Integrierte Azure Policy-Definitionen für Azure App Configuration
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure App Configuration. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure App Configuration
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Configuration muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
App Configuration sollte einen kundenseitig verwalteten Schlüssel verwenden. | Kundenseitig verwaltete Schlüssel bieten einen verbesserten Datenschutz, da Sie so Ihre Verschlüsselungsschlüssel verwalten können. Dies ist häufig zur Einhaltung von Compliancevorgaben erforderlich. | Audit, Deny, Disabled | 1.1.0 |
App Configuration muss eine SKU mit Unterstützung von Private Link verwenden | Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
App Configuration sollte Georeplikation nutzen | Verwenden Sie das Georeplikationsfeature, um Replikate an anderen Standorten Ihres aktuellen Konfigurationsspeichers zu erstellen, um die Resilienz und Verfügbarkeit zu verbessern. Darüber hinaus können Sie mithilfe von Replikaten über mehrere Regionen die Last besser verteilen, die Latenz verringern, sich vor Rechenzentrumsausfällen schützen und global verteilte Workloads aufteilen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/geo-replication. | AuditIfNotExists, Disabled | 1.0.0 |
App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
Lokale Authentifizierungsmethoden sollten für App Configuration-Speicher deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, da hierdurch sichergestellt wird, dass App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Deny, Disabled | 1.0.1 |
Konfigurieren von App Configuration-Speicher für die Deaktivierung lokaler Authentifizierungsmethoden | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. | Modify, Disabled | 1.0.1 |
Für App Configuration muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für die App Configuration-Instanz, sodass sie nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Modify, Disabled | 1.0.0 |
Private Endpunkte für App Configuration konfigurieren | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen von privaten Endpunkten zu Ihren App Configuration-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.