Politiche nell'analisi su scala del cloud

Prima di prendere in considerazione una distribuzione, è importante che l'organizzazione metta in atto delle protezioni. Usando le politiche di Azure, è possibile implementare la governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.

Background

Un principio fondamentale dell'analisi su scala cloud consiste nel semplificare la creazione, la lettura, l'aggiornamento e l'eliminazione delle risorse in base alle esigenze. Tuttavia, sebbene offrire agli sviluppatori un accesso illimitato alle risorse garantisca loro la flessibilità, ciò può anche comportare costi imprevisti. La soluzione a questo problema è la governance dell'accesso alle risorse. Questa governance è il processo continuativo di gestione, monitoraggio e controllo dell'uso delle risorse di Azure per soddisfare gli obiettivi e i requisiti dell'organizzazione.

Il punto di partenza del Framework di adozione del cloud per le zone di atterraggio su scala aziendale utilizza già questo concetto. L'analisi su scala cloud aggiunge criteri di Azure personalizzati per sviluppare questi standard. Gli standard vengono quindi applicati agli ambiti di gestione dei dati e agli ambiti di atterraggio dei dati.

Diagramma che mostra come funziona la governance di Azure.

Azure Policy è importante quando si garantiscono sicurezza e conformità nelle analisi su scala cloud. Consente di applicare gli standard e di valutare la conformità su larga scala. I criteri possono essere usati per valutare le risorse in Azure e confrontarle con le proprietà ricercate. Diversi criteri, o regole business, possono essere raggruppati in un'iniziativa. È possibile assegnare singoli criteri o iniziative ad ambiti diversi in Azure. Questi ambiti possono essere gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito e gli ambiti secondari possono essere esclusi con eccezioni, se necessario.

Considerazioni relative alla progettazione

I criteri di Azure nell'analisi su scala cloud sono stati sviluppati tenendo presenti le considerazioni di progettazione seguenti:

• Usare i criteri di Azure per implementare la governance e applicare regole per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.
• Usare i criteri predefiniti disponibili per risparmiare tempo.
• Assegnare i criteri al livello più alto possibile nell'albero del gruppo di gestione per semplificare la gestione dei criteri.
• Limitare le assegnazioni di Criteri di Azure effettuate nell'ambito del gruppo di gestione principale per evitare di dover gestire mediante esclusioni nei contesti ereditati.
• Usare eccezioni ai criteri solo se necessario, ed esse richiedono l'approvazione.

Criteri di Azure per l'analisi su scala cloud

L'implementazione di criteri personalizzati consente di fare di più con i criteri di Azure. L'analisi su scala cloud include un set di criteri precreati che consentono di implementare eventuali protezioni necessarie nell'ambiente in uso.

Criteri di Azure devono essere lo strumento principale del team della piattaforma Azure (Dati) per garantire la conformità delle risorse all'interno dell'area di gestione dei dati, delle zone di atterraggio dei dati e di altre zone di atterraggio all'interno del tenant dell'organizzazione. Questa funzionalità della piattaforma deve essere usata per introdurre protezioni e applicare la conformità alla configurazione globale del servizio approvata all'interno dell'ambito del rispettivo gruppo di gestione. I team della piattaforma possono usare Criteri di Azure per applicare, ad esempio, endpoint privati per tutti gli account di archiviazione ospitati nell'ambiente della piattaforma dati o applicare la crittografia TLS 1.2 in transito per tutte le connessioni effettuate agli account di archiviazione. Quando eseguito correttamente, questo criterio impedisce ai team dell'applicazione dati di ospitare i servizi in uno stato non conforme all'interno dell'ambito del tenant corrispondente.

I team IT responsabili devono usare questa funzionalità della piattaforma per risolvere i problemi di sicurezza e conformità e aprire un approccio self-service all'interno delle zone di destinazione (dati).

L'analisi su scala cloud contiene criteri personalizzati correlati alla gestione delle risorse e dei costi, all'autenticazione, alla crittografia, all'isolamento della rete, alla registrazione, alla resilienza e altro ancora.

