Udostępnij za pośrednictwem


Zasady w analizie w skali chmury

Przed rozważeniem wdrożenia ważne jest, aby organizacja wprowadziła zabezpieczenia. Za pomocą zasad platformy Azure można zaimplementować ład na potrzeby spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.

Tło

Podstawową zasadą analizy w skali chmury jest ułatwienie tworzenia, odczytywania, aktualizowania i usuwania zasobów zgodnie z potrzebami. Jednak przy jednoczesnym daniu nieograniczonego dostępu do zasobów deweloperom może zwiększyć elastyczność, może to również prowadzić do niezamierzonych konsekwencji kosztów. Rozwiązaniem tego problemu jest zarządzanie dostępem do zasobów. Ten ład to ciągły proces zarządzania, monitorowania i inspekcji korzystania z zasobów platformy Azure w celu spełnienia celów i wymagań organizacji.

Strefa docelowa Rozpoczynanie pracy z platformą Cloud Adoption Framework w skali przedsiębiorstwa korzysta już z tej koncepcji. Analiza w skali chmury dodaje niestandardowe zasady platformy Azure, aby opierać się na tych standardach. Standardy są następnie stosowane do stref docelowych zarządzania danymi i stref docelowych danych.

Diagram that shows how Azure governance works.Diagram przedstawiający sposób działania ładu platformy Azure.

Usługa Azure Policy jest ważna podczas zapewniania bezpieczeństwa i zgodności w ramach analizy w skali chmury. Pomaga wymuszać standardy i oceniać zgodność na dużą skalę. Zasady mogą służyć do oceniania zasobów na platformie Azure i porównywania ich z żądanymi właściwościami. Kilka zasad lub reguł biznesowych można zgrupować w inicjatywę. Poszczególne zasady lub inicjatywy można przypisać do różnych zakresów na platformie Azure. Te zakresy mogą być grupami zarządzania, subskrypcjami, grupami zasobów lub poszczególnymi zasobami. Przypisanie dotyczy wszystkich zasobów w zakresie, a podzakresy można wykluczyć z wyjątkami w razie potrzeby.

Uwagi dotyczące projektowania

Zasady platformy Azure w analizie w skali chmury zostały opracowane z uwzględnieniem następujących zagadnień projektowych:

  • Zasady platformy Azure umożliwiają implementowanie ładu i wymuszanie reguł spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.
  • Użyj dostępnych wstępnie utworzonych zasad, aby zaoszczędzić czas.
  • Przypisz zasady do najwyższego poziomu możliwego w drzewie grup zarządzania, aby uprościć zarządzanie zasadami.
  • Ogranicz przypisania usługi Azure Policy w zakresie głównej grupy zarządzania, aby uniknąć zarządzania za pomocą wykluczeń w dziedziczonych zakresach.
  • W razie potrzeby należy używać tylko wyjątków zasad i wymagają zatwierdzenia.

Zasady platformy Azure na potrzeby analizy w skali chmury

Implementowanie zasad niestandardowych umożliwia wykonywanie większej liczby czynności za pomocą usługi Azure Policy. Analiza w skali chmury zawiera zestaw wstępnie utworzonych zasad, które ułatwiają implementowanie wszelkich wymaganych środków zabezpieczających w danym środowisku.

Usługa Azure Policy powinna być podstawowym instrumentem zespołu platformy Azure (Data) w celu zapewnienia zgodności zasobów w strefie docelowej zarządzania danymi, strefach docelowych danych i innych strefach docelowych w dzierżawie organizacji. Ta funkcja platformy powinna służyć do wprowadzania barier zabezpieczających i wymuszania przestrzegania ogólnej zatwierdzonej konfiguracji usługi w odpowiednim zakresie grupy zarządzania. Zespoły platformy mogą używać usługi Azure Policy do wymuszania prywatnych punktów końcowych dla wszystkich kont magazynu hostowanych w środowisku platformy danych lub wymuszania szyfrowania TLS 1.2 podczas przesyłania wszystkich połączeń z kontami magazynu. Gdy jest poprawnie wdrożona, zasady te zabraniają zespołom aplikacji danych hostowania usług w stanie niespełniającym zgodności w odpowiednim zakresie dzierżawy.

