Beleid in analyses op cloudschaal

Voordat u een implementatie overweegt, is het belangrijk dat uw organisatie kaders plaatst. Met behulp van Azure-beleid kunt u governance implementeren voor resourceconsistentie, naleving van regelgeving, beveiliging, kosten en beheer.

Achtergrond

Een kernprincipe van analyses op cloudschaal is om resources eenvoudig te maken, lezen, bij te werken en te verwijderen, indien nodig. Hoewel ontwikkelaars onbeperkte resourcetoegang hebben, kunnen ze echter flexibel worden, maar kan dit ook leiden tot onbedoelde kosten. De oplossing voor dit probleem is resourcetoegangsbeheer. Dit beheer is het doorlopende proces voor het beheren, bewaken en controleren van het gebruik van Azure-resources om te voldoen aan de doelstellingen en vereisten van uw organisatie.

Het begin met Cloud Adoption Framework-landingszones op ondernemingsniveau maakt al gebruik van dit concept. Met analyses op cloudschaal worden aangepaste Azure-beleidsregels toegevoegd om te bouwen op deze standaarden. De standaarden worden vervolgens toegepast op onze landingszones voor gegevensbeheer en datalandingszones.

Diagram waarin wordt getoond hoe Azure-governance werkt.

Azure Policy is belangrijk bij het waarborgen van beveiliging en naleving binnen analyses op cloudschaal. Het helpt bij het afdwingen van standaarden en het beoordelen van naleving op schaal. Beleidsregels kunnen worden gebruikt om resources in Azure te evalueren en deze te vergelijken met de gewenste eigenschappen. Verschillende beleidsregels of bedrijfsregels kunnen worden gegroepeerd in een initiatief. Afzonderlijke beleidsregels of initiatieven kunnen worden toegewezen aan verschillende bereiken in Azure. Deze bereiken kunnen beheergroepen, abonnementen, resourcegroepen of afzonderlijke resources zijn. De toewijzing is van toepassing op alle resources binnen het bereik en subscopen kunnen indien nodig worden uitgesloten met uitzonderingen.

Ontwerpoverwegingen

Azure-beleid in analyse op cloudschaal is ontwikkeld met de volgende ontwerpoverwegingen in het achterhoofd:

• Gebruik Azure-beleid om governance te implementeren en regels af te dwingen voor resourceconsistentie, naleving van regelgeving, beveiliging, kosten en beheer.
• Gebruik beschikbare vooraf samengestelde beleidsregels om tijd te besparen.
• Wijs beleidsregels toe aan het hoogst mogelijke niveau in de structuur van de beheergroep om beleidsbeheer te vereenvoudigen.
• Beperk Azure Policy-toewijzingen die zijn gemaakt in het bereik van de hoofdbeheergroep om te voorkomen dat ze worden beheerd via uitsluitingen bij overgenomen bereiken.
• Gebruik indien nodig alleen beleidsonderzondering en ze vereisen goedkeuring.

Azure-beleid voor analyses op cloudschaal

Door aangepast beleid te implementeren, kunt u meer doen met Azure Policy. Analyses op cloudschaal worden geleverd met een set vooraf gemaakte beleidsregels om u te helpen bij het implementeren van de vereiste kaders in uw omgeving.

Azure Policy moet het kerninstrument zijn van het Azure(Data) Platform-team om de naleving van resources binnen de landingszone voor gegevensbeheer, de gegevenslandingszones en andere landingszones binnen de tenant van de organisatie te waarborgen. Deze platformfunctie moet worden gebruikt om kaders te introduceren en naleving af te dwingen van de algehele goedgekeurde serviceconfiguratie binnen het respectieve bereik van de beheergroep. De platformteams kunnen Azure Policy gebruiken om bijvoorbeeld privé-eindpunten af te dwingen voor opslagaccounts die worden gehost in de gegevensplatformomgeving of TLS 1.2-versleuteling afdwingen tijdens de overdracht voor verbindingen met de opslagaccounts. Wanneer dit beleid correct wordt uitgevoerd, verbiedt het teams van gegevenstoepassingen om services te hosten in een niet-conforme staat binnen hun respectieve tenantbereik.