• Tutti i servizi
• Archiviazione
• Key Vault
• Azure Data Factory
• Azure Synapse Analytics
• Azure Databricks
• Hub IoT di Azure
• Hub eventi di Azure
• Analisi di flusso di Azure
• Esplora dati di Azure
• Azure Cosmos DB
• Azure Container Registry
• Servizi di Azure AI
• Azure Machine Learning
• Istanza gestita di Azure SQL
• Database SQL di Azure
• Database di Azure per MariaDB
• Database di Azure per MySQL
• Database di Azure per PostgreSQL
• Azure AI Search
• Azure DNS
• Gruppo di sicurezza di rete
• Batch
• <a href="#azure-cache-for-redis">Azure Cache per Redis</a>
• Istanze di Container
• Firewall di Azure
• HDInsight
• Power BI

Nota

I criteri devono essere visualizzati solo come indicazioni e possono essere applicati a seconda dei requisiti aziendali. Le politiche devono essere sempre applicate al massimo livello possibile e nella maggior parte dei casi questo sarà un gruppo di gestione.

Tutti i servizi

Nome del criterio	Area di politica	Descrizione
Deny-PublicIp	Isolamento della rete	Limitare la distribuzione di IP pubblici.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Isolamento della rete	Negare l'accesso degli endpoint privati alle risorse all'esterno del tenant e della sottoscrizione di Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Isolamento della rete	Distribuisce le configurazioni di un gruppo zona DNS privato in base a un parametro per l'endpoint privato del servizio. Consente di applicare la configurazione a una singola zona DNS privato.
DiagnosticSettings-{Service}-LogAnalytics	Registrazione	Inviare le impostazioni di diagnostica per Azure Cosmos DB all'area di lavoro Log Analytics.

Archiviazione

Nome del criterio	Area di politica	Descrizione
Aggiungi-Archiviazione-Cifratura	Crittografia	Applica la crittografia per gli account di archiviazione.
Nega-Archiviazione-ConsentiAccessoPubblicoAlBlob	Isolamento della rete	Impedisce l'accesso pubblico a tutti i blob o contenitori nell'account di archiviazione.
Nega-PoliticaDiConservazioneEliminazioneContenitoreDiArchivio	Resilienza	Applica politiche di conservazione per l'eliminazione dei contenitori per più di sette giorni nell'account di archiviazione.
Deny-Storage-CorsRules	Isolamento della rete	Nega le regole CORS per l'account di archiviazione.
Nega-Crittografia-Infrastruttura-Archiviazione	Crittografia	Applica la crittografia dell'infrastruttura (doppia) per gli account di archiviazione.
Deny-Storage-MinimumTlsVersion	Crittografia	Applica la versione minima di TLS 1.2 per l'account di archiviazione.
Deny-Storage-NetworkAclsBypass	Isolamento della rete	Applica nessun bypass di rete all'account di archiviazione.
Deny-Storage-NetworkAclsIpRules	Isolamento della rete	Applica le regole IP di rete per l'account di archiviazione.
Deny-Storage-NetworkAclsVirtualNetworkRules	Isolamento della rete	Nega le regole di rete virtuale per l'account di archiviazione.
Deny-Storage-Sku	Gestione risorse	Applica gli SKU degli account di archiviazione.
Deny-Storage-SupportsHttpsTrafficOnly	Crittografia	Impone il traffico HTTPS per l'account di archiviazione.
Deploy-Storage-BlobServices	Gestione risorse	Distribuisce le impostazioni predefinite dei servizi BLOB per l'account di archiviazione.
Deny-Storage-RoutingPreference	Isolamento della rete
Deny-Storage-Kind	Gestione risorse
Deny-Storage-NetworkAclsDefaultAction	Isolamento della rete