Odpowiedzialne zespoły IT powinny korzystać z tej funkcji platformy, aby rozwiązać problemy związane z zabezpieczeniami i zgodnością oraz otworzyć podejście samoobsługowe w strefach docelowych (danych).

Analiza w skali chmury zawiera niestandardowe zasady związane z zarządzaniem zasobami i kosztami, uwierzytelnianiem, szyfrowaniem, izolacją sieci, rejestrowaniem, odpornością i nie tylko.

Uwaga

Zasady powinny być wyświetlane tylko jako wskazówki i można je stosować w zależności od wymagań biznesowych. Zasady powinny być zawsze stosowane do najwyższego poziomu, a w większości przypadków będzie to grupa zarządzania.

Wszystkie usługi

Nazwa zasady Obszar zasad opis
Deny-PublicIp Izolacja sieci Ogranicz wdrażanie publicznych adresów IP.
Deny-PrivateEndpoint-PrivateLinkServiceConnections Izolacja sieci Odmów prywatnych punktów końcowych zasobom spoza dzierżawy i subskrypcji firmy Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint Izolacja sieci Wdraża konfiguracje grupy strefy Prywatna strefa DNS według parametru prywatnego punktu końcowego usługi. Służy do wymuszania konfiguracji do pojedynczej strefy Prywatna strefa DNS.
DiagnosticSettings-{Service}-LogAnalytics Rejestrowanie Wysyłanie ustawień diagnostycznych dla usługi Azure Cosmos DB do obszaru roboczego usługi Log Analytics.

Storage

Nazwa zasady Obszar zasad opis
Dołączanie szyfrowania magazynu Szyfrowanie Wymuszanie szyfrowania dla kont magazynu.
Deny-Storage-AllowBlobPublicAccess Izolacja sieci Wymusza brak publicznego dostępu do wszystkich obiektów blob ani kontenerów na koncie magazynu.
Deny-Storage-ContainerDeleteRetentionPolicy Odporność Wymuś zasady przechowywania usuwania kontenera większe niż siedem dni dla konta magazynu.
Deny-Storage-CorsRules Izolacja sieci Odmów reguł cors dla konta magazynu.
Deny-Storage-InfrastructureEncryption Szyfrowanie Wymuszanie szyfrowania infrastruktury (podwójnej) dla kont magazynu.
Deny-Storage-MinimumTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS 1.2 dla konta magazynu.
Deny-Storage-NetworkAclsBypass Izolacja sieci Wymusza obejście sieci do żadnej dla konta magazynu.
Deny-Storage-NetworkAclsIpRules Izolacja sieci Wymusza reguły adresów IP sieci dla konta magazynu.
Deny-Storage-NetworkAclsVirtualNetworkRules Izolacja sieci Odrzuca reguły sieci wirtualnej dla konta magazynu.
Deny-Storage-Sku Zarządzanie zasobami Wymusza jednostki SKU konta magazynu.
Deny-Storage-SupportsHttpsTrafficOnly Szyfrowanie Wymusza ruch https dla konta magazynu.
Deploy-Storage-BlobServices Zarządzanie zasobami Wdróż domyślne ustawienia usług blob services dla konta magazynu.
Deny-Storage-RoutingPreference Izolacja sieci
Rodzaj odmowy magazynu Zarządzanie zasobami
Deny-Storage-NetworkAclsDefaultAction Izolacja sieci

Key Vault

Nazwa zasady Obszar zasad opis
Audit-KeyVault-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach magazynu kluczy.
Deny-KeyVault-NetworkAclsBypass Izolacja sieci Wymusza obejście reguł poziomu sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsDefaultAction Izolacja sieci Wymusza domyślną akcję poziomu listy ACL sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsIpRules Izolacja sieci Wymusza reguły adresów IP sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsVirtualNetworkRules Izolacja sieci Odrzuca reguły sieci wirtualnej dla magazynu kluczy.
Deny-KeyVault-PurgeProtection Odporność Wymusza ochronę przed przeczyszczeniem magazynu kluczy.
Deny-KeyVault-SoftDelete Odporność Wymusza usuwanie nietrwałe z minimalną liczbą dni przechowywania magazynu kluczy.
Deny-KeyVault-TenantId Zarządzanie zasobami Wymuszanie identyfikatora dzierżawy dla magazynu kluczy.

