Zásady v analýzách v cloudovém měřítku

Před zvážením nasazení je důležité, aby vaše organizace zavedla mantinely. Pomocí zásad Azure můžete implementovat zásady správného řízení pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.

Pozadí

Základním principem analýzy na úrovni cloudu je snadné vytvářet, číst, aktualizovat a odstraňovat prostředky podle potřeby. I když ale vývojářům poskytuje neomezený přístup k prostředkům, může to vést k nechtěným důsledkům nákladů. Řešením tohoto problému je zásady správného řízení přístupu k prostředkům. Toto řízení je průběžný proces správy, monitorování a auditování využití prostředků Azure ke splnění cílů a požadavků vaší organizace.

Tento koncept už používá cílová zóna architektury přechodu na cloud na podnikové úrovni. Analýzy na úrovni cloudu přidávají vlastní zásady Azure, které budou založené na těchto standardech. Standardy se pak použijí na cílové zóny správy dat a cílové zóny dat.

Diagram znázorňující fungování zásad správného řízení Azure

Azure Policy je důležité při zajišťování zabezpečení a dodržování předpisů v rámci analýz na úrovni cloudu. Pomáhá vynucovat standardy a vyhodnocovat dodržování předpisů ve velkém měřítku. Zásady je možné použít k vyhodnocení prostředků v Azure a jejich porovnání s požadovanými vlastnostmi. Do iniciativy je možné seskupit několik zásad nebo obchodních pravidel. Jednotlivé zásady nebo iniciativy je možné přiřadit k různým rozsahům v Azure. Tyto obory můžou být skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení platí pro všechny prostředky v rámci oboru a v případě potřeby je možné dílčí obory vyloučit s výjimkami.

Aspekty návrhu

Zásady Azure v analýzách na úrovni cloudu byly vyvinuty s následujícími aspekty návrhu:

• Pomocí zásad Azure můžete implementovat zásady správného řízení a vynucovat pravidla pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.
• Pokud chcete ušetřit čas, použijte dostupné předem připravené zásady.
• Přiřaďte zásady na nejvyšší možnou úroveň ve stromu skupiny pro správu, aby se zjednodušila správa zásad.
• Omezte přiřazení azure Policy provedená v oboru kořenové skupiny pro správu, abyste se vyhnuli správě prostřednictvím vyloučení v zděděných oborech.
• Výjimky zásad používejte pouze v případě potřeby a vyžadují schválení.

Zásady Azure pro analýzy v cloudovém měřítku

Implementace vlastních zásad umožňuje provádět další akce se službou Azure Policy. Analýza na úrovni cloudu obsahuje sadu předem vytvořených zásad, které vám pomůžou implementovat všechny požadované mantinely ve vašem prostředí.

Azure Policy by měla být základním nástrojem týmu datové platformy Azure, která zajistí dodržování předpisů prostředků v přistávací zóně pro správu dat, přistávacích zónách dat a dalších přistávacích zónách v rámci tenantu organizace. Tato funkce platformy by se měla použít k zavedení mantinelí a vynucování dodržování celkové schválené konfigurace služby v rámci příslušného oboru skupiny pro správu. Týmy platformy můžou azure Policy použít například k vynucení privátních koncových bodů pro všechny účty úložiště hostované v prostředí datové platformy nebo vynutit přenášené šifrování TLS 1.2 pro všechna připojení k účtům úložiště. Pokud je to provedeno správně, toto pravidlo zakazuje všem týmům datových aplikací hostovat služby v nevyhovujícím stavu v příslušném rozsahu tenanta.

Zodpovědné IT týmy by tuto funkci platformy měly využít k řešení problémů se zabezpečením a dodržováním předpisů a otevřít samoobslužný přístup v rámci cílových zón (data).

Analýzy v cloudu obsahují vlastní zásady související se správou prostředků a nákladů, ověřováním, šifrováním, izolací sítě, protokolováním, odolností a dalšími prostředky.

• Všechny služby
• Úložiště
• Key Vault
• Azure Data Factory
• Azure Synapse Analytics
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Spravovaná instance Azure SQL
• Azure SQL Database
• Azure Database for MariaDB
• Azure Database for MySQL
• Azure Database for PostgreSQL
• Azure AI Search
• Azure DNS
• Skupina zabezpečení sítě
• Batch
• Azure Cache for Redis
• Instance kontejneru
• Azure Firewall
• HDInsight
• Power BI

Poznámka:

Zásady by se měly zobrazovat jenom jako pokyny a je možné je použít v závislosti na obchodních požadavcích. Zásady by se měly vždy použít na nejvyšší možnou úroveň a ve většině případů se jedná o skupinu pro správu.