Key Vault

Nome della policy	Area politica	Descrizione
Audit-KeyVault-PrivateEndpointId (ID del punto finale privato di KeyVault)	Isolamento della rete	Verifica gli endpoint pubblici creati in altre sottoscrizioni per Key Vault.
Deny-KeyVault-NetworkAclsBypass	Isolamento della rete	Applica le regole di bypass a livello di rete per il vault delle chiavi.
Deny-KeyVault-NetworkAclsDefaultAction	Isolamento della rete	Applica l'azione predefinita a livello di ACL di rete per il Key Vault.
Deny-KeyVault-NetworkAclsIpRules	Isolamento della rete	Applica le regole IP di rete per il Key Vault.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Isolamento della rete	Impedisce le regole di rete virtuale per il key vault.
Deny-KeyVault-PurgeProtection	Resilienza	Applica la protezione da eliminazione per l'archivio delle chiavi.
Deny-KeyVault-SoftDelete	Resilienza	Applica l'eliminazione soft con un numero minimo di giorni di conservazione per il Key Vault.
Deny-KeyVault-TenantId	Gestione risorse	Applica l'ID tenant per il Key Vault di Azure.

Azure Data Factory

Nome del criterio	Ambito di politica	Descrizione
Append-DataFactory-IdentityType	Autenticazione	Impone l'uso dell'identità assegnata dal sistema per la data factory.
Deny-DataFactory-ApiVersion	Gestione risorse	Nega la versione precedente dell'API per data factory V1.
Nega-DataFactory-IntegrazioneRuntimeGestitoReteVirtuale	Isolamento della rete	Nega i runtime di integrazione non connessi alla rete virtuale gestita.
Negare-DataFactory-LinkedServicesConnectionStringType	Autenticazione	Nega i segreti non archiviati nel Key Vault per i servizi collegati.
Deny-DataFactory-ManagedPrivateEndpoints	Isolamento della rete	Nega gli endpoint privati esterni per i servizi collegati.
Nega-DataFactory-AccessoRetePubblica	Isolamento della rete	Vieta l'accesso pubblico all'impianto di dati.
Distribuisci-DataFactory-ReteVirtualeGestita	Isolamento della rete	Distribuisci la rete virtuale gestita per Data Factory.
Distribuzione-EsecuzioneIntegrazioneAutoOspitata-Condivisione	Resilienza	Condividi il runtime di integrazione self-hosted ospitato nel Data Hub con le Data Factory nei Data Nodes.

Azure Synapse Analytics

Nome del criterio	Area politica	Descrizione
Append-Synapse-VerificaAccessoCollegataSuRisorsaTarget	Isolamento della rete	Applicare LinkedAccessCheckOnTargetResource nelle impostazioni della rete virtuale gestita quando viene creata l'area di lavoro di Synapse.
Append-Synapse-Purview	Isolamento della rete	Impone la connessione tra l'istanza di purview centrale e l'area di lavoro Synapse.
Aggiungi-IsolamentoCalcolo-SynapseSpark	Gestione risorse	Quando viene creato un pool di Spark Synapse senza isolamento di calcolo, questo lo aggiunge.
Append-SynapseSpark-DefaultSparkLogFolder	Registrazione	Quando viene creato un pool Synapse Spark senza registrazione, in questo modo viene aggiunto.
Appendere-PacchettiLivelloSessione-SynapseSpark	Gestione risorse	Quando viene creato un pool di Spark Synapse senza pacchetti a livello di sessione, questi vengono quindi aggiunti.
Audit-Synapse-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Isolamento della rete
Deny-Synapse-Firewall	Isolamento della rete	Configurare il firewall di Synapse.
Deny-Synapse-ManagedVirtualNetwork	Isolamento della rete	Quando viene creata un'area di lavoro Synapse senza rete virtuale gestita, essa viene aggiunta.
Deny-Synapse-PrevenzioneEsfiltrazioneDati	Isolamento della rete	Prevenzione applicata dell'esfiltrazione dei dati per la rete virtuale gestita di Synapse.
Deny-SynapsePrivateLinkHub	Isolamento della rete	Nega l'hub di collegamento privato di Synapse.
Deny-SynapseSpark-AutoPause	Gestione risorse	Applica la sospensione automatica per i pool Synapse Spark.
Deny-SynapseSpark-AutoScale	Gestione risorse	Applica la scalabilità automatica per i pool Synapse Spark.
Deny-SynapseSql-Sku	Gestione risorse	Nega determinati SKU del pool SQL Synapse.
Deploy-SynapseSql-AuditingSettings	Loggatura	Invia i log di controllo per i pool SQL Synapse a Log Analytics.
Deploy-SynapseSql-MetadataSynch	Gestione risorse	Configurare la sincronizzazione dei metadati per i pool Synapse SQL.
Deploy-SynapseSql-Sicurezza-Allerta-Politiche	Registrazione	Distribuire i criteri di avviso di sicurezza del pool SQL di Synapse.
Deploy-SynapseSql-TransparentDataEncryption	Crittografia	Implementa la crittografia dei dati trasparente di Synapse SQL.
Distribuire-ValutazioneVulnerabilità-SynapseSql	Registrazione	Distribuisce le valutazioni delle vulnerabilità del pool Synapse SQL.

