Directivas en el análisis a escala de la nube

Antes de considerar una implementación, es importante que su organización ponga barreras de protección. Al usar directivas de Azure, puede implementar normas de gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, el costo y la administración.

Fondo

Un principio básico de análisis a escala de nube es facilitar la creación, lectura, actualización y eliminación de recursos según sea necesario. Sin embargo, aunque dar a los desarrolladores un acceso ilimitado a los recursos puede hacerlos ágiles, también puede producir consecuencias no deseadas en los costos. La solución a este problema es la gobernanza del acceso a los recursos. "Gobernanza" es el proceso continuo de administrar, supervisar y auditar el uso de los recursos de Azure para cumplir los objetivos y requisitos de su organización.

El artículo Empiece a utilizar las zonas de aterrizaje de escala empresarial de Cloud Adoption Framework ya usa este concepto. El análisis a escala de nube agrega directivas personalizadas de Azure para basarse en estos estándares. A continuación, los estándares se aplican a nuestras zonas de aterrizaje de administración de datos y a las zonas de aterrizaje de datos.

Azure Policy es importante a la hora de garantizar la seguridad y el cumplimiento del análisis a escala de nube. Ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Las directivas se pueden usar para evaluar los recursos de Azure y compararlos con las propiedades que se quieren. Varias directivas, o reglas de negocio, se pueden agrupar en una iniciativa. Las directivas o iniciativas individuales se pueden asignar a distintos ámbitos en Azure. Estos ámbitos pueden ser grupos de administración, suscripciones, grupos de recursos o recursos individuales. La asignación se aplica a todos los recursos dentro del ámbito y los ámbitos se pueden excluir con excepciones si es necesario.

Consideraciones de diseño

Las directivas de Azure en el análisis a escala de nube se desarrollaron con las siguientes consideraciones de diseño en mente:

• Use directivas de Azure para implementar la gobernanza y aplicar reglas para la coherencia de los recursos, el cumplimiento normativo, la seguridad, el costo y la administración.
• Use las directivas precompiladas que hay disponibles para ahorrar tiempo.
• Asigne directivas al nivel más alto posible en el árbol del grupo de administración para simplificar la administración de directivas.
• Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz para evitar la administración mediante exclusiones en ámbitos heredados.
• Use solo excepciones de directiva si es necesario y para las que se exija una aprobación.

Directivas de Azure para análisis a escala de la nube

La implementación de directivas personalizadas le permite hacer más con Azure Policy. El análisis a escala de nube incluye un conjunto de directivas creadas previamente para ayudarle a implementar los límites de protección necesarios en su entorno.

Azure Policy debe ser el instrumento principal del equipo de plataforma de datos de Azure para garantizar el cumplimiento de los recursos dentro de la zona de aterrizaje de administración de datos, de las zonas de aterrizaje de datos y de otras zonas de aterrizaje dentro del inquilino de la organización. Esta característica de la plataforma debe usarse para introducir límites de protección y aplicar el cumplimiento de la configuración general del servicio aprobado dentro del ámbito del grupo de administración correspondiente. Los equipos de plataforma pueden usar Azure Policy para, por ejemplo, aplicar puntos de conexión privados para cualquier cuenta de almacenamiento que se hospede en el entorno de la plataforma de datos o aplicar el cifrado TLS 1.2 en tránsito para las conexiones realizadas a las cuentas de almacenamiento. Cuando haya terminado correctamente, esto impedirá que los equipos de aplicaciones de datos hospeden servicios en un estado no compatible dentro del ámbito de inquilino respectivo.

Los equipos de TI responsables deben usar esta característica de la plataforma para abordar sus problemas de seguridad y cumplimiento, y abrirse a un enfoque de autoservicio en las zonas de aterrizaje (de datos).

El análisis a escala de nube contiene directivas personalizadas relacionadas con la administración de recursos y costos, la autenticación, el cifrado, el aislamiento de red, el registro, la resistencia y mucho más.