Azure Data Factory

Nazwa zasady Obszar zasad opis
Append-DataFactory-IdentityType Uwierzytelnianie Wymusza użycie tożsamości przypisanej przez system dla fabryki danych.
Deny-DataFactory-ApiVersion Zarządzanie zasobami Nie zezwala na starą wersję interfejsu API dla fabryki danych w wersji 1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork Izolacja sieci Odrzuca środowiska Integration Runtime, które nie są połączone z zarządzaną siecią wirtualną.
Deny-DataFactory-LinkedServicesConnectionStringType Uwierzytelnianie Nie zezwala na przechowywanie wpisów tajnych usługi Key Vault dla połączonych usług.
Deny-DataFactory-ManagedPrivateEndpoints Izolacja sieci Odrzuca zewnętrzne prywatne punkty końcowe dla połączonych usług.
Deny-DataFactory-PublicNetworkAccess Izolacja sieci Odmowa publicznego dostępu do fabryki danych.
Deploy-DataFactory-ManagedVirtualNetwork Izolacja sieci Wdrażanie zarządzanej sieci wirtualnej dla fabryki danych.
Deploy-SelfHostedIntegrationRuntime-sharing Odporność Udostępnianie własnego środowiska Integration Runtime hostowanego w centrum danych za pomocą fabryk danych w węzłach danych.

Azure Synapse Analytics

Nazwa zasady Obszar zasad opis
Append-Synapse-LinkedAccessCheckOnTargetResource Izolacja sieci Wymuszaj LinkedAccessCheckOnTargetResource w ustawieniach zarządzanej sieci wirtualnej podczas tworzenia obszaru roboczego usługi Synapse.
Append-Synapse-Purview Izolacja sieci Wymuszanie połączenia między centralnym wystąpieniem usługi Purview i obszarem roboczym usługi Synapse.
Append-SynapseSpark-ComputeIsolation Zarządzanie zasobami Podczas tworzenia puli Synapse Spark bez izolacji obliczeniowej, zostanie ona dodana.
Append-SynapseSpark-DefaultSparkLogFolder Rejestrowanie Po utworzeniu puli platformy Spark usługi Synapse bez rejestrowania zostanie ona dodana.
Append-SynapseSpark-SessionLevelPackages Zarządzanie zasobami Po utworzeniu puli Synapse Spark bez pakietów na poziomie sesji, wtedy zostanie ona dodana.
Audit-Synapse-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking Izolacja sieci
Deny-Synapse-Firewall Izolacja sieci Skonfiguruj zaporę usługi Synapse.
Deny-Synapse-ManagedVirtualNetwork Izolacja sieci Gdy obszar roboczy Synapse jest tworzony bez zarządzanej sieci wirtualnej, system ją dodaje.
Deny-Synapse-PreventDataExfiltration Izolacja sieci Wymuszona ochrona przed eksfiltracją danych dla zarządzanej sieci wirtualnej usługi Synapse.
Deny-SynapsePrivateLinkHub Izolacja sieci Odmawia usługi Synapse Private Link Hub.
Deny-SynapseSpark-AutoPause Zarządzanie zasobami Wymusza automatyczne wstrzymywanie dla pul platformy Spark usługi Synapse.
Deny-SynapseSpark-AutoScale Zarządzanie zasobami Wymusza automatyczne skalowanie dla pul platformy Spark usługi Synapse.
Deny-SynapseSql-Sku Zarządzanie zasobami Odrzuca niektóre jednostki SKU puli SQL usługi Synapse.
Deploy-SynapseSql-AuditingSettings Rejestrowanie Wysyłanie dzienników inspekcji dla pul SQL usługi Synapse do analizy dzienników.
Deploy-SynapseSql-MetadataSynch Zarządzanie zasobami Konfigurowanie synchronizacji metadanych dla pul SQL usługi Synapse.
Deploy-SynapseSql-SecurityAlertPolicies Rejestrowanie Wdróż zasady alertów zabezpieczeń puli SQL usługi Synapse.
Deploy-SynapseSql-TransparentDataEncryption Szyfrowanie Wdrażanie funkcji Transparent Data Encryption w usłudze Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment Rejestrowanie Wdrażanie ocen luk w zabezpieczeniach puli SQL usługi Synapse.