Všechny služby

Název zásady	Oblast zásad	Popis
Odepřít publicIp	Izolace sítě	Omezte nasazení veřejných IP adres.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Izolace sítě	Odepřít privátní koncové body prostředkům mimo tenanta a předplatného Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Izolace sítě	Nasadí konfigurace skupiny zón Privátní DNS podle parametru privátního koncového bodu služby. Používá se k vynucení konfigurace do jedné zóny Privátní DNS.
DiagnosticSettings-{Service}-LogAnalytics	Protokolování	Odeslání nastavení diagnostiky pro službu Azure Cosmos DB do pracovního prostoru služby Log Analytics

Úložiště

Název zásady	Oblast zásad	Popis
Připojení k úložišti – šifrování	Šifrování	Vynucujte šifrování pro účty úložiště.
Odepřít-Storage-AllowBlobPublicAccess	Izolace sítě	Vynucuje žádný veřejný přístup ke všem objektům blob nebo kontejnerům v účtu úložiště.
Deny-Storage-ContainerDeleteRetentionPolicy	Odolnost	Vynucujte zásady uchovávání informací o odstranění kontejneru pro účet úložiště větší než sedm dnů.
Odepření úložiště – CorsRules	Izolace sítě	Odepřít pravidla cors pro účet úložiště.
Odepření úložiště –InfrastructureEncryption	Šifrování	Vynucujte šifrování infrastruktury (double) pro účty úložiště.
Deny-Storage-MinimumTlsVersion	Šifrování	Vynucuje minimální protokol TLS verze 1.2 pro účet úložiště.
Odepřít-Storage-NetworkAclsBypass	Izolace sítě	Vynucuje vynechání sítě pro účet úložiště.
Odepřít-Storage-NetworkAclsIpRules	Izolace sítě	Vynucuje pravidla síťových IP adres pro účet úložiště.
Deny-Storage-NetworkAclsVirtualNetworkRules	Izolace sítě	Odmítne pravidla virtuální sítě pro účet úložiště.
Odepřít skladovou položku Storage	Správa zdrojů	Vynucuje skladové položky účtu úložiště.
Deny-Storage-SupportsHttpsTrafficOnly	Šifrování	Vynucuje provoz https pro účet úložiště.
Nasazení služby Storage–BlobServices	Správa zdrojů	Nasaďte výchozí nastavení služby Blob Services pro účet úložiště.
Odepřít-Storage-RoutingPreference	Izolace sítě
Odepřít druh úložiště	Správa zdrojů
Odepřít-Storage-NetworkAclsDefaultAction	Izolace sítě

Key Vault

Název zásady	Oblast zásad	Popis
Audit-KeyVault-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsBypass	Izolace sítě	Vynucuje vynechání pravidel na úrovni sítě pro trezor klíčů.
Deny-KeyVault-NetworkAclsDefaultAction	Izolace sítě	Vynucuje výchozí akci na úrovni seznamu ACL sítě pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsIpRules	Izolace sítě	Vynucuje pravidla síťových IP adres pro trezor klíčů.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Izolace sítě	Odmítne pravidla virtuální sítě pro trezor klíčů.
Deny-KeyVault-PurgeProtection	Odolnost	Vynucuje ochranu před vymazáním trezoru klíčů.
Deny-KeyVault-SoftDelete	Odolnost	Vynucuje obnovitelné odstranění s minimálním počtem dnů uchovávání pro trezor klíčů.
Deny-KeyVault-TenantId	Správa zdrojů	Vynucujte ID tenanta pro trezor klíčů.

Azure Data Factory

Název zásady	Oblast zásad	Popis
Append-DataFactory-IdentityType	Ověřování	Vynucuje použití identity přiřazené systémem pro datovou továrnu.
Deny-DataFactory-ApiVersion	Správa zdrojů	Odmítne starou verzi rozhraní API pro objekt pro vytváření dat V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Izolace sítě	Odmítá prostředí Integration Runtime, která nejsou připojená ke spravované virtuální síti.
Deny-DataFactory-LinkedServicesConnectionStringType	Ověřování	Odepření tajných kódů, které nejsou uložené ve službě Key Vault pro propojené služby.
Deny-DataFactory-ManagedPrivateEndpoints	Izolace sítě	Odmítne externí privátní koncové body pro propojené služby.
Deny-DataFactory-PublicNetworkAccess	Izolace sítě	Odmítne veřejný přístup k datové továrně.
Deploy-DataFactory-ManagedVirtualNetwork	Izolace sítě	Nasaďte spravovanou virtuální síť pro datovou továrnu.
Nasazení selfHostedIntegrationRuntime-Sharing	Odolnost	Sdílejte místní prostředí Integration Runtime hostované v datovém centru s datovými továrnami v datových uzlech.

