Integrierte Azure Policy-Definitionen für Azure Storage
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Storage. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Microsoft.Storage
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Azure Backup sollte für Blobs in Speicherkonten aktiviert sein. | Stellen Sie den Schutz Ihrer Speicherkonten sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren der Sicherung für Blobs in Speicherkonten, die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die ein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der Blobsicherung für alle Speicherkonten, die kein bestimmtes Tag für einen Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die kein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
[Vorschau]: Speicherkonten sollten zonenredundant sein | Speicherkonten können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn der SKU-Name eines Speicherkontos nicht mit „ZRS“ endet oder seine Art „Speicher“ lautet, ist er nicht zonenredundant. Diese Richtlinie stellt sicher, dass Ihre Speicherkonten eine zonenredundante Konfiguration verwenden. | Audit, Deny, Disabled | 1.0.0-preview |
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
Konfigurieren der Azure-Dateisynchronisierung mit privaten Endpunkten | Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Diagnoseeinstellungen für Blob Services im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Blob Services bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Blobdienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Konfigurieren von Diagnoseeinstellungen für Dateidienste im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Dateidienste bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Dateidienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Konfigurieren von Diagnoseeinstellungen für Warteschlangendienste im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Warteschlangendienste bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Warteschlangendienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
Konfigurieren von Diagnoseeinstellungen für Speicherkonten im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Speicherkonten bereit, um Ressourcenprotokolle in einen Log Analytics-Arbeitsbereich zu streamen, wenn Speicherkonten erstellt oder aktualisiert werden, für die diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
Konfigurieren von Diagnoseeinstellungen für Table Services im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Table Services bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Tabellendienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
Konfigurieren der sicheren Datenübertragung in einem Speicherkonto | Sichere Übertragung ist eine Option, die erzwingt, dass das Speicherkonto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Modify, Disabled | 1.0.0 |
Speicherkonto zum Verwenden einer Private Link-Verbindung konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Speicherkonten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Modify, Disabled | 1.0.1 |
Konfigurieren von Speicherkonten, um den Netzwerkzugriff nur über die Netzwerk-ACL-Umgehungskonfiguration einzuschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Modify, Disabled | 1.0.0 |
Öffentlichen Zugriff auf Ihr Speicherkonto so konfigurieren, dass er nicht zulässig ist | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | Modify, Disabled | 1.0.0 |
Konfigurieren Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. | Audit, Deny, Disabled | 1.0.0 |
Bereitstellen von Defender for Storage (Klassisch) in Speicherkonten | Diese Richtlinie aktiviert Defender for Storage (Klassisch) für Speicherkonten. | DeployIfNotExists, Disabled | 1.0.1 |
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für Speicherverschiebungen (microsoft.storagemover/storagemovers) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für Speicherverschiebungen (microsoft.storagemover/storagemovers) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für Speicherverschiebungen (microsoft.storagemover/storagemovers) in "Storage" | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Deny | 2.0.0 |
Ändern – Azure-Dateisynchronisierung zum Deaktivieren des Zugriffs auf öffentliche Netzwerke konfigurieren | Die über das Internet zugänglichen öffentlichen Endpunkte der Azure-Dateisynchronisierung wurden durch eine organisationsweite Richtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. | Modify, Disabled | 1.0.0 |
Ändern: Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. Beachten Sie, dass vorhandene Speicherkonten nicht geändert werden, um die Blob Storage-Versionsverwaltung zu aktivieren. Nur bei neu erstellten Speicherkonten ist die Blob Storage-Versionsverwaltung aktiviert. | Modify, Disabled | 1.0.0 |
Für die Azure-Dateisynchronisierung sollte der Zugriff auf öffentliche Netzwerke deaktiviert sein | Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. | Audit, Deny, Disabled | 1.0.0 |
Queue Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Warteschlangenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Deny, Disabled | 1.0.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonto-Verschlüsselungsbereiche müssen die doppelte Verschlüsselung für ruhende Daten verwenden | Hiermit wird zur zusätzlichen Sicherheit die Infrastrukturverschlüsselung für die Verschlüsselung ruhender Daten in Ihren Speicherkonto-Verschlüsselungsbereichen aktiviert. Durch die Infrastrukturverschlüsselung wird eine zweimalige Verschlüsselung Ihrer Daten sichergestellt. | Audit, Deny, Disabled | 1.0.0 |
Speicherkontoschlüssel sollten nicht abgelaufen sein | Stellen Sie sicher, dass die Schlüssel für Benutzerspeicherkonten nicht abgelaufen sind, wenn die Schlüsselablaufrichtlinie festgelegt ist. Sie verbessern die Sicherheit von Kontoschlüsseln, wenn bei abgelaufenen Schlüsseln Maßnahmen ergriffen werden. | Audit, Deny, Disabled | 3.0.0 |
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten müssen auf zugelassene SKUs eingeschränkt werden | Schränken Sie die Speicherkonto-SKUs ein, die Ihre Organisation bereitstellen kann. | Audit, Deny, Disabled | 1.1.0 |
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 1.0.1 |
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
Für Speicherkonten müssen SAS-(Shared Access Signature-)Richtlinien konfiguriert sein | Stellen Sie sicher, dass für Speicherkonten die Ablaufrichtlinie für SAS (Shared Access Signature) aktiviert ist. Benutzer verwenden eine SAS, um den Zugriff auf Ressourcen im Azure Storage-Konto zu delegieren. Außerdem empfiehlt die SAS-Ablaufrichtlinie eine Obergrenze für den Ablauf, wenn ein Benutzer ein SAS-Token erstellt. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten müssen die angegebene TLS-Mindestversion aufweisen | Konfigurieren Sie eine TLS-Mindestversion für die sichere Kommunikation zwischen der Clientanwendung und dem Speicherkonto. Um Sicherheitsrisiken zu minimieren, ist die empfohlene TLS-Mindestversion die neueste veröffentlichte Version, derzeit TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten sollten eine mandantenübergreifende Objektreplikation verhindern | Überwachen Sie die Einschränkung der Objektreplikation für Ihr Speicherkonto. Standardmäßig können Benutzer die Objektreplikation mit einem Quellspeicherkonto in einem Azure AD-Mandanten und einem Zielkonto in einem anderen Mandanten konfigurieren. Dies ist ein Sicherheitsproblem, da Kundendaten in ein Speicherkonto repliziert werden können, das im Besitz des Kunden ist. Durch Festlegen von allowCrossTenantReplication auf „false“ kann die Objektreplikation nur konfiguriert werden, wenn sich sowohl Quell- als auch Zielkonten im selben Azure AD-Mandanten befinden. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern | Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen. | Audit, Deny, Disabled | 2.0.0 |
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Speicherkonten sollten den Netzwerkzugriff nur über die Konfiguration der Netzwerk-ACL-Umgehung einschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Table Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Tabellenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.StorageCache
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Deny | 2.0.0 |
Microsoft.StorageSync
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
Konfigurieren der Azure-Dateisynchronisierung mit privaten Endpunkten | Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | DeployIfNotExists, Disabled | 1.0.0 |
Ändern – Azure-Dateisynchronisierung zum Deaktivieren des Zugriffs auf öffentliche Netzwerke konfigurieren | Die über das Internet zugänglichen öffentlichen Endpunkte der Azure-Dateisynchronisierung wurden durch eine organisationsweite Richtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. | Modify, Disabled | 1.0.0 |
Für die Azure-Dateisynchronisierung sollte der Zugriff auf öffentliche Netzwerke deaktiviert sein | Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.ClassicStorage
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.