Políticas nas análises em escala de nuvem

Antes de considerar uma implantação, é importante que sua organização coloque verificadores de integridade em vigor. Ao usar as políticas do Azure, você pode implementar governança para consistência de recursos, conformidade normativa, segurança, custo e gerenciamento.

Tela de fundo

Um princípio fundamental da análise em escala de nuvem é facilitar a criação, a leitura, a atualização e a exclusão de recursos conforme necessário. No entanto, enquanto fornecer acesso irrestrito a recursos para desenvolvedores pode torná-los ágeis, também pode causar consequências não intencionais de custo. A solução para esse problema é a governança de acesso a recursos. Essa governança é o processo contínuo de gerenciamento, monitoramento e auditoria, o uso de recursos do Azure para atender as metas e requisitos da sua organização.

A seção Começar com as zonas de destino de escala empresarial do Cloud Adoption Framework já usa esse conceito. A análise em escala de nuvem adiciona políticas personalizadas do Azure para se basear nesses padrões. Assim, os padrões são aplicados às nossas zonas de destino de gerenciamento de dados e zonas de destino de dados.

Diagrama que mostra como funciona a Governança do Azure.

O Azure Policy é importante ao garantir a segurança e a conformidade na análise em escala de nuvem. Ele ajuda a impor padrões e a avaliar a conformidade em escala. As políticas podem ser usadas para avaliar recursos no Azure e compará-los com as propriedades desejadas. Várias políticas ou regras de negócio, podem ser agrupadas em uma iniciativa. Políticas ou iniciativas individuais podem ser atribuídas a escopos diferentes no Azure. Esses escopos podem ser grupos de gerenciamento, assinaturas, grupos de recursos ou recursos individuais. A atribuição se aplica a todos os recursos dentro do escopo e os subescopos podem ser excluídos com exceções, se necessário.

Considerações sobre o design

As políticas do Azure na análise em escala de nuvem foram desenvolvidas com as seguintes considerações de design em mente:

• Usar as políticas do Azure para implementar governança e impor regras para consistência de recursos, conformidade normativa, segurança, custo e gerenciamento.
• Usar políticas predefinidas disponíveis para economizar tempo.
• Atribuir políticas ao nível mais alto possível na árvore do grupo de gerenciamento para simplificar o gerenciamento de políticas.
• Limitar as atribuições do Azure Policy feitas no escopo do grupo de gerenciamento raiz para evitar o gerenciamento por meio de exclusões em escopos herdados.
• Use apenas exceções de política se necessário e elas exigem aprovação.

Políticas do Azure para a análise em escala de nuvem

Implementar políticas personalizadas permite fazer mais com o Azure Policy. A análise em escala de nuvem vem com um conjunto de políticas pré-criadas para ajudá-lo a implementar quaisquer guardrails necessários em seu ambiente.

O Azure Policy deve ser o principal instrumento da equipe da Plataforma do Azure (Dados) para garantir a conformidade dos recursos dentro da zona de destino de gerenciamento de dados, zonas de destino de dados e outras zonas de destino dentro do locatário da organização. Esse recurso de plataforma deve ser usado para introduzir proteções e impor a adesão à configuração geral de serviço aprovada dentro do respectivo escopo do grupo de gerenciamento. As equipes de plataforma podem usar Azure Policy para, por exemplo, impor pontos de extremidade privados para quaisquer contas de armazenamento que estejam sendo hospedadas no ambiente da plataforma de dados ou impor a criptografia TLS 1.2 em trânsito para quaisquer conexões que estejam sendo feitas às contas de armazenamento. Quando corretamente implementada, essa política proíbe as equipes de aplicativos de dados de hospedar serviços em um estado não compatível dentro do respectivo escopo do locatário.

As equipes de TI responsáveis devem usar esse recurso de plataforma para resolver as preocupações de segurança e de conformidade delas e abrirem-se para uma abordagem de autoatendimento dentro das Zonas de Destino (Dados).

A análise em escala de nuvem contém políticas personalizadas referentes ao gerenciamento de recursos e custos, autenticação, criptografia, isolamento de rede, registro em log, resiliência e muito mais.

• Todos os serviços
• Storage
• Key Vault
• Fábrica de dados do Azure
• Azure Synapse Analytics
• Azure Databricks
• Hub IoT do Azure
• Hubs de eventos do Azure
• Azure Stream Analytics
• Azure Data Explorer
• Azure Cosmos DB
• Registro de Contêiner do Azure
• Serviços Cognitivos do Azure
• Azure Machine Learning
• Instância Gerenciada do SQL do Azure
• Banco de Dados SQL do Azure
• Banco de Dados do Azure para MariaDB
• Banco de Dados do Azure para MySQL
• Banco de Dados do Azure para PostgreSQL
• Azure AI Search
• DNS do Azure
• Grupo de segurança de rede
• Batch
• Cache Redis do Azure
• Instâncias de contêiner
• Firewall do Azure
• HDInsight
• Power BI

Observação

As políticas devem ser vistas como somente diretrizes e podem ser aplicadas dependendo dos requisitos de negócios. As políticas sempre devem ser aplicadas no nível mais alto possível e, na maioria dos casos, esse será um grupo de gerenciamento.

Todos os serviços

Nome da política	Área de política	Descrição
Deny-PublicIp	Isolamento de rede	Restringe a implantação de IPs públicos.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Isolamento de rede	Negue pontos de extremidade privados a recursos fora do locatário e da assinatura do Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Isolamento de rede	Implanta as configurações de um grupo de zona de DNS privado por um parâmetro para o ponto de extremidade privado do serviço. Usado para impor a configuração a uma única zona de DNS privado.
DiagnosticSettings-{Service}-LogAnalytics	Logging	Envie as configurações de diagnóstico do Azure Cosmos DB para o workspace do Log Analytics.

Armazenamento

Nome da política	Área de política	Descrição
Append-Storage-Encryption	Criptografia	Aplica criptografia para contas de armazenamento.
Deny-Storage-AllowBlobPublicAccess	Isolamento de rede	Aplica acesso público a todos os blobs ou contêineres na conta de armazenamento.
Deny-Storage-ContainerDeleteRetentionPolicy	Resiliência	Aplica políticas de retenção de exclusão de contêiner maiores que sete dias para a conta de armazenamento.
Deny-Storage-CorsRules	Isolamento de rede	Nega regras Cors para conta de armazenamento.
Deny-Storage-InfrastructureEncryption	Criptografia	Aplica criptografia (dupla) de infraestrutura às contas de armazenamento.
Deny-Storage-MinimumTlsVersion	Criptografia	Aplica o TLS mínimo de versão 1.2 para a conta de armazenamento.
Deny-Storage-NetworkAclsBypass	Isolamento de rede	Aplica bypass de rede para ninguém na conta de armazenamento.
Deny-Storage-NetworkAclsIpRules	Isolamento de rede	Aplica regras de IP de rede na conta de armazenamento.
Deny-Storage-NetworkAclsVirtualNetworkRules	Isolamento de rede	Nega regras da rede virtual para conta de armazenamento.
Deny-Storage-Sku	Gerenciamento de Recursos	Aplica SKUs de conta de armazenamento.
Deny-Storage-SupportsHttpsTrafficOnly	Criptografia	Aplica tráfego HTTPS para conta de armazenamento.