Azure Synapse Analytics

Název zásady	Oblast zásad	Popis
Append-Synapse-LinkedAccessCheckOnTargetResource	Izolace sítě	Vynutit LinkedAccessCheckOnTargetResource v nastavení spravované virtuální sítě při vytvoření pracovního prostoru Synapse.
Append-Synapse-Purview	Izolace sítě	Vynucujte připojení mezi instancí centrální purview a pracovním prostorem Synapse.
Append-SynapseSpark-ComputeIsolation	Správa zdrojů	Když se vytvoří fond Synapse Spark bez izolace výpočetních prostředků, tím se přidá.
Append-SynapseSpark-DefaultSparkLogFolder	Protokolování	Když se vytvoří fond Synapse Spark bez protokolování, přidá se.
Append-SynapseSpark-SessionLevelPackages	Správa zdrojů	Při vytváření fondu Synapse Spark bez balíčků na úrovni relace jsou tyto balíčky následně přidány.
Audit-Synapse-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Izolace sítě
Odepřít bránu firewall Synapse	Izolace sítě	Konfigurujte firewall Synapse.
Odepřít Synapse-ManagedVirtualNetwork	Izolace sítě	Když se pracovní prostor Synapse vytvoří bez spravované virtuální sítě, pak se tato síť přidá.
Deny-Synapse-PreventDataExfiltration	Izolace sítě	Vynucená prevence exfiltrace dat pro virtuální síť spravovanou službou Synapse
Deny-SynapsePrivateLinkHub	Izolace sítě	Odmítne centrum Synapse Private Link.
Odepřít SynapseSpark-AutoPause	Správa zdrojů	Vynucuje automatické pozastavení pro fondy Synapse Spark.
Zamítnutí automatického škálování SynapseSpark	Správa zdrojů	Vynucuje automatické škálování pro fondy Synapse Spark.
Deny-SynapseSql-SKU	Správa zdrojů	Odmítne určité skladové položky fondu Synapse SQL.
Deploy-SynapseSql-AuditingSettings	Protokolování	Odesílat protokoly auditování pro fondy Synapse SQL do log Analytics.
Deploy-SynapseSql-MetadataSynch	Správa zdrojů	Nastavte synchronizaci metadat pro fondy Synapse SQL.
Deploy-SynapseSql-SecurityAlertPolicies	Protokolování	Nasaďte zásady upozornění zabezpečení fondu Synapse SQL.
Deploy-SynapseSql-TransparentDataEncryption	Šifrování	Nasazení transparentního šifrování dat Synapse SQL
Deploy-SynapseSql-VulnerabilityAssessment	Protokolování	Nasazení posouzení ohrožení zabezpečení fondu Synapse SQL

Azure Databricks

Název zásady	Oblast zásad	Popis
Append-Databricks-PublicIp	Izolace sítě	Vynucuje v pracovních prostorech Databricks žádný veřejný přístup.
Deny-Databricks-SKU	Správa zdrojů	Odepřít neprémiovou položku Databricks SKU.
Deny-Databricks-VirtualNetwork	Izolace sítě	Zakázat implementaci nevirtuální sítě pro Databricks.

Další zásady použité v pracovním prostoru Databricks prostřednictvím zásad clusteru:

Název zásady clusteru	Oblast zásad
Omezení verze Sparku	Správa zdrojů
Omezení velikosti clusteru a typů virtuálních počítačů	Správa zdrojů
Vynucení označování nákladů	Správa zdrojů
Vynucení automatického škálování	Správa zdrojů
Vynucení automatického pozastavení	Správa zdrojů
Omezení jednotek DBU za hodinu	Správa zdrojů
Odepřít veřejné SSH	Ověřování
Povolené předávání přihlašovacích údajů clusteru	Ověřování
Povolení izolace procesů	Izolace sítě
Vynucení monitorování Sparku	Protokolování
Vynucení protokolů clusteru	Protokolování
Povolit pouze SQL, Python	Řízení zdrojů
Odepřít další instalační skripty	Řízení zdrojů

Azure IoT Hub

Název zásady	Oblast zásad	Popis
Append-IotHub-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro iot Hub.
Audit-IotHub-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro iot Huby.
Deny-IotHub-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro iot Hub.
Odepřít skladovou položku IotHubu	Správa zdrojů	Vynucuje skladové položky iot Hubu.
Deploy-IotHub-IoTSecuritySolutions	Zabezpečení	Nasaďte Microsoft Defender pro IoT pro IoT Hubs.