De verantwoordelijke IT-teams moeten deze platformfunctie gebruiken om hun beveiligings- en nalevingsproblemen op te lossen en open te stellen voor een selfservicebenadering binnen (data) landingszones.

Analyses op cloudschaal bevatten aangepaste beleidsregels met betrekking tot resource- en kostenbeheer, verificatie, versleuteling, netwerkisolatie, logboekregistratie, tolerantie en meer.

• Alle services
• Storage
• Sleutelkluis
• Azure Data Factory
• Azure Synapse Analytics
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Azure SQL Managed Instance
• Azure SQL-database
• Azure Database for MariaDB
• Azure Database for MySQL
• Azure Database for PostgreSQL
• Azure AI Search
• Azure DNS
• Netwerkbeveiligingsgroep
• Batch
• Azure Cache voor Redis
• Containerexemplaren
• Azure Firewall
• HDInsight
• Power BI

Notitie

Het beleid moet alleen worden weergegeven als richtlijnen en kan worden toegepast, afhankelijk van de bedrijfsvereisten. Beleidsregels moeten altijd worden toegepast op het hoogst mogelijke niveau en in de meeste gevallen is dit een beheergroep.

Alle services

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-PublicIp	Netwerkisolatie	Implementatie van openbare IP-adressen beperken.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Netwerkisolatie	Privé-eindpunten weigeren voor resources buiten de Microsoft Entra-tenant en -abonnement.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Netwerkisolatie	Implementeert de configuraties van een Privé-DNS zonegroep op basis van een parameter voor het privé-eindpunt van de service. Wordt gebruikt om de configuratie af te dwingen voor één Privé-DNS Zone.
DiagnosticSettings-{Service}-LogAnalytics	Logboekregistratie	Diagnostische instellingen voor Azure Cosmos DB verzenden naar log analytics-werkruimte.

Storage

Beleidsnaam	Beleidsgebied	Beschrijving
Toevoegopslag-versleuteling	Versleuteling	Versleuteling afdwingen voor opslagaccounts.
Deny-Storage-AllowBlobPublicAccess	Netwerkisolatie	Hiermee wordt geen openbare toegang tot alle blobs of containers in het opslagaccount afgedwongen.
Deny-Storage-ContainerDeleteRetentionPolicy	Flexibiliteit	Bewaarbeleid voor het verwijderen van containers afdwingen dat langer is dan zeven dagen voor het opslagaccount.
Deny-Storage-CorsRules	Netwerkisolatie	Cors-regels voor opslagaccount weigeren.
Deny-Storage-InfrastructureEncryption	Versleuteling	Infrastructuurversleuteling (dubbel) afdwingen voor opslagaccounts.
Deny-Storage-MinimumTlsVersion	Versleuteling	Dwingt minimale TLS-versie 1.2 af voor het opslagaccount.
Deny-Storage-NetworkAclsBypass	Netwerkisolatie	Hiermee wordt netwerkomleiding afgedwongen op geen voor het opslagaccount.
Deny-Storage-NetworkAclsIpRules	Netwerkisolatie	Dwingt ip-regels voor het netwerk af voor het opslagaccount.
Deny-Storage-NetworkAclsVirtualNetworkRules	Netwerkisolatie	Weigert regels voor virtuele netwerken voor opslagaccounts.
Deny-Storage-SKU	Resourcebeheer	Dwingt SKU's voor opslagaccounts af.
Deny-Storage-SupportsHttpsTrafficOnly	Versleuteling	Dwingt https-verkeer af voor opslagaccount.
Deploy-Storage-BlobServices	Resourcebeheer	Standaardinstellingen voor blob-services implementeren voor opslagaccounts.
Deny-Storage-RoutingPreference	Netwerkisolatie
Deny-Storage-Kind	Resourcebeheer
Deny-Storage-NetworkAclsDefaultAction	Netwerkisolatie