Azure Databricks

Nome della politica	Area politica	Descrizione
Aggiungi-Databricks-IpPubblico	Isolamento della rete	Non impone l'accesso pubblico alle aree di lavoro di Databricks.
Deny-Databricks-Sku	Gestione risorse	Negare lo SKU non-premium di Databricks.
Deny-Databricks-VirtualNetwork	Isolamento della rete	Impedisci la distribuzione della rete non virtuale per Databricks.

Altri criteri applicati nell'area di lavoro di Databricks tramite i criteri del cluster:

Nome dei criteri cluster	Area politica
Limitare la versione di Spark	Gestione risorse
Limitare le dimensioni del cluster e i tipi di VM	Gestione risorse
Applicare l'assegnazione di tag ai costi	Gestione risorse
Applicare la scalabilità automatica	Gestione risorse
Imponi sospensione automatica	Gestione risorse
Limitare i DBUs all'ora	Gestione risorse
Negare SSH pubblico	Autenticazione
Passthrough delle credenziali del cluster abilitato	Autenticazione
Consentire l'isolamento del processo	Isolamento della rete
Applicare il monitoraggio Spark	Registrazione
Imporre i log del cluster	Registrazione
Consentire solo SQL, Python	Gestione delle risorse
Rifiutare script di installazione aggiuntivi	Gestione delle risorse

Hub IoT di Azure

Nome del criterio	Area di policy	Descrizione
Append-IotHub-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per l'hub iot.
Audit-IotHub-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli hub iot.
Deny-IotHub-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per l'hub iot.
Deny-IotHub-Sku	Gestione risorse	Impone gli SKU dell'hub IoT.
Deploy-IotHub-Soluzioni Di Sicurezza IoT	Sicurezza	Distribuire Microsoft Defender per IoT per gli hub IoT.

Hub eventi di Azure

Nome della politica	Area politica	Descrizione
Deny-EventHub-Ipfilterrules	Isolamento della rete	Nega l'aggiunta di regole di filtro IP per gli hub eventi di Azure.
Deny-EventHub-MaximumThroughputUnits	Isolamento della rete	Nega l'accesso alla rete pubblica per i server SQL.
Deny-EventHub-NetworkRuleSet	Isolamento della rete	Applica le regole di rete virtuale predefinite per Hub eventi di Azure.
Deny-EventHub-Sku	Gestione risorse	Nega determinati AKU per gli Hub eventi di Azure.
Deny-EventHub-Virtualnetworkrules	Isolamento della rete	Nega l'applicazione delle regole di rete virtuale predefinite per gli Hub eventi di Azure.

Analisi di flusso di Azure

Nome del criterio	Area delle politiche	Descrizione
Append-StreamAnalytics-TipoIdentità	Autenticazione	Impone l'uso dell'identità assegnata dal sistema per l'analisi del flusso dei dati.
Deny-StreamAnalytics-ClusterId	Gestione risorse	Impone l'uso del cluster di Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Gestione risorse	Applica il numero di unità di streaming di Analisi di flusso.

