Ingebouwde Azure Policy-definities voor Azure Backup
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Backup. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Backup
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Recovery Services-kluizen moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Recovery Services-kluis niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Recovery Services-kluis beperken. Zie voor meer informatie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen moeten private link gebruiken voor back-up | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Azure Recovery Services-kluizen, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AB-PrivateEndpoints. | Controle, uitgeschakeld | 2.0.0-preview |
| [Preview]: Back-up en Site Recovery moeten zone-redundant zijn | Back-up en Site Recovery kunnen worden geconfigureerd als zone-redundant of niet. Back-up en Site Recovery is zone-redundant als de eigenschap standardTierStorageRedundancy is ingesteld op ZoneRedundant. Door dit beleid af te dwingen, zorgt u ervoor dat Backup en Site Recovery op de juiste wijze zijn geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Recovery Services-kluis uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Wijzigen, uitgeschakeld | 1.0.0-preview |
| [Preview]: Privé-eindpunten configureren in Azure Recovery Services-kluizen | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw site recovery-resources van Recovery Services-kluizen, kunt u risico's voor gegevenslekken verminderen. Als u privékoppelingen wilt gebruiken, moet de beheerde service-identiteit worden toegewezen aan Recovery Services-kluizen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Recovery Services-kluizen configureren voor het gebruik van privé-eindpunten voor back-up | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Recovery Services-kluizen, kunt u risico's voor gegevenslekken verminderen. Houd er rekening mee dat uw kluizen moeten voldoen aan bepaalde vereisten om in aanmerking te komen voor configuratie van privé-eindpunten. Meer informatie vindt u op: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Herstel tussen abonnementen uitschakelen voor Azure Recovery Services-kluizen | Schakel herstel tussen abonnementen voor uw Recovery Services-kluis uit of permanentdisable, zodat hersteldoelen niet in een ander abonnement kunnen staan dan het kluisabonnement. Zie voor meer informatie: https://aka.ms/csrenhancements. | Wijzigen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Het maken van Recovery Services-kluizen van gekozen opslagredundantie is niet toegestaan. | Recovery Services-kluizen kunnen momenteel worden gemaakt met een van de drie opties voor opslagredundantie, namelijk lokaal redundante opslag, zone-redundante opslag en geografisch redundante opslag. Als het beleid in uw organisatie vereist dat u het maken van kluizen die deel uitmaken van een bepaald redundantietype, blokkeert, kunt u hetzelfde bereiken met behulp van dit Azure-beleid. | Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Onveranderbaarheid moet zijn ingeschakeld voor Recovery Services-kluizen | Met dit beleid wordt gecontroleerd of de onveranderbare kluiseigenschap is ingeschakeld voor Recovery Services-kluizen in het bereik. Zo kunt u voorkomen dat uw back-upgegevens worden verwijderd voordat de beoogde vervaldatum is verstreken. Meer informatie op https://aka.ms/AB-ImmutableVaults. | Controle, uitgeschakeld | 1.0.1-preview |
| [Preview]: MUA (Multi-User Authorization) moet zijn ingeschakeld voor Recovery Services-kluizen. | Dit beleid controleert of MUA (Multi-User Authorization) is ingeschakeld voor Recovery Services-kluizen. MUA helpt bij het beveiligen van uw Recovery Services-kluizen door een extra beveiligingslaag toe te voegen aan kritieke bewerkingen. Ga voor meer informatie naar https://aka.ms/MUAforRSV. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Recovery Services-kluizen moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Azure Recovery Services-kluizen, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen voor Azure Site Recovery vindt u op: https://aka.ms/HybridScenarios-PrivateLink en https://aka.ms/AzureToAzure-PrivateLink. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Voorlopig verwijderen moet zijn ingeschakeld voor Recovery Services-kluizen. | Met dit beleid wordt gecontroleerd of voorlopig verwijderen is ingeschakeld voor Recovery Services-kluizen in het bereik. Met voorlopig verwijderen kunt u uw gegevens herstellen, zelfs nadat deze zijn verwijderd. Meer informatie op https://aka.ms/AB-SoftDelete. | Controle, uitgeschakeld | 1.0.0-preview |
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Diagnostische instellingen voor Recovery Services-kluis implementeren in Log Analytics-werkruimten voor resource-specifieke categorieën. | Diagnostische instellingen voor Recovery Services-kluis implementeren om te streamen naar Log Analytics-werkruimten voor resource-specifieke categorieën. Als een van de resource-specifieke categorieën niet is ingeschakeld, wordt er een nieuwe diagnostische instelling gemaakt. | deployIfNotExists | 1.0.2 |
| Logboekregistratie inschakelen op categoriegroep voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Recovery Services-kluizen (microsoft.recoveryservices/kluizen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.