Azure Databricks

Nazwa zasady Obszar zasad opis
Append-Databricks-PublicIp Izolacja sieci Wymusza brak publicznego dostępu do obszarów roboczych usługi Databricks.
Deny-Databricks-Sku Zarządzanie zasobami Odmów SKU usługi Databricks innych niż premium.
Deny-Databricks-VirtualNetwork Izolacja sieci Odmów niewirtualnego wdrożenia sieci dla usługi Databricks.

Inne zasady stosowane w obszarze roboczym usługi Databricks za pomocą zasad klastra:

Nazwa zasad klastra Obszar zasad
Ograniczanie wersji platformy Spark Zarządzanie zasobami
Ograniczanie rozmiaru klastra i typów maszyn wirtualnych Zarządzanie zasobami
Wymuszanie tagowania kosztów Zarządzanie zasobami
Wymuszanie autoskalowania Zarządzanie zasobami
Wymuszanie automatycznego wstrzymywania Zarządzanie zasobami
Ograniczanie jednostek DBU na godzinę Zarządzanie zasobami
Odmowa publicznego protokołu SSH Uwierzytelnianie
Włączone przekazywanie poświadczeń klastra Uwierzytelnianie
Włączanie izolacji procesów Izolacja sieciowa
Wymuszanie monitorowania platformy Spark Rejestrowanie
Wymuszanie dzienników klastra Rejestrowanie
Zezwalaj tylko na język SQL, Python Zarządzanie zasobami
Odmowa dodatkowych skryptów konfiguracji Zarządzanie zasobami

Azure IoT Hub

Nazwa zasady Obszar zasad opis
Append-IotHub-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla centrum iot.
Audit-IotHub-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach dla centrów iot.
Deny-IotHub-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla centrum iot.
Deny-IotHub-Sku Zarządzanie zasobami Wymusza jednostki SKU centrum iot.
Deploy-IotHub-IoTSecuritySolutions Zabezpieczenia Wdrażanie usługi Microsoft Defender dla IoT dla usługi IoT Hubs.

Azure Event Hubs

Nazwa zasady Obszar zasad opis
Deny-EventHub-Ipfilterrules Izolacja sieci Odmów dodawania reguł filtrowania adresów IP dla usługi Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits Izolacja sieci Odmowa dostępu do sieci publicznej dla moich serwerów SQL.
Deny-EventHub-NetworkRuleSet Izolacja sieci Wymusza domyślne reguły sieci wirtualnej dla usługi Azure Event Hubs.
Deny-EventHub-Sku Zarządzanie zasobami Odrzuca niektóre jednostki AKU dla usługi Azure Event Hubs.
Deny-EventHub-Virtualnetworkrules Izolacja sieci Odmów dodawania reguł sieci wirtualnej dla usługi Azure Event Hubs.

Azure Stream Analytics

Nazwa zasady Obszar zasad opis
Append-StreamAnalytics-IdentityType Uwierzytelnianie Wymusza użycie tożsamości przypisanej przez system na potrzeby usługi Stream Analytics.
Deny-StreamAnalytics-ClusterId Zarządzanie zasobami Wymusza użycie klastra usługi Stream Analytics.
Deny-StreamAnalytics-StreamingUnits Zarządzanie zasobami Wymusza liczbę jednostek przesyłania strumieniowego usługi Stream Analytics.