Esplora dati di Azure

Nome della politica	Ambito politico	Descrizione
Deny-DataExplorer-DiskEncryption	Crittografia	Impone l'uso della crittografia del disco per Esplora dati.
Deny-DataExplorer-DoubleEncryption	Crittografia	Impone l'uso della crittografia doppia per Esplora dati.
Nega-EsploraDati-Identità	Autenticazione	Impone l'uso dell'identità assegnata dal sistema o dall'utente per esplora dati.
Deny-DataExplorer-Sku	Gestione risorse	Applica gli SKU di Esplora dati.
Nega-DataExplorer-TenantEsterniAttendibili	Isolamento della rete	Nega i tenant esterni per Esplora dati.
Deny-DataExplorer-VirtualNetworkConfiguration	Isolamento della rete	Applica l'inserimento della rete virtuale per Esplora dati.

Azure Cosmos DB

Nome della politica	Area delle politiche	Descrizione
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Autenticazione	Negare l'accesso in scrittura ai metadati basati su chiavi per gli account Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Isolamento della rete	Non applica l'accesso alla rete pubblica per gli account Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Isolamento della rete	Controllare gli endpoint pubblici creati in altre sottoscrizioni per Azure Cosmos DB.
Deny-Cosmos-Cors	Isolamento della rete	Nega le regole CORS per gli account Azure Cosmos DB."
Deny-Cosmos-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per gli account Azure Cosmos DB.

Registro dei Container di Azure

Nome del criterio	Area di politica	Descrizione
Verifica-ContenitoreRegistro-IdPuntoFinalePrivato	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi.
Nega-AccessoRetePubblica-RegistryContainer (Deny-ContainerRegistry-PublicNetworkAccess)	Isolamento della rete	Nega l'accesso alla rete pubblica per il registro contenitori.
Nega-RegistroContenitori-SKU	Gestione risorse	Applica lo SKU Premium per il registro contenitori.

Servizi di intelligenza artificiale di Azure

Nome del criterio	Area politica	Descrizione
Append-CognitiveServices-IdentityType	Autenticazione	Impone l'uso dell'identità assegnata dal sistema per i servizi cognitivi.
Audit-CognitiveServices-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi.
Nega-CognitiveServices-Crittografia	Crittografia	Applica l'uso della crittografia per i servizi cognitivi.
Accesso-Rete-PubblicaNegato-ServiziCognitivi	Isolamento della rete	Non impone l'accesso alla rete pubblica per i servizi cognitivi.
Deny-CognitiveServices-Sku	Gestione risorse	Nega lo SKU gratuito dei servizi cognitivi.
Nega-ServiziCognitivi-ArchiviazioneProprietariaUtente	Isolamento della rete	Impone l'uso dell'archiviazione di proprietà dell'utente per i servizi cognitivi.

Azure Machine Learning

Nome del criterio	Area politica	Descrizione
Append-ApprendimentoAutomatico-AccessoPubblicoQuandoDietroVnet	Isolamento della rete	Negare l'accesso pubblico tramite la rete virtuale per le aree di lavoro di Machine Learning.
Audit-MachineLearning-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per l'apprendimento automatico.
Deny-MachineLearning-HbiWorkspace	Isolamento della rete	Applica aree di lavoro di apprendimento automatico ad alto impatto aziendale in tutto l'ambiente.
Deny-MachineLearningAks	Gestione risorse	Nega la creazione di AKS (non il collegamento) in ambito di apprendimento automatico.
Deny-MachineLearningCompute-SubnetId	Isolamento della rete	Nega l'indirizzo IP pubblico per le istanze e i cluster di elaborazione dell'apprendimento automatico.
Deny-MachineLearningCompute-VmSize	Gestione risorse	Limita le dimensioni delle VM consentite per le istanze e i cluster di elaborazione dell'apprendimento automatico.
Nega-AccessoPubblicoAlPortoDiLoginRemoto-ClusterDiCalcoloPerApprendimentoAutomatico	Isolamento della rete	Nega l'accesso pubblico ai cluster tramite SSH.
Deny-MachineLearningComputeCluster-Scale	Gestione risorse	Applica le impostazioni di scalabilità per i cluster di elaborazione dell'apprendimento automatico.