Nota

Las directivas proporcionadas no se aplican de forma predeterminada durante la implementación. Solo se deben ver como instrucciones y se pueden aplicar en función de los requisitos empresariales. Las directivas siempre se deben aplicar al nivel más alto posible. En la mayoría de los casos, se trata de un grupo de administración. Todas las directivas están disponibles en nuestro repositorio de datos de GitHub.

• Todos los servicios
• Storage
• Key Vault
• Azure Data Factory
• Azure Synapse Analytics
• Azure Purview
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Instancia administrada de Azure SQL
• Azure SQL Database
• Azure Database for MariaDB
• Azure Database for MySQL
• Azure Database para PostgreSQL
• Azure AI Search
• DNS de Azure
• Grupo de seguridad de red
• Batch
• Azure Cache for Redis
• Container Instances
• Azure Firewall
• HDInsight
• Power BI

Nota

Las directivas proporcionadas no se aplican de manera predeterminada durante la implementación. Solo se deben ver como una guía y se pueden aplicar en función de los requisitos empresariales. Las directivas siempre se deben aplicar al nivel más alto posible y, en la mayoría de los casos, será un grupo de administración. Todas las directivas están disponibles en nuestro repositorio de GitHub.

Todos los servicios

Nombre de la directiva	Área de la directiva	Descripción
Deny-PublicIp	Aislamiento de red	Restringir la implementación de direcciones IP públicas.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Aislamiento de red	Denegar puntos de conexión privados a recursos fuera del inquilino y la suscripción de Microsoft Entra.
Deploy-DNSZoneGroup-{Servicio}-PrivateEndpoint	Aislamiento de red	Implementa las configuraciones de un grupo de zonas de DNS privado mediante un parámetro para el punto de conexión privado del servicio. Se usa para aplicar la configuración a una sola zona DNS privada.
DiagnosticSettings-{Servicio}-LogAnalytics	Registro	Envíe la configuración de diagnóstico de Cosmos DB al área de trabajo de Log Analytics.

Storage

Nombre de la directiva	Área de la directiva	Descripción
Append-Storage-Encryption	Cifrado	Exigir el cifrado para las cuentas de almacenamiento.
Deny-Storage-AllowBlobPublicAccess	Aislamiento de red	No exige ningún acceso público a todos los blobs o contenedores de la cuenta de almacenamiento.
Deny-Storage-ContainerDeleteRetentionPolicy	Resistencia	Aplicar directivas de retención de eliminación de contenedores de más de siete días para la cuenta de almacenamiento.
Deny-Storage-CorsRules	Aislamiento de red	Denegar reglas de CORS para la cuenta de almacenamiento.
Deny-Storage-InfrastructureEncryption	Cifrado	Exigir el cifrado de infraestructura (doble) para las cuentas de almacenamiento.
Deny-Storage-MinimumTlsVersion	Cifrado	Aplica la versión mínima de TLS 1.2 para la cuenta de almacenamiento.
Deny-Storage-NetworkAclsBypass	Aislamiento de red	Aplica la omisión de red en ninguna para la cuenta de almacenamiento.
Deny-Storage-NetworkAclsIpRules	Aislamiento de red	Aplica reglas IP de red para la cuenta de almacenamiento.
Deny-Storage-NetworkAclsVirtualNetworkRules	Aislamiento de red	Deniega las reglas de red virtual para la cuenta de almacenamiento.
Deny-Storage-Sku	Administración de recursos	Aplica las SKU de la cuenta de almacenamiento.
Deny-Storage-SupportsHttpsTrafficOnly	Cifrado	Aplica el tráfico HTTPS para la cuenta de almacenamiento.
Deploy-Storage-BlobServices	Administración de recursos	Implementar la configuración predeterminada de Blob Service para la cuenta de almacenamiento.
Deny-Storage-RoutingPreference	Aislamiento de red
Deny-Storage-Kind	Administración de recursos
Deny-Storage-NetworkAclsDefaultAction	Aislamiento de red

