache.
Odepřít-Cache-PublicNetworkAccess Izolace sítě Vynucuje pro Redis Cache žádný přístup k veřejné síti.
Odepřít skladovou položku Cache-SKU Správa zdrojů Vynucuje určité skladové položky pro Redis Cache.
Deny-Cache-VnetInjection Izolace sítě Vynucuje použití privátních koncových bodů a zakazuje injektáž virtuální sítě pro Redis Cache.

Instance kontejnerů

Název zásady Oblast zásad Popis
Deny-ContainerInstance-PublicIpAddress Izolace sítě Odmítne veřejné instance kontejnerů vytvořené ze služby Azure Machine Learning.

Azure Firewall

Název zásady Oblast zásad Popis
Odepřít bránu firewall Správa zdrojů Omezte nasazení služby Azure Firewall, abyste se vyhnuli šíření.

HDInsight

Název zásady Oblast zásad Popis
Deny-HdInsight-EncryptionAtHost Šifrování Vynucujte šifrování na hostiteli pro clustery HDInsight.
Odepřít-HdInsight-EncryptionInTransit Šifrování Vynucuje šifrování během přenosu pro clustery HDInsight.
Deny-HdInsight-MinimalTlsVersion Šifrování Vynucuje minimální verzi protokolu TLS pro clustery HDInsight.
Odepřít službu HdInsight-NetworkProperties Izolace sítě Vynucuje povolení privátního propojení pro clustery HDInsight.
Odepřít skladovou položku HdInsight Vynucuje určité skladové položky pro clustery HDInsight.
Deny-HdInsight-VirtualNetworkProfile Izolace sítě Vynucuje injektáž virtuální sítě pro clustery HDInsight.

Power BI

Název zásady Oblast zásad Popis
Deny-PrivateLinkServicesForPowerBI Správa zdrojů Omezte nasazení služeb private link pro Power BI, abyste se vyhnuli šíření.

Další kroky