Azure Data Explorer

Nazwa zasady Obszar zasad opis
Deny-DataExplorer-DiskEncryption Szyfrowanie Wymusza użycie szyfrowania dysków dla eksploratora danych.
Deny-DataExplorer-DoubleEncryption Szyfrowanie Wymusza użycie podwójnego szyfrowania w eksploratorze danych.
Deny-DataExplorer-Identity Uwierzytelnianie Wymusza użycie tożsamości przypisanej przez system lub użytkownika dla eksploratora danych.
Deny-DataExplorer-Sku Zarządzanie zasobami Wymusza jednostki SKU eksploratora danych.
Deny-DataExplorer-TrustedExternalTenants Izolacja sieci Odrzuca zewnętrzne dzierżawy dla eksploratora danych.
Deny-DataExplorer-VirtualNetworkConfiguration Izolacja sieci Wymusza pozyskiwanie sieci wirtualnej dla eksploratora danych.

Azure Cosmos DB

Nazwa zasady Obszar zasad opis
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess Uwierzytelnianie Odmowa dostępu do zapisu metadanych opartych na kluczach dla kont usługi Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess Izolacja sieci Wymusza brak dostępu do sieci publicznej dla kont usługi Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure Cosmos DB.
Deny-Cosmos-Cors Izolacja sieci Odrzuca reguły CORS dla kont usługi Azure Cosmos DB".
Deny-Cosmos-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla kont usługi Azure Cosmos DB.

Azure Container Registry

Nazwa zasady Obszar zasad opis
Audit-ContainerRegistry-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usług Cognitive Services.
Deny-ContainerRegistry-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla rejestru kontenerów.
Deny-ContainerRegistry-Sku Zarządzanie zasobami Wymusza jednostkę SKU w warstwie Premium dla rejestru kontenerów.

Azure Cognitive Services

Nazwa zasady Obszar zasad opis
Append-CognitiveServices-IdentityType Uwierzytelnianie Wymusza użycie tożsamości przypisanej przez system dla usług Cognitive Services.
Audit-CognitiveServices-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usług Cognitive Services.
Deny-CognitiveServices-Encryption Szyfrowanie Wymusza użycie szyfrowania dla usług Cognitive Services.
Deny-CognitiveServices-PublicNetworkAccess Izolacja sieci Wymusza brak dostępu do sieci publicznej dla usług Cognitive Services.
Deny-CognitiveServices-Sku Zarządzanie zasobami Odmowa bezpłatnej jednostki SKU usług Cognitive Services.
Deny-CognitiveServices-UserOwnedStorage Izolacja sieci Wymusza magazyn należący do użytkownika dla usług Cognitive Services.

Azure Machine Learning

Nazwa zasady Obszar zasad opis
Append-MachineLearning-PublicAccessWhenBehindVnet Izolacja sieci Zablokowanie publicznego dostępu przez sieć wirtualną w obszarach roboczych uczenia maszynowego.
Audit-MachineLearning-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach na potrzeby uczenia maszynowego.
Deny-MachineLearning-HbiWorkspace Izolacja sieci Wymuszanie obszarów roboczych uczenia maszynowego o dużym wpływie na działalność biznesową w całym środowisku.
Deny-MachineLearningAks Zarządzanie zasobami Odmów tworzenia usługi AKS (nie dołączania) w uczeniu maszynowym.
Deny-MachineLearningCompute-SubnetId Izolacja sieci Odmów publicznego adresu IP dla klastrów obliczeniowych i wystąpień uczenia maszynowego.
Deny-MachineLearningCompute-VmSize Zarządzanie zasobami Ogranicz dozwolone rozmiary maszyn wirtualnych dla klastrów obliczeniowych i wystąpień uczenia maszynowego.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess Izolacja sieci Odmowa publicznego dostępu do klastrów za pośrednictwem protokołu SSH.
Deny-MachineLearningComputeCluster-Scale Zarządzanie zasobami Wymuszanie ustawień skalowania dla klastrów obliczeniowych uczenia maszynowego.