Key Vault

Nombre de la directiva	Área de la directiva	Descripción
Audit-KeyVault-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para el almacén de claves.
Deny-KeyVault-NetworkAclsBypass	Aislamiento de red	Exige omitir las reglas de nivel de red para el almacén de claves.
Deny-KeyVault-NetworkAclsDefaultAction	Aislamiento de red	Aplica la acción predeterminada de nivel de ACL de red para el almacén de claves.
Deny-KeyVault-NetworkAclsIpRules	Aislamiento de red	Aplica reglas IP de red para el almacén de claves.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Aislamiento de red	Deniega las reglas de red virtual para el almacén de claves.
Deny-KeyVault-PurgeProtection	Resistencia	Aplica la protección de purga para el almacén de claves.
Deny-KeyVault-SoftDelete	Resistencia	Aplica la eliminación temporal con un número mínimo de días de retención para el almacén de claves.
Deny-KeyVault-TenantId	Administración de recursos	Aplicar el identificador de inquilino para el almacén de claves.

Azure Data Factory

Nombre de la directiva	Área de la directiva	Descripción
Append-DataFactory-IdentityType	Authentication	Exige el uso de una identidad asignada por el sistema para Data Factory.
Deny-DataFactory-ApiVersion	Administración de recursos	Deniega la versión anterior de la API para Data Factory V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Aislamiento de red	Deniega los entornos de ejecución de integración que no están conectados a la red virtual administrada.
Deny-DataFactory-LinkedServicesConnectionStringType	Authentication	Deniega los secretos no almacenados en Key Vault para los servicios vinculados.
Deny-DataFactory-ManagedPrivateEndpoints	Aislamiento de red	Deniega los puntos de conexión privados externos para los servicios vinculados.
Deny-DataFactory-PublicNetworkAccess	Aislamiento de red	Deniega el acceso público a Data Factory.
Deploy-DataFactory-ManagedVirtualNetwork	Aislamiento de red	Implementar una red virtual administrada para Data Factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Resistencia	Compartir el entorno de ejecución de integración autohospedado que se hospeda en el centro de datos con las factorías de datos de los nodos de datos.

Azure Synapse Analytics

Nombre de la directiva	Área de la directiva	Descripción
Append-Synapse-LinkedAccessCheckOnTargetResource	Aislamiento de red	Aplicar LinkedAccessCheckOnTargetResource en la configuración de red virtual administrada cuando se crea el área de trabajo de Synapse.
Append-Synapse-Purview	Aislamiento de red	Aplicar la conexión entre la instancia de Purview central y el área de trabajo de Synapse.
Append-SynapseSpark-ComputeIsolation	Administración de recursos	Cuando se crea un grupo de Spark de Synapse sin aislamiento de proceso, esto lo agregará.
Append-SynapseSpark-DefaultSparkLogFolder	Registro	Cuando se crea un grupo de Spark de Synapse sin registro, esto lo agregará.
Append-SynapseSpark-SessionLevelPackages	Administración de recursos	Cuando se crea un grupo de Spark de Synapse sin paquetes de nivel de sesión, esto lo agregará.
Audit-Synapse-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Aislamiento de red
Deny-Synapse-Firewall	Aislamiento de red	Configurar el firewall de Synapse.
Deny-Synapse-ManagedVirtualNetwork	Aislamiento de red	Cuando se crea un área de trabajo de Synapse sin una red virtual administrada, se agregará.
Deny-Synapse-PreventDataExfiltration	Aislamiento de red	Se ha aplicado la prevención de la filtración de datos para la red virtual administrada de Synapse.
Deny-SynapsePrivateLinkHub	Aislamiento de red	Deniega el centro de Private Link de Synapse.
Deny-SynapseSpark-AutoPause	Administración de recursos	Aplica la pausa automática para los grupos de Spark de Synapse.
Deny-SynapseSpark-AutoScale	Administración de recursos	Aplica la escalabilidad automática para los grupos de Spark de Synapse.
Deny-SynapseSql-Sku	Administración de recursos	Deniega ciertas SKU de grupo de SQL de Synapse.
Deploy-SynapseSql-AuditingSettings	Registro	Enviar registros de auditoría de los grupos de SQL de Synapse a Log Analytics.
Deploy-SynapseSql-MetadataSynch	Administración de recursos	Configurar la sincronización de metadatos para grupos de SQL de Synapse.
Deploy-SynapseSql-SecurityAlertPolicies	Registro	Implementar la directiva de alertas de seguridad del grupo de SQL de Synapse.
Deploy-SynapseSql-TransparentDataEncryption	Cifrado	Implementar el cifrado de datos transparente de Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment	Registro	Implementar las evaluaciones de vulnerabilidades del grupo de SQL de Synapse.