Azure Event Hubs

Název zásady	Oblast zásad	Popis
Odepřít-EventHub-Ipfilterrules	Izolace sítě	Odepřít přidávání pravidel filtru IP adres pro službu Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits	Izolace sítě	Odepře přístup k veřejné síti pro servery SQL.
Deny-EventHub-NetworkRuleSet	Izolace sítě	Vynucuje výchozí pravidla virtuální sítě pro službu Azure Event Hubs.
Odepřít skladovou položku EventHub-EventHub	Správa zdrojů	Zamítá určité AKU pro Službu Azure Event Hubs.
Zamítnutí –EventHub–Virtualnetworkrules	Izolace sítě	Odepřít přidávání pravidel virtuální sítě pro službu Azure Event Hubs.

Azure Stream Analytics

Název zásady	Oblast zásad	Popis
Append-StreamAnalytics-IdentityType	Ověřování	Vynucuje použití identity přiřazené systémem pro analýzu datových proudů.
Deny-StreamAnalytics-ClusterId	Správa zdrojů	Vynucuje použití clusteru Stream Analytics.
Odepřít StreamAnalytics-StreamingUnits	Správa zdrojů	Vynucuje počet jednotek streamování Stream Analytics.

Průzkumník dat Azure

Název zásady	Oblast zásad	Popis
Deny-DataExplorer-DiskEncryption	Šifrování	Vynucuje použití šifrování disku pro Průzkumníka dat.
Deny-DataExplorer-DoubleEncryption	Šifrování	Vynucuje použití dvojitého šifrování pro Průzkumníka dat.
Deny-DataExplorer-Identity	Ověřování	Vynucuje použití identity přiřazené systémem nebo uživatelem pro Průzkumníka dat.
Deny-DataExplorer-SKU	Správa zdrojů	Vynucuje skladové položky Průzkumníka dat.
Deny-DataExplorer-TrustedExternalTenants	Izolace sítě	Odmítne externí tenanty pro Průzkumníka dat.
Deny-DataExplorer-VirtualNetworkConfiguration	Izolace sítě	Vynucuje příjem dat virtuální sítě pro průzkumníka dat.

Azure Cosmos DB

Název zásady	Oblast zásad	Popis
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Ověřování	Odepření přístupu k zápisu metadat založených na klíčích pro účty Azure Cosmos DB
Append-Cosmos-PublicNetworkAccess	Izolace sítě	Vynucuje žádný přístup k veřejné síti pro účty Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro službu Azure Cosmos DB.
Odepřít cosmos-Cors	Izolace sítě	Odmítne pravidla CORS pro účty služby Azure Cosmos DB.
Odepřít cosmos-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro účty služby Azure Cosmos DB.

Azure Container Registry

Název zásady	Oblast zásad	Popis
Audit-ContainerRegistry-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro kognitivní služby.
Deny-ContainerRegistry-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro registr kontejneru.
Deny-ContainerRegistry-SKU	Správa zdrojů	Vynucuje skladovou položku Premium pro registr kontejnerů.

Azure Cognitive Services

Název zásady	Oblast zásad	Popis
Append-CognitiveServices-IdentityType	Ověřování	Vynucuje použití identity přiřazené systémem pro kognitivní služby.
Audit-CognitiveServices-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro kognitivní služby.
Odepření šifrování služeb CognitiveServices	Šifrování	Vynucuje použití šifrování pro kognitivní služby.
Deny-CognitiveServices-PublicNetworkAccess	Izolace sítě	Vynucuje pro kognitivní služby žádný přístup k veřejné síti.
Odepřít služby CognitiveServices-SKU	Správa zdrojů	Odepřít bezplatnou skladovou položku kognitivních služeb.
Odepřít služby CognitiveServices-UserOwnedStorage	Izolace sítě	Vynucuje úložiště vlastněné uživatelem pro kognitivní služby.

