Ingebouwde Azure Policy-definities voor Azure Cognitive Search
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Cognitive Search. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in Azure Portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Cognitive Search
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure AI Search Service moet zone-redundant zijn | Azure AI Search Service kan worden geconfigureerd als zone-redundant of niet. Beschikbaarheidszones worden gebruikt wanneer u twee of meer replica's toevoegt aan uw zoekservice. Elke replica wordt in een andere beschikbaarheidszone binnen de regio geplaatst. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure AI Services-resources moeten Gebruikmaken van Azure Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform vermindert risico's voor gegevenslekken door de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure te verwerken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AzurePrivateLink/Overview | Controle, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Cognitive Search-service s moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Cognitive Search-service s uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/rbac. Houd er rekening mee dat hoewel de parameter voor lokale verificatie uitschakelen nog steeds in preview is, het weigeringseffect voor dit beleid kan leiden tot beperkte functionaliteit van de Azure Cognitive Search-portal, omdat sommige functies van de portal de GA-API gebruiken die de parameter niet ondersteunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Versleuteling-at-rest inschakelen met behulp van een door de klant beheerde sleutel op uw Azure Cognitive Search-service biedt extra controle over de sleutel die wordt gebruikt voor het versleutelen van data-at-rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten voor het beheren van gegevensversleutelingssleutels met behulp van een sleutelkluis. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure AI Services-resources configureren om toegang tot lokale sleutels uit te schakelen (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Cognitive Search-service uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/rbac. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Cognitive Search-service uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cognitive Search-service, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen implementeren voor Zoekservices naar Event Hub | Hiermee worden de diagnostische instellingen voor Zoekservices geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Zoekservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Zoekservices naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Zoekservices geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Zoekservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische logboeken in Azure AI-services-resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services-resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Search-service s (microsoft.search/searchservices) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub te routeren voor Search-service s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Search-service s (microsoft.search/searchservices) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Log Analytics-werkruimte te routeren voor Search-service s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Search-service s (microsoft.search/searchservices) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een opslagaccount te routeren voor Search-service s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.