Azure Purview

Nombre de la directiva	Área de la directiva	Descripción
Deny-Purview	Administración de recursos	Restringir la implementación de cuentas de Purview para evitar la proliferación.

Azure Databricks

Nombre de la directiva	Área de la directiva	Descripción
Append-Databricks-PublicIp	Aislamiento de red	No exige ningún acceso público en las áreas de trabajo de Databricks.
Deny-Databricks-Sku	Administración de recursos	Denegar la SKU de Databricks que no es Premium.
Deny-Databricks-VirtualNetwork	Aislamiento de red	Denegar la implementación de red no virtual para Databricks.

Directivas adicionales que se aplican en el área de trabajo de Databricks mediante directivas de clúster:

Nombre de la directiva de clúster	Área de la directiva
Restringir la versión de Spark	Administración de recursos
Restringir el tamaño y los tipos de máquina virtual del clúster	Administración de recursos
Aplicar el etiquetado de costos	Administración de recursos
Aplicar la escalabilidad automática	Administración de recursos
Aplicar la puesta en pausa automática	Administración de recursos
Restringir las DBU por hora	Administración de recursos
Denegar SSH público	Authentication
Comprobar si la transferencia de credenciales está habilitada	Authentication
Habilitar el aislamiento de procesos	Aislamiento de red
Aplicar la supervisión de Spark	Registro
Aplicar los registros del clúster	Registro
Permitir solo SQL, Python	Administración de recursos
Denegar scripts de instalación adicionales	Administración de recursos

Azure IoT Hub

Nombre de la directiva	Área de la directiva	Descripción
Append-IotHub-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para IoT Hub.
Audit-IotHub-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para centros de IoT.
Deny-IotHub-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para IoT Hub.
Deny-IotHub-Sku	Administración de recursos	Aplica las SKU de IoT Hub.
Deploy-IotHub-IoTSecuritySolutions	Seguridad	Implementar Microsoft Defender para IoT para los centros de IoT.

Azure Event Hubs

Nombre de la directiva	Área de la directiva	Descripción
Deny-EventHub-Ipfilterrules	Aislamiento de red	Denegar la adición de reglas de filtro IP para Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits	Aislamiento de red	Deniega el acceso a la red pública para servidores MySQL.
Deny-EventHub-NetworkRuleSet	Aislamiento de red	Aplica reglas de red virtual predeterminadas para Azure Event Hubs.
Deny-EventHub-Sku	Administración de recursos	Deniega ciertas SKU para Azure Event Hubs.
Deny-EventHub-Virtualnetworkrules	Aislamiento de red	Denegar la adición de reglas de red virtual para Azure Event Hubs.

Azure Stream Analytics

Nombre de la directiva	Área de la directiva	Descripción
Append-StreamAnalytics-IdentityType	Authentication	Exige el uso de una identidad asignada por el sistema para Stream Analytics.
Deny-StreamAnalytics-ClusterId	Administración de recursos	Aplica el uso del clúster de Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Administración de recursos	Exige el número de unidades de streaming de Stream Analytics.