Azure Machine Learning

Název zásady	Oblast zásad	Popis
Append-MachineLearning-PublicAccessWhenBehindVnet	Izolace sítě	Odepřít veřejný přístup za virtuální sítí pro pracovní prostory strojového učení.
Audit-MachineLearning-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro strojové učení.
Deny-MachineLearning-HbiWorkspace	Izolace sítě	Vynucujte pracovní prostory strojového učení s vysokým obchodním dopadem v celém prostředí.
Odepřít-MachineLearningAks	Správa zdrojů	Odepřít vytváření AKS (nepřipojuje se) ve strojovém učení.
Deny-MachineLearningCompute-SubnetId	Izolace sítě	Odepřít veřejnou IP adresu pro výpočetní clustery a instance strojového učení.
Odepřít-MachineLearningCompute-VmSize	Správa zdrojů	Omezte povolené velikosti virtuálních počítačů pro výpočetní clustery a instance strojového učení.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Izolace sítě	Odepřít veřejný přístup ke clusterům přes SSH.
Deny-MachineLearningComputeCluster-Scale	Správa zdrojů	Vynucujte nastavení škálování pro výpočetní clustery strojového učení.

Azure SQL Managed Instance

Název zásady	Oblast zásad	Popis
Append-SqlManagedInstance-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro servery sql Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint	Izolace sítě	Odmítne veřejný datový koncový bod pro spravované instance SQL.
Deny-SqlManagedInstance-SKU	Správa zdrojů
Deny-SqlManagedInstance-SubnetId	Izolace sítě	Vynucuje nasazení do podsítí služby SQL Managed Instance.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Ověřování	Vynucuje ověřování Microsoft Entra-only pro službu SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Protokolování	Nasaďte zásady výstrah zabezpečení služby SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Protokolování	Nasazení posouzení ohrožení zabezpečení služby SQL Managed Instance

Azure SQL Database

Název zásady	Oblast zásad	Popis
Append-Sql-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro servery SQL.
Audit-Sql-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro Azure SQL.
Odepřít sql-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro servery SQL.
Deny-Sql-StorageAccountType	Odolnost	Vynucuje geograficky redundantní zálohování databáze.
Deploy-Sql-AuditingSettings	Protokolování	Nasazení nastavení auditování SQL
Nasazení Sql-AzureAdOnlyAuthentications	Ověřování	Vynucuje ověřování Microsoft Entra-only pro SQL Server.
Deploy-Sql-SecurityAlertPolicies	Protokolování	Nasaďte zásady výstrah zabezpečení SQL.
Deploy-Sql-TransparentDataEncryption	Šifrování	Nasazení transparentního šifrování dat SQL
Deploy-Sql-VulnerabilityAssessment	Protokolování	Nasazení posouzení ohrožení zabezpečení SQL
Deploy-SqlDw-AuditingSettings	Protokolování	Nasaďte nastavení auditování SLUŽBY SQL DW.

Azure Database for MariaDB

Název zásady	Oblast zásad	Popis
Append-MariaDb-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro servery MariaDB.
Audit-MariaDb-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro MariaDB.
Deny-MariaDb-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro servery MariaDB.
Deny-MariaDb-StorageProfile	Odolnost	Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-MariaDb-SecurityAlertPolicies	Protokolování	Nasazení zásad upozornění zabezpečení SQL pro MariaDB

Azure Database for MySQL

Název zásady	Oblast zásad	Popis
Append-MySQL-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro servery MySQL.
Audit-MySql-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro MySQL.
Odepřít-MySQL-InfrastructureEncryption	Šifrování	Vynucuje šifrování infrastruktury pro servery MySQL.
Odepřít-MySQL-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro servery MySQL.
Deny-MySql-StorageProfile	Odolnost	Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-MySql-SecurityAlertPolicies	Protokolování	Nasaďte zásady upozornění zabezpečení SQL pro MySQL.

Azure Database for PostgreSQL

Název zásady	Oblast zásad	Popis
Append-PostgreSQL-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro servery PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Šifrování	Vynucuje šifrování infrastruktury pro servery PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro servery PostgreSQL.
Deny-PostgreSql-StorageProfile	Odolnost	Vynucuje geograficky redundantní zálohování databáze s minimální dobou uchovávání ve dnech.
Deploy-PostgreSql-SecurityAlertPolicies	Protokolování	Nasaďte zásady upozornění zabezpečení SQL pro PostgreSQL.