Istanza gestita di SQL di Azure

Nome del criterio	Area delle politiche	Descrizione
Append-SqlManagedInstance-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i server dell'istanza gestita di SQL.
Deny-SqlManagedInstance-PublicDataEndpoint	Isolamento della rete	Nega l'accesso ai dati pubblici per le istanze SQL gestite.
Deny-SqlManagedInstance-Sku	Gestione risorse
Deny-SqlManagedInstance-SubnetId	Isolamento della rete	Impone le distribuzioni alle subnet delle istanze SQL gestite.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Autenticazione	Applica l'autenticazione esclusiva Microsoft Entra per Istanza SQL gestita.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Registrazione	Distribuire i criteri di avviso di sicurezza dell'istanza gestita di SQL.
Distribuisci-IstanzaGestitaSQL-ValutazioneVulnerabilità	Registrazione	Distribuisce le valutazioni della vulnerabilità dell'istanza gestita di SQL.

Database SQL di Azure

Nome del criterio	Ambito politico	Descrizione
Append-Sql-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i server SQL.
Controllo-Sql-IDPuntoFinalePrivato	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli Azure SQL.
Deny-Sql-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per i server SQL.
Nega-Sql-TipoAccountArchiviazione	Resilienza	Impone il backup del database con ridondanza geografica.
Distribuire-ImpostazioniDiAuditSql	Registrazione	Distribuisce le impostazioni di controllo SQL.
Deploy-Sql-AzureAdOnlyAuthentications	Autenticazione	Applica l'autenticazione solo Entra di Microsoft per SQL Server.
Distribuire-Sql-CriteriAvvisoDiSicurezza	Registrazione	Distribuisci i criteri di avviso di sicurezza per SQL.
Deploy-Sql-TransparentDataEncryption	Crittografia	Implementa la crittografia trasparente dei dati SQL.
Distribuire-ValutazioneDelleVulnerabilitàSQL	Registrazione	Distribuire le valutazioni delle vulnerabilità di SQL.
Deploy-SqlDw-AuditingSettings	Registrazione	Distribuzione delle impostazioni di controllo SQL DW.

Database di Azure per MariaDB

Nome del criterio	Ambito politico	Descrizione
Append-MariaDb-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i server MariaDB.
Audit-MariaDb-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per MariaDB.
Deny-MariaDb-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per i server MariaDB.
Deny-MariaDb-StorageProfile	Resilienza	Imposta il backup del database geograficamente ridondante con un periodo minimo di conservazione in giorni.
Deploy-MariaDb-SecurityAlertPolicies	Registrazione	Distribuire le policy di avviso di sicurezza SQL per MariaDB

Database di Azure per MySQL

Nome del criterio	Area di politica	Descrizione
Append-MySQL-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i server MySQL.
Audit-MySql-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per MySQL.
Deny-MySQL-InfrastructureEncryption	Crittografia	Applica la crittografia dell'infrastruttura per i server MySQL.
Deny-MySQL-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per i server MySQL.
Deny-MySql-StorageProfile	Resilienza	Impone il backup del database con ridondanza geografica con un tempo di conservazione minima espresso in giorni.
Distribuire-MySql-SecurityAlertPolicies	Registrazione	Implementa i criteri di avviso di sicurezza SQL per MySQL.

Database di Azure per PostgreSQL

Nome del criterio	Area politica	Descrizione
Append-PostgreSQL-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i server PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Isolamento della rete	Controlla gli endpoint pubblici creati in altre sottoscrizioni per PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Crittografia	Applica la crittografia dell'infrastruttura per i server PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per i server PostgreSQL.
Deny-PostgreSql-StorageProfile	Resilienza	Impone il backup del database con ridondanza geografica con un tempo minimo di conservazione in giorni.
Distribuire-PostgreSql-PoliticheDiAvvisoSicurezza	Registrazione	Distribuisci le politiche di avviso di sicurezza SQL per PostgreSQL.