Wystąpienie zarządzane Azure SQL

Nazwa zasady Obszar zasad opis
Append-SqlManagedInstance-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla serwerów usługi SQL Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint Izolacja sieci Odmawia publicznego punktu końcowego danych dla usługi SQL Managed Instances.
Deny-SqlManagedInstance-Sku Zarządzanie zasobami
Deny-SqlManagedInstance-SubnetId Izolacja sieci Wymusza wdrożenia w podsieciach usługi SQL Managed Instances.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications Uwierzytelnianie Wymusza uwierzytelnianie tylko firmy Microsoft dla usługi SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies Rejestrowanie Wdrażanie zasad alertów zabezpieczeń usługi SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment Rejestrowanie Wdrażanie ocen luk w zabezpieczeniach usługi SQL Managed Instance.

Azure SQL Database

Nazwa zasady Obszar zasad opis
Append-Sql-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla serwerów SQL.
Audit-Sql-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure SQL.
Deny-Sql-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla serwerów SQL.
Deny-Sql-StorageAccountType Odporność Wymusza geograficznie nadmiarową kopię zapasową bazy danych.
Deploy-Sql-AuditingSettings Rejestrowanie Wdrażanie ustawień inspekcji SQL.
Deploy-Sql-AzureAdOnlyAuthentications Uwierzytelnianie Wymusza uwierzytelnianie tylko firmy Microsoft dla programu SQL Server.
Deploy-Sql-SecurityAlertPolicies Rejestrowanie Wdrażanie zasad alertów zabezpieczeń SQL.
Deploy-Sql-TransparentDataEncryption Szyfrowanie Wdrażanie przezroczystego szyfrowania danych SQL.
Deploy-Sql-VulnerabilityAssessment Rejestrowanie Wdrażanie ocen luk w zabezpieczeniach SQL.
Deploy-SqlDw-AuditingSettings Rejestrowanie Wdrażanie ustawień inspekcji usługi SQL DW.

Azure Database for MariaDB

Nazwa zasady Obszar zasad opis
Append-MariaDb-minimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla serwerów MariaDB.
Audit-MariaDb-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi MariaDB.
Deny-MariaDb-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla serwerów my MariaDB.
Deny-MariaDb-StorageProfile Odporność Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-MariaDb-SecurityAlertPolicies Rejestrowanie Wdrażanie zasad alertów zabezpieczeń SQL dla bazy danych MariaDB

Azure Database for MySQL

Nazwa zasady Obszar zasad opis
Append-MySQL-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla serwerów MySQL.
Audit-MySql-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach programu MySQL.
Deny-MySQL-InfrastructureEncryption Szyfrowanie Wymusza szyfrowanie infrastruktury dla serwerów MySQL.
Deny-MySQL-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla serwerów MySQL.
Deny-MySql-StorageProfile Odporność Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-MySql-SecurityAlertPolicies Rejestrowanie Wdrażanie zasad alertów zabezpieczeń SQL dla programu MySQL.

Azure Database for PostgreSQL

Nazwa zasady Obszar zasad opis
Append-PostgreSQL-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla serwerów PostgreSQL.
Audit-PostgreSql-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach dla bazy danych PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption Szyfrowanie Wymusza szyfrowanie infrastruktury dla serwerów PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla serwerów PostgreSQL.
Deny-PostgreSql-StorageProfile Odporność Wymusza geograficznie nadmiarową kopię zapasową bazy danych z minimalnym czasem przechowywania w dniach.
Deploy-PostgreSql-SecurityAlertPolicies Rejestrowanie Wdrażanie zasad alertów zabezpieczeń SQL dla bazy danych PostgreSQL.
Nazwa zasady Obszar zasad opis
Append-Search-IdentityType Uwierzytelnianie Wymusza użycie tożsamości przypisanej przez system dla usługi Azure AI Search.
Audit-Search-PrivateEndpointId Izolacja sieci Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach usługi Azure AI Search.
Deny-Search-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla usługi Azure AI Search.
Deny-Search-Sku Zarządzanie zasobami Wymusza jednostki SKU usługi Azure AI Search.