Explorador de datos de Azure

Nombre de la directiva	Área de la directiva	Descripción
Deny-DataExplorer-DiskEncryption	Cifrado	Exige el uso del cifrado de disco para Data Explorer.
Deny-DataExplorer-DoubleEncryption	Cifrado	Exige el uso del cifrado doble para Data Explorer.
Deny-DataExplorer-Identity	Authentication	Exige el uso de una identidad asignada por el sistema o por el usuario para Data Explorer.
Deny-DataExplorer-Sku	Administración de recursos	Aplica las SKU de Data Explorer.
Deny-DataExplorer-TrustedExternalTenants	Aislamiento de red	Deniega inquilinos externos para Data Explorer.
Deny-DataExplorer-VirtualNetworkConfiguration	Aislamiento de red	Aplica la ingesta de red virtual para Data Explorer.

Azure Cosmos DB

Nombre de la directiva	Área de la directiva	Descripción
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Authentication	Deniegue el acceso de escritura de metadatos basado en claves para las cuentas de Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Aislamiento de red	No exige ningún acceso de red pública para las cuentas de Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Aislamiento de red	Audite los puntos de conexión públicos que se crean en otras suscripciones para Azure Cosmos DB.
Deny-Cosmos-Cors	Aislamiento de red	Deniega las reglas de CORS para las cuentas de Azure Cosmos DB".
Deny-Cosmos-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para las cuentas de Azure Cosmos DB.

Azure Container Registry

Nombre de la directiva	Área de la directiva	Descripción
Audit-ContainerRegistry-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Cognitive Services.
Deny-ContainerRegistry-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para el registro de contenedor.
Deny-ContainerRegistry-Sku	Administración de recursos	Aplica la SKU Premium para el registro de contenedor.

Azure Cognitive Services

Nombre de la directiva	Área de la directiva	Descripción
Append-CognitiveServices-IdentityType	Authentication	Exige el uso de una identidad asignada por el sistema para Cognitive Services.
Audit-CognitiveServices-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Cognitive Services.
Deny-CognitiveServices-Encryption	Cifrado	Exige el uso del cifrado para Cognitive Services.
Deny-CognitiveServices-PublicNetworkAccess	Aislamiento de red	No exige ningún acceso a la red pública para Cognitive Services.
Deny-CognitiveServices-Sku	Administración de recursos	Denegar la SKU gratuita de Cognitive Services.
Deny-CognitiveServices-UserOwnedStorage	Aislamiento de red	Aplica el almacenamiento propiedad del usuario para Cognitive Services.

Azure Machine Learning

Nombre de la directiva	Área de la directiva	Descripción
Append-MachineLearning-PublicAccessWhenBehindVnet	Aislamiento de red	Denegar el acceso público detrás de la red virtual para las áreas de trabajo de Machine Learning.
Audit-MachineLearning-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Machine Learning.
Deny-MachineLearning-HbiWorkspace	Aislamiento de red	Aplicar áreas de trabajo de Machine Learning de alto impacto empresarial en todo el entorno.
Deny-MachineLearningAks	Administración de recursos	Denegar la creación de AKS (no adjuntar) en Machine Learning.
Deny-MachineLearningCompute-SubnetId	Aislamiento de red	Denegar la dirección IP pública para instancias y clústeres de proceso de Machine Learning.
Deny-MachineLearningCompute-VmSize	Administración de recursos	Limitar los tamaños de máquina virtual permitidos para instancias y clústeres de proceso de Machine Learning.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Aislamiento de red	Denegar el acceso público de los clústeres mediante SSH.
Deny-MachineLearningComputeCluster-Scale	Administración de recursos	Aplicar la configuración de escalado para los clústeres de proceso de Machine Learning.