Key Vault

Beleidsnaam	Beleidsgebied	Beschrijving
Audit-KeyVault-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor sleutelkluis.
Deny-KeyVault-NetworkAclsBypass	Netwerkisolatie	Hiermee worden regels op netwerkniveau voor de sleutelkluis omzeild.
Deny-KeyVault-NetworkAclsDefaultAction	Netwerkisolatie	Hiermee wordt de standaardactie op netwerk-ACL-niveau afgedwongen voor de sleutelkluis.
Deny-KeyVault-NetworkAclsIpRules	Netwerkisolatie	Dwingt netwerk-IP-regels af voor sleutelkluis.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Netwerkisolatie	Weigert regels voor virtuele netwerken voor de sleutelkluis.
Deny-KeyVault-PurgeProtection	Flexibiliteit	Hiermee wordt beveiliging tegen opschonen voor sleutelkluis afgedwongen.
Deny-KeyVault-SoftDelete	Flexibiliteit	Hiermee wordt voorlopig verwijderen afgedwongen met minimaal aantal retentiedagen voor de sleutelkluis.
Deny-KeyVault-TenantId	Resourcebeheer	Tenant-id afdwingen voor sleutelkluis.

Azure Data Factory

Beleidsnaam	Beleidsgebied	Beschrijving
Append-DataFactory-IdentityType	Verificatie	Hiermee wordt het gebruik van door het systeem toegewezen identiteit voor data factory afgedwongen.
Deny-DataFactory-ApiVersion	Resourcebeheer	De oude API-versie voor data factory V1 wordt geweigerd.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Netwerkisolatie	Hiermee weigert u Integration Runtimes die niet zijn verbonden met het beheerde virtuele netwerk.
Deny-DataFactory-LinkedServicesConnectionStringType	Verificatie	Weigert niet-Key Vault opgeslagen geheimen voor gekoppelde services.
Deny-DataFactory-ManagedPrivateEndpoints	Netwerkisolatie	Externe privé-eindpunten voor gekoppelde services worden geweigerd.
Deny-DataFactory-PublicNetworkAccess	Netwerkisolatie	Openbare toegang tot data factory wordt geweigerd.
Deploy-DataFactory-ManagedVirtualNetwork	Netwerkisolatie	Een beheerd virtueel netwerk implementeren voor data factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Flexibiliteit	Deel zelf-hostende Integration Runtime die wordt gehost in de Data Hub met Data Factory's in de gegevensknooppunten.

Azure Synapse Analytics

Beleidsnaam	Beleidsgebied	Beschrijving
Append-Synapse-LinkedAccessCheckOnTargetResource	Netwerkisolatie	Voer LinkedAccessCheckOnTargetResource uit in de instellingen van het beheerde virtuele netwerk bij het aanmaken van Synapse Workspace.
Append-Synapse-Purview	Netwerkisolatie	Dwing verbinding af tussen het centrale purview-exemplaar en de Synapse-werkruimte.
Append-SynapseSpark-ComputeIsolation	Resourcebeheer	Wanneer een Synapse Spark-pool wordt gemaakt zonder rekenisolatie, wordt deze toegevoegd.
Append-SynapseSpark-DefaultSparkLogFolder	Logboekregistratie	Wanneer een Synapse Spark-pool wordt gemaakt zonder logboekregistratie, wordt deze toegevoegd.
Append-SynapseSpark-SessionLevelPackages	Resourcebeheer	Wanneer een Synapse Spark-pool wordt gemaakt zonder pakketten op sessieniveau, wordt deze toegevoegd.
Audit-Synapse-PrivateEndpointId	Netwerkisolatie	Controleer openbare eindpunten die zijn gemaakt in andere abonnementen voor Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Netwerkisolatie
Deny-Synapse-Firewall	Netwerkisolatie	Stel de firewall van Synapse in.
Deny-Synapse-ManagedVirtualNetwork	Netwerkisolatie	Wanneer een Synapse-werkruimte wordt gemaakt zonder beheerd virtueel netwerk, wordt deze toegevoegd.
Deny-Synapse-PreventDataExfiltratie	Netwerkisolatie	Afgedwongen preventie van gegevensexfiltratie voor door Synapse beheerd virtueel netwerk.
Deny-SynapsePrivateLinkHub	Netwerkisolatie	Weigert Synapse Private Link Hub.
Deny-SynapseSpark-AutoPause	Resourcebeheer	Dwingt automatisch onderbreken af voor Synapse Spark-pools.
Deny-SynapseSpark-AutoScale	Resourcebeheer	Dwingt automatische schaal af voor Synapse Spark-pools.
Deny-SynapseSql-Sku	Resourcebeheer	Weigert bepaalde Synapse SQL-pool-SKU's.
Deploy-SynapseSql-AuditingSettings	Logboekregistratie	Controlelogboeken voor Synapse SQL-pools verzenden naar Log Analytics.
Deploy-SynapseSql-MetadataSynch	Resourcebeheer	Synchronisatie van metagegevens instellen voor Synapse SQL-pools.
Deploy-SynapseSql-SecurityAlertPolicies	Logboekregistratie	Beveiligingswaarschuwingsbeleid voor Synapse SQL-pool implementeren.
Deploy-SynapseSql-TransparentDataEncryption	Versleuteling	Implementeer Transparante gegevensversleuteling van Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment	Logboekregistratie	Evaluaties van beveiligingsproblemen in Synapse SQL-pool implementeren.