Usługa DNS platformy Azure

Nazwa zasady Obszar zasad opis
Deny-PrivateDnsZones Zarządzanie zasobami Ogranicz wdrażanie prywatnych stref DNS, aby uniknąć rozprzestrzeniania się.

Sieciowa grupa zabezpieczeń

Nazwa zasady Obszar zasad opis
Deploy-Nsg-FlowLogs Rejestrowanie Wdrażanie dzienników przepływu sieciowej grupy zabezpieczeń i analizy ruchu.

Batch

Nazwa zasady Obszar zasad opis
Deny-Batch-InboundNatPools Izolacja sieci Odrzuca pule adresów sieciowych dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-NetworkConfiguration Izolacja sieci Odrzuca publiczne adresy IP dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-PublicNetworkAccess Izolacja sieci Odmowa dostępu do sieci publicznej dla kont wsadowych.
Odmowa i skalowanie wsadowe Zarządzanie zasobami Odrzuca niektóre konfiguracje skalowania dla pul maszyn wirtualnych kont wsadowych.
Deny-Batch-VmSize Zarządzanie zasobami Odrzuca niektóre rozmiary maszyn wirtualnych dla pul maszyn wirtualnych kont wsadowych.

Azure Cache for Redis

Nazwa zasady Obszar zasad opis
Deny-Cache-Enterprise Zarządzanie zasobami Odrzuca usługę Redis Cache Enterprise.
Deny-Cache-FirewallRules Izolacja sieci Odrzuca reguły zapory dla pamięci podręcznej Redis Cache.
Deny-Cache-MinimumTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla pamięci podręcznej Redis Cache.
Deny-Cache-NonSslPort Izolacja sieci Wymusza wyłączenie portu innego niż SSL dla pamięci podręcznej Redis Cache.
Deny-Cache-PublicNetworkAccess Izolacja sieci Wymusza brak dostępu do sieci publicznej dla pamięci podręcznej Redis Cache.
Deny-Cache-Sku Zarządzanie zasobami Wymusza niektóre jednostki SKU dla pamięci podręcznej Redis Cache.
Deny-Cache-VnetInjection Izolacja sieci Wymusza użycie prywatnych punktów końcowych i uniemożliwia wstrzyknięcie sieci wirtualnej dla usługi Redis Cache.

Wystąpienia kontenerów

Nazwa zasady Obszar zasad opis
Deny-ContainerInstance-PublicIpAddress Izolacja sieci Odrzuca publiczne wystąpienia kontenerów utworzone na podstawie usługi Azure Machine Learning.

Azure Firewall

Nazwa zasady Obszar zasad opis
Odmowa zapory Zarządzanie zasobami Ogranicz wdrażanie usługi Azure Firewall, aby uniknąć proliferacji.

HDInsight

Nazwa zasady Obszar zasad opis
Deny-HdInsight-EncryptionAtHost Szyfrowanie Wymuszanie szyfrowania na hoście dla klastrów usługi HDInsight.
Deny-HdInsight-EncryptionInTransit Szyfrowanie Wymusza szyfrowanie podczas przesyłania dla klastrów usługi HDInsight.
Deny-HdInsight-MinimalTlsVersion Szyfrowanie Wymusza minimalną wersję protokołu TLS dla klastrów usługi HDInsight.
Deny-HdInsight-NetworkProperties Izolacja sieci Wymusza włączenie łącza prywatnego dla klastrów usługi HDInsight.
Deny-HdInsight-Sku Wymusza niektóre jednostki SKU dla klastrów usługi HDInsight.
Deny-HdInsight-VirtualNetworkProfile Izolacja sieci Wymusza iniekcję sieci wirtualnej dla klastrów usługi HDInsight.

Power BI

Nazwa zasady Obszar zasad opis
Deny-PrivateLinkServicesForPowerBI Zarządzanie zasobami Ogranicz wdrażanie usług łącza prywatnego dla usługi Power BI, aby uniknąć rozprzestrzeniania się.

Następne kroki