Instancia administrada de Azure SQL

Nombre de la directiva	Área de la directiva	Descripción
Append-SqlManagedInstance-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para los servidores de SQL Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint	Aislamiento de red	Deniega el punto de conexión de datos público para SQL Managed Instance.
Deny-SqlManagedInstance-Sku	Administración de recursos
Deny-SqlManagedInstance-SubnetId	Aislamiento de red	Aplica implementaciones en subredes de SQL Managed Instance.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Autenticación	Aplica solo la autenticación de Microsoft Entra para SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Registro	Implementar directivas de alertas de seguridad de SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Registro	Implementar las evaluaciones de vulnerabilidades de SQL Managed Instance.

Azure SQL Database

Nombre de la directiva	Área de la directiva	Descripción
Append-Sql-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para servidores SQL.
Audit-Sql-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Azure SQL.
Deny-Sql-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para servidores SQL.
Deny-Sql-StorageAccountType	Resistencia	Exige la copia de seguridad de base de datos con redundancia geográfica.
Deploy-Sql-AuditingSettings	Registro	Implementar la auditoría de SQL.
Deploy-Sql-AzureAdOnlyAuthentications	Autenticación	Aplica la autenticación solo a Microsoft Entra para servidores SQL.
Deploy-Sql-SecurityAlertPolicies	Registro	Implementar directivas de alertas de seguridad de SQL.
Deploy-Sql-TransparentDataEncryption	Cifrado	Implementar el cifrado de datos transparente de SQL.
Deploy-Sql-VulnerabilityAssessment	Registro	Implementar las evaluaciones de vulnerabilidades de SQL.
Deploy-SqlDw-AuditingSettings	Registro	Implementar la configuración de auditoría de SQL DW.

Azure Database for MariaDB

Nombre de la directiva	Área de la directiva	Descripción
Append-MariaDb-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para los servidores MariaDB.
Audit-MariaDb-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para MariaDB.
Deny-MariaDb-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para los servidores MariaDB.
Deny-MariaDb-StorageProfile	Resistencia	Aplica la copia de seguridad de base de datos con redundancia geográfica con un tiempo de retención mínimo en días.
Deploy-MariaDb-SecurityAlertPolicies	Registro	Implementar directivas de alertas de seguridad de SQL para MariaDB

Azure Database for MySQL

Nombre de la directiva	Área de la directiva	Descripción
Append-MySQL-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para los servidores MySQL.
Audit-MySql-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para MySQL.
Deny-MySQL-InfrastructureEncryption	Cifrado	Aplica el cifrado de infraestructura para los servidores MySQL.
Deny-MySQL-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para los servidores MySQL.
Deny-MySql-StorageProfile	Resistencia	Aplica la copia de seguridad de base de datos con redundancia geográfica con un tiempo de retención mínimo en días.
Deploy-MySql-SecurityAlertPolicies	Registro	Implementar directivas de alertas de seguridad de SQL para MySQL.

Azure Database for PostgreSQL

Nombre de la directiva	Área de la directiva	Descripción
Append-PostgreSQL-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para los servidores PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Cifrado	Aplica el cifrado de infraestructura para los servidores PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para los servidores PostgreSQL.
Deny-PostgreSql-StorageProfile	Resistencia	Aplica la copia de seguridad de base de datos con redundancia geográfica con un tiempo de retención mínimo en días.
Deploy-PostgreSql-SecurityAlertPolicies	Registro	Implementar directivas de alertas de seguridad de SQL para PostgreSQL.

Azure AI Search

Nombre de la directiva	Área de la directiva	Descripción
Append-Search-IdentityType	Autenticación	Exige el uso de una identidad asignada por el sistema para Azure AI Search.
Audit-Search-PrivateEndpointId	Aislamiento de red	Auditar los puntos de conexión públicos que se crean en otras suscripciones para Azure AI Search.
Deny-Search-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública Azure AI Search.
Deny-Search-Sku	Administración de recursos	Aplica las SKU de Azure AI Search.