Azure Databricks

Beleidsnaam	Beleidsgebied	Beschrijving
Append-Databricks-PublicIp	Netwerkisolatie	Dwingt geen openbare toegang af voor Databricks-werkruimten.
Deny-Databricks-Sku	Resourcebeheer	Weiger niet-premium Databricks SKU.
Deny-Databricks-VirtualNetwork	Netwerkisolatie	Niet-virtuele netwerkimplementatie voor Databricks weigeren.

Andere beleidsregels die worden toegepast in de Databricks-werkruimte via clusterbeleid:

Clusterbeleidsnaam	Beleidsgebied
Spark-versie beperken	Resourcebeheer
Clustergrootte en VM-typen beperken	Resourcebeheer
Kostentags afdwingen	Resourcebeheer
Automatische schaalaanpassing afdwingen	Resourcebeheer
Automatisch onderbreken afdwingen	Resourcebeheer
DBU's per uur beperken	Resourcebeheer
Openbare SSH weigeren	Verificatie
Passthrough voor clusterreferenties ingeschakeld	Verificatie
Procesisolatie inschakelen	Netwerkisolatie
Spark-bewaking afdwingen	Logboekregistratie
Clusterlogboeken afdwingen	Logboekregistratie
Alleen SQL, Python toestaan	Resourcebeheer
Aanvullende installatiescripts weigeren	Resourcebeheer

Azure IoT Hub

Beleidsnaam	Beleidsgebied	Beschrijving
Append-IotHub-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor iot-hub.
Audit-IotHub-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor IoT-hubs.
Deny-IotHub-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor iot-hub.
Deny-IotHub-Sku	Resourcebeheer	Dwingt iot-hub-SKU's af.
Deploy-IotHub-IoTSecuritySolutions	Beveiliging	Implementeer Microsoft Defender for IoT voor IoT Hubs.

Azure Event Hubs

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-EventHub-Ipfilterrules	Netwerkisolatie	Het toevoegen van IP-filterregels voor Azure Event Hubs weigeren.
Deny-EventHub-MaximumThroughputUnits	Netwerkisolatie	Weigert openbare netwerktoegang voor mijn SQL-servers.
Deny-EventHub-NetworkRuleSet	Netwerkisolatie	Dwingt standaardregels voor virtuele netwerken af voor Azure Event Hubs.
Deny-EventHub-SKU	Resourcebeheer	Bepaalde AKU's voor Azure Event Hubs worden geweigerd.
Deny-EventHub-Virtualnetworkrules	Netwerkisolatie	Het toevoegen van regels voor virtuele netwerken voor Azure Event Hubs weigeren.

Azure Stream Analytics

Beleidsnaam	Beleidsgebied	Beschrijving
Append-StreamAnalytics-IdentityType	Verificatie	Hiermee wordt het gebruik van door het systeem toegewezen identiteit voor Stream Analytics afgedwongen.
Deny-StreamAnalytics-ClusterId	Resourcebeheer	Hiermee wordt het gebruik van een Stream Analytics-cluster afgedwongen.
Deny-StreamAnalytics-StreamingUnits	Resourcebeheer	Hiermee wordt het aantal stream analytics-streaming-eenheden afgedwongen.