Azure AI Search

Nome del criterio	Area delle politiche	Descrizione
Append-Search-IdentityType	Autenticazione	Impiega l'uso dell'identità assegnata dal sistema per Azure AI Ricerca.
Audit-Search-PrivateEndpointId	Isolamento della rete	Controllare gli endpoint pubblici creati in altre sottoscrizioni per Ricerca di intelligenza artificiale di Azure.
Nega-Ricerca-AccessoRetePubblica	Isolamento della rete	Nega l'accesso alla rete pubblica per Ricerca di intelligenza artificiale di Azure.
Deny-Search-Sku	Gestione risorse	Impone gli SKU di Azure AI Search.

DNS Azure

Nome della politica	Area politica	Descrizione
Deny-PrivateDnsZones	Gestione risorse	Limita la distribuzione di zone DNS private per evitare la proliferazione.

Gruppo di sicurezza di rete

Nome della politica	Area politica	Descrizione
Deploy-Nsg-FlowLogs	Registrazione	Distribuire i log dei flussi NSG e l'analisi del traffico.

Batch

Nome del criterio	Area politica	Descrizione
Deny-Batch-InboundNatPools	Isolamento della rete	Nega i pool NAT in ingresso per i pool di macchine virtuali dell'account batch.
Deny-Batch-NetworkConfiguration	Isolamento della rete	Nega gli indirizzi IP pubblici per i pool di macchine virtuali dell'account batch.
Deny-Batch-PublicNetworkAccess	Isolamento della rete	Nega l'accesso alla rete pubblica per gli account batch.
Rifiuta-Batch-Scala	Gestione risorse	Nega determinate configurazioni di scalabilità per i pool di macchine virtuali dell'account batch.
Deny-Batch-VmSize	Gestione risorse	Nega determinate dimensioni di macchina virtuale per i pool di macchine virtuali dell'account batch.

Cache Redis di Azure

Nome del criterio	Area politica	Descrizione
Deny-Cache-Enterprise	Gestione risorse	Nega l'accesso alla cache Redis Enterprise.
Deny-Cache-FirewallRules	Isolamento della rete	Nega le regole del firewall per Redis Cache.
Deny-Cache-MinimumTlsVersion	Crittografia	Applica la versione minima di TLS per Cache Redis.
Nega-Cache-PortaNonSsl	Isolamento della rete	Impone la disattivazione della porta non SSL per Cache Redis.
Deny-Cache-PublicNetworkAccess	Isolamento della rete	Non impone l'accesso alla rete pubblica per Cache Redis.
Deny-Cache-Sku	Gestione risorse	Impone determinati SKU per la Cache Redis.
Deny-Cache-VnetInjection	Isolamento della rete	Impone l'uso di endpoint privati e nega la connessione di rete virtuale per Cache Redis.

Istanze di Contenitore

Nome del criterio	Area politica	Descrizione
Deny-ContainerInstance-PublicIpAddress	Isolamento della rete	Le istanze container pubbliche create da Azure Machine Learning sono negate.

Firewall di Azure

Nome del criterio	Area di politica	Descrizione
Firewall di Rifiuto	Gestione risorse	Limita la distribuzione di Firewall di Azure per evitare la proliferazione.

HDInsight

Nome del criterio	Ambito politico	Descrizione
Deny-HdInsight-EncryptionAtHost	Crittografia	Applica la crittografia nell'host per i cluster HDInsight.
Deny-HdInsight-EncryptionInTransit	Crittografia	Applica la crittografia durante il transito per i cluster HDInsight.
Deny-HdInsight-MinimalTlsVersion	Crittografia	Applica la versione minima di TLS per i cluster HDInsight.
Deny-HdInsight-NetworkProperties	Isolamento della rete	Impone l'abilitazione del collegamento privato per i cluster HDInsight.
Deny-HdInsight-Sku		Impone determinati SKU per i cluster HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Isolamento della rete	Applica l'inserimento di reti virtuali per i cluster HDInsight.

Power BI

Nome del criterio	Area di intervento	Descrizione
Deny-PrivateLinkServicesForPowerBI	Gestione risorse	Limita la distribuzione dei servizi di collegamento privato per Power BI per evitare la proliferazione.

Passaggi successivi

• Requisiti per la governance dei dati in un'azienda moderna
• Componenti necessari per la governance dei dati