Azure DNS

Nombre de la directiva	Área de la directiva	Descripción
Deny-PrivateDnsZones	Administración de recursos	Restringir la implementación de zonas DNS privadas para evitar la proliferación.

Grupo de seguridad de red

Nombre de la directiva	Área de la directiva	Descripción
Deploy-Nsg-FlowLogs	Registro	Implementar los registros de flujo de NSG y el análisis de tráfico.

Batch

Nombre de la directiva	Área de la directiva	Descripción
Deny-Batch-InboundNatPools	Aislamiento de red	Deniega los grupos NAT de entrada para los grupos de máquinas virtuales de la cuenta de Batch.
Deny-Batch-NetworkConfiguration	Aislamiento de red	Deniega las direcciones IP públicas para los grupos de máquinas virtuales de la cuenta de Batch.
Deny-Batch-PublicNetworkAccess	Aislamiento de red	Deniega el acceso a la red pública para las cuentas de Batch.
Deny-Batch-Scale	Administración de recursos	Deniega determinadas configuraciones de escalado para grupos de máquinas virtuales de cuentas de Batch.
Deny-Batch-VmSize	Administración de recursos	Deniega determinados tamaños de máquina virtual para grupos de máquinas virtuales de cuentas de Batch.

Azure Cache for Redis

Nombre de la directiva	Área de la directiva	Descripción
Deny-Cache-Enterprise	Administración de recursos	Deniega Redis Cache Enterprise.
Deny-Cache-FirewallRules	Aislamiento de red	Deniega las reglas de firewall de Redis Cache.
Deny-Cache-MinimumTlsVersion	Cifrado	Aplica la versión mínima de TLS para Redis Cache.
Deny-Cache-NonSslPort	Aislamiento de red	Aplica la desactivación del puerto no SSL para Redis Cache.
Deny-Cache-PublicNetworkAccess	Aislamiento de red	No exige ningún acceso a la red pública para Redis Cache.
Deny-Cache-Sku	Administración de recursos	Aplica determinadas SKU para Redis Cache.
Deny-Cache-VnetInjection	Aislamiento de red	Exige el uso de puntos de conexión privados y deniega la inserción de red virtual para Redis Cache.

Instancias de contenedor

Nombre de la directiva	Área de la directiva	Descripción
Deny-ContainerInstance-PublicIpAddress	Aislamiento de red	Deniega las instancias de Container Instances públicas creadas desde Azure Machine Learning.

Azure Firewall

Nombre de la directiva	Área de la directiva	Descripción
Deny-Firewall	Administración de recursos	Restringir la implementación de Azure Firewall para evitar la proliferación.

HDInsight

Nombre de la directiva	Área de la directiva	Descripción
Deny-HdInsight-EncryptionAtHost	Cifrado	Aplicar el cifrado en el host para clústeres de HDInsight.
Deny-HdInsight-EncryptionInTransit	Cifrado	Exige el cifrado en tránsito para clústeres de HDInsight.
Deny-HdInsight-MinimalTlsVersion	Cifrado	Aplica la versión mínima de TLS para los clústeres de HDInsight.
Deny-HdInsight-NetworkProperties	Aislamiento de red	Exige la habilitación de Private Link para clústeres de HDInsight.
Deny-HdInsight-Sku		Aplica determinadas SKU para los clústeres de HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Aislamiento de red	Aplica la inserción de red virtual para los clústeres de HDInsight.

Power BI

Nombre de la directiva	Área de la directiva	Descripción
Deny-PrivateLinkServicesForPowerBI	Administración de recursos	Restringir la implementación de servicios de Private Link para Power BI con el fin de evitar la proliferación.

Pasos siguientes

• Requisitos para regular los datos en las empresas modernas
• Componentes necesarios para la gobernanza de datos