Azure Data Explorer

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-DataExplorer-DiskEncryption	Versleuteling	Hiermee wordt het gebruik van schijfversleuteling voor Data Explorer afgedwongen.
Deny-DataExplorer-DoubleEncryption	Versleuteling	Hiermee wordt het gebruik van dubbele versleuteling voor Data Explorer afgedwongen.
Deny-DataExplorer-Identity	Verificatie	Hiermee wordt het gebruik van door het systeem of de gebruiker toegewezen identiteit afgedwongen voor Data Explorer.
Deny-DataExplorer-Sku	Resourcebeheer	Dwingt data explorer-SKU's af.
Deny-DataExplorer-TrustedExternalTenants	Netwerkisolatie	Externe tenants voor Data Explorer worden geweigerd.
Deny-DataExplorer-VirtualNetworkConfiguration	Netwerkisolatie	Hiermee wordt opname van virtuele netwerken afgedwongen voor Data Explorer.

Azure Cosmos DB

Beleidsnaam	Beleidsgebied	Beschrijving
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Verificatie	Schrijftoegang voor sleutelgebaseerde metagegevens weigeren voor Azure Cosmos DB-accounts.
Append-Cosmos-PublicNetworkAccess	Netwerkisolatie	Dwingt geen openbare netwerktoegang af voor Azure Cosmos DB-accounts.
Audit-Cosmos-PrivateEndpointId	Netwerkisolatie	Controleer openbare eindpunten die zijn gemaakt in andere abonnementen voor Azure Cosmos DB.
Deny-Cosmos-Cors	Netwerkisolatie	Cors-regels voor Azure Cosmos DB-accounts worden geweigerd.
Deny-Cosmos-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor Azure Cosmos DB-accounts.

Azure Container Registry

Beleidsnaam	Beleidsgebied	Beschrijving
Audit-ContainerRegistry-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor cognitieve services.
Deny-ContainerRegistry-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor containerregisters.
Deny-ContainerRegistry-Sku	Resourcebeheer	Dwingt premium-SKU af voor containerregisters.

Azure Cognitive Services

Beleidsnaam	Beleidsgebied	Beschrijving
Append-CognitiveServices-IdentityType	Verificatie	Hiermee wordt het gebruik van door het systeem toegewezen identiteit voor cognitieve services afgedwongen.
Audit-CognitiveServices-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor cognitieve services.
Deny-CognitiveServices-Encryption	Versleuteling	Hiermee wordt het gebruik van versleuteling voor cognitieve services afgedwongen.
Deny-CognitiveServices-PublicNetworkAccess	Netwerkisolatie	Dwingt geen openbare netwerktoegang af voor cognitieve services.
Deny-CognitiveServices-Sku	Resourcebeheer	Cognitive Services gratis SKU weigeren.
Deny-CognitiveServices-UserOwnedStorage	Netwerkisolatie	Dwingt opslag in eigendom van gebruikers af voor cognitieve services.

Azure Machine Learning

Beleidsnaam	Beleidsgebied	Beschrijving
Append-MachineLearning-PublicAccessWhenBehindVnet	Netwerkisolatie	Openbare toegang weigeren achter een virtueel netwerk voor machine learning-werkruimten.
Audit-MachineLearning-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor machine learning.
Deny-MachineLearning-HbiWorkspace	Netwerkisolatie	Dwing machine learning-werkruimten met een hoge bedrijfsimpact af in de hele omgeving.
Deny-MachineLearningAks	Resourcebeheer	Het maken van AKS weigeren (niet koppelen) in machine learning.
Deny-MachineLearningCompute-SubnetId	Netwerkisolatie	Openbare IP-adressen voor machine learning-rekenclusters en -exemplaren weigeren.
Deny-MachineLearningCompute-VmSize	Resourcebeheer	Beperk toegestane VM-grootten voor machine learning-rekenclusters en -exemplaren.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Netwerkisolatie	Openbare toegang tot clusters weigeren via SSH.
Deny-MachineLearningComputeCluster-Scale	Resourcebeheer	Schaalinstellingen afdwingen voor machine learning-rekenclusters.