Azure AI Vyhledávač

Název zásady	Oblast zásad	Popis
Append-Search-IdentityType	Ověřování	Vynucuje použití identity přiřazené systémem pro Azure AI Search.
Audit-Search-PrivateEndpointId	Izolace sítě	Auditujte veřejné koncové body vytvořené v jiných předplatných pro Azure AI Search.
Odepřít-Search-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro Azure AI Search.
Odepřít-search-SKU	Správa zdrojů	Vynucuje skladové položky Azure AI Search.

Azure DNS

Název zásady	Oblast zásad	Popis
Deny-PrivateDnsZones	Správa zdrojů	Omezte nasazení privátních zón DNS, abyste se vyhnuli šíření.

Skupina zabezpečení sítě

Název zásady	Oblast zásad	Popis
Deploy-Nsg-FlowLogs	Protokolování	Nasaďte protokoly toku NSG a analýzu provozu.

Batch

Název zásady	Oblast zásad	Popis
Odepřít fond batch-InboundNatPools	Izolace sítě	Odmítne příchozí fondy překladu adres (NAT) pro fondy virtuálních počítačů s účtem Batch.
Odepření konfigurace služby Batch-NetworkConfiguration	Izolace sítě	Odmítne veřejné IP adresy pro fondy virtuálních počítačů s účtem Batch.
Odepření služby Batch-PublicNetworkAccess	Izolace sítě	Odmítne přístup k veřejné síti pro účty Batch.
Odepření dávkového škálování	Správa zdrojů	Odmítne určité konfigurace škálování pro fondy virtuálních počítačů s účtem Batch.
Odepřít batch-VmSize	Správa zdrojů	Odmítne určité velikosti virtuálních počítačů pro fondy virtuálních počítačů s účtem Batch.

Azure Cache for Redis

Název zásady	Oblast zásad	Popis
Odepřít mezipaměť –Enterprise	Správa zdrojů	Odmítne Redis Cache Enterprise.
Odepřít pravidla brány firewall mezipaměti	Izolace sítě	Odmítne pravidla brány firewall pro Redis Cache.
Deny-Cache-MinimumTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro Redis Cache.
Deny-Cache-NonSslPort	Izolace sítě	Vynucuje vypnutí portu jiného typu než SSL pro Redis Cache.
Odepřít-Cache-PublicNetworkAccess	Izolace sítě	Vynucuje pro Redis Cache žádný přístup k veřejné síti.
Odepřít skladovou položku Cache-SKU	Správa zdrojů	Vynucuje určité skladové položky pro Redis Cache.
Deny-Cache-VnetInjection	Izolace sítě	Vynucuje použití privátních koncových bodů a zakazuje injektáž virtuální sítě pro Redis Cache.

Instance kontejnerů

Název zásady	Oblast zásad	Popis
Deny-ContainerInstance-PublicIpAddress	Izolace sítě	Odmítne veřejné instance kontejnerů vytvořené ze služby Azure Machine Learning.

Azure Firewall

Název zásady	Oblast zásad	Popis
Odepřít bránu firewall	Správa zdrojů	Omezte nasazení služby Azure Firewall, abyste se vyhnuli šíření.

HDInsight

Název zásady	Oblast zásad	Popis
Deny-HdInsight-EncryptionAtHost	Šifrování	Vynucujte šifrování na hostiteli pro clustery HDInsight.
Odepřít-HdInsight-EncryptionInTransit	Šifrování	Vynucuje šifrování během přenosu pro clustery HDInsight.
Deny-HdInsight-MinimalTlsVersion	Šifrování	Vynucuje minimální verzi protokolu TLS pro clustery HDInsight.
Odepřít službu HdInsight-NetworkProperties	Izolace sítě	Vynucuje povolení privátního propojení pro clustery HDInsight.
Odepřít skladovou položku HdInsight		Vynucuje určité skladové položky pro clustery HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Izolace sítě	Vynucuje injektáž virtuální sítě pro clustery HDInsight.

Power BI

Název zásady	Oblast zásad	Popis
Deny-PrivateLinkServicesForPowerBI	Správa zdrojů	Omezte nasazení služeb private link pro Power BI, abyste se vyhnuli šíření.

Další kroky

• Požadavky na řízení dat v moderním podniku
• Komponenty potřebné pro zásady správného řízení dat