Azure SQL Managed Instance

Beleidsnaam	Beleidsgebied	Beschrijving
Append-SqlManagedInstance-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor SQL Managed Instance-servers.
Deny-SqlManagedInstance-PublicDataEndpoint	Netwerkisolatie	Weigert het openbare gegevenseindpunt voor SQL Managed Instances.
Deny-SqlManagedInstance-Sku	Resourcebeheer
Deny-SqlManagedInstance-SubnetId	Netwerkisolatie	Dwingt implementaties af naar subnetten van SQL Managed Instances.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Verificatie	Dwingt Microsoft Entra-verificatie af voor SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Logboekregistratie	Beveiligingswaarschuwingsbeleid voor SQL Managed Instance implementeren.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Logboekregistratie	Evaluaties van beveiligingsproblemen in SQL Managed Instance implementeren.

Azure SQL-database

Beleidsnaam	Beleidsgebied	Beschrijving
Append-Sql-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor SQL-servers.
Audit-Sql-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor Azure SQL.
Deny-Sql-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor SQL-servers.
Deny-Sql-StorageAccountType	Flexibiliteit	Hiermee wordt geografisch redundante databaseback-up afgedwongen.
Deploy-Sql-AuditingSettings	Logboekregistratie	SQL-controle-instellingen implementeren.
Deploy-Sql-AzureAdOnlyAuthentications	Verificatie	Dwingt Microsoft Entra-verificatie af voor SQL Server.
Deploy-Sql-SecurityAlertPolicies	Logboekregistratie	Beveiligingswaarschuwingsbeleid voor SQL implementeren.
Deploy-Sql-TransparentDataEncryption	Versleuteling	Implementeer transparante SQL-gegevensversleuteling.
Deploy-Sql-VulnerabilityAssessment	Logboekregistratie	Evaluaties van SQL-beveiligingsproblemen implementeren.
Deploy-SqlDw-AuditingSettings	Logboekregistratie	Sql DW-controle-instellingen implementeren.

Azure Database for MariaDB

Beleidsnaam	Beleidsgebied	Beschrijving
Append-MariaDb-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor MariaDB-servers.
Audit-MariaDb-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor MariaDB.
Deny-MariaDb-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor mijn MariaDB-servers.
Deny-MariaDb-StorageProfile	Flexibiliteit	Hiermee wordt geografisch redundante databaseback-up afgedwongen met minimale bewaartijd in dagen.
Deploy-MariaDb-SecurityAlertPolicies	Logboekregistratie	Beveiligingswaarschuwingsbeleid voor SQL implementeren voor MariaDB

Azure Database for MySQL

Beleidsnaam	Beleidsgebied	Beschrijving
Append-MySQL-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor MySQL-servers.
Audit-MySql-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor MySQL.
Deny-MySQL-InfrastructureEncryption	Versleuteling	Hiermee wordt infrastructuurversleuteling afgedwongen voor MySQL-servers.
Deny-MySQL-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor MySQL-servers.
Deny-MySql-StorageProfile	Flexibiliteit	Hiermee wordt geografisch redundante databaseback-up afgedwongen met minimale bewaartijd in dagen.
Deploy-MySql-SecurityAlertPolicies	Logboekregistratie	Implementeer beveiligingswaarschuwingsbeleid voor SQL voor MySQL.

Azure Database for PostgreSQL

Beleidsnaam	Beleidsgebied	Beschrijving
Append-PostgreSQL-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor PostgreSQL-servers.
Audit-PostgreSql-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Versleuteling	Hiermee wordt infrastructuurversleuteling afgedwongen voor PostgreSQL-servers.
Deny-PostgreSQL-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor PostgreSQL-servers.
Deny-PostgreSql-StorageProfile	Flexibiliteit	Hiermee wordt geografisch redundante databaseback-up afgedwongen met minimale bewaartijd in dagen.
Deploy-PostgreSql-SecurityAlertPolicies	Logboekregistratie	Implementeer beveiligingswaarschuwingsbeleid voor SQL voor PostgreSQL.

Azure AI Search

Beleidsnaam	Beleidsgebied	Beschrijving
Append-Search-IdentityType	Verificatie	Hiermee wordt het gebruik van door het systeem toegewezen identiteit voor Azure AI Search afgedwongen.
Audit-Search-PrivateEndpointId	Netwerkisolatie	Openbare eindpunten controleren die zijn gemaakt in andere abonnementen voor Azure AI Search.
Deny-Search-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor Azure AI Search.
Deny-Search-Sku	Resourcebeheer	Dwingt Azure AI Search-SKU's af.

Azure DNS

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-PrivateDnsZones	Resourcebeheer	Beperk de implementatie van privé-DNS-zones om verspreiding te voorkomen.

Netwerkbeveiligingsgroep

Beleidsnaam	Beleidsgebied	Beschrijving
Deploy-Nsg-FlowLogs	Logboekregistratie	NSG-stroomlogboeken en verkeersanalyse implementeren.

Batch

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-Batch-InboundNatPools	Netwerkisolatie	Weigert binnenkomende NAT-pools voor VM-pools voor batchaccounts.
Deny-Batch-NetworkConfiguration	Netwerkisolatie	Hiermee worden openbare IP-adressen voor VM-pools voor batchaccounts geweigerd.
Deny-Batch-PublicNetworkAccess	Netwerkisolatie	Weigert openbare netwerktoegang voor batchaccounts.
Deny-Batch-Scale	Resourcebeheer	Bepaalde schaalconfiguraties voor VM-pools voor batchaccounts worden geweigerd.
Deny-Batch-VmSize	Resourcebeheer	Weigert bepaalde VM-grootten voor BATCH-account-VM-pools.

Azure Cache voor Redis

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-Cache-Enterprise	Resourcebeheer	Redis Cache Enterprise wordt geweigerd.
Deny-Cache-FirewallRules	Netwerkisolatie	Hiermee worden firewallregels voor Redis Cache geweigerd.
Deny-Cache-MinimumTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor Redis Cache.
Deny-Cache-NonSslPort	Netwerkisolatie	Hiermee wordt het uitschakelen van de niet-SSL-poort voor Redis Cache afgedwongen.
Deny-Cache-PublicNetworkAccess	Netwerkisolatie	Hiermee wordt geen openbare netwerktoegang voor Redis Cache afgedwongen.
Deny-Cache-Sku	Resourcebeheer	Dwingt bepaalde SKU's voor Redis Cache af.
Deny-Cache-VnetInjection	Netwerkisolatie	Hiermee wordt het gebruik van privé-eindpunten afgedwongen en wordt de injectie van virtuele netwerken voor Redis Cache geweigerd.

Containerinstanties

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-ContainerInstance-PublicIpAddress	Netwerkisolatie	Weigert openbare containerinstanties die zijn gemaakt op basis van Azure Machine Learning.

Azure Firewall

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-Firewall	Resourcebeheer	Beperk de implementatie van Azure Firewall om verspreiding te voorkomen.

HDInsight

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-HdInsight-EncryptionAtHost	Versleuteling	Versleuteling afdwingen op host voor HDInsight-clusters.
Deny-HdInsight-EncryptionInTransit	Versleuteling	Hiermee wordt versleuteling afgedwongen voor HDInsight-clusters.
Deny-HdInsight-MinimalTlsVersion	Versleuteling	Dwingt minimale TLS-versie af voor HDInsight-clusters.
Deny-HdInsight-NetworkProperties	Netwerkisolatie	Hiermee wordt het inschakelen van private link afgedwongen voor HDInsight-clusters.
Deny-HdInsight-Sku		Dwingt bepaalde SKU's af voor HDInsight-clusters.
Deny-HdInsight-VirtualNetworkProfile	Netwerkisolatie	Dwingt injectie van virtuele netwerken af voor HDInsight-clusters.

Power BI

Beleidsnaam	Beleidsgebied	Beschrijving
Deny-PrivateLinkServicesForPowerBI	Resourcebeheer	Beperk de implementatie van private link-services voor Power BI om verspreiding te voorkomen.

Volgende stappen

• Vereisten voor het beheren van gegevens in een moderne onderneming
• Onderdelen die nodig zijn voor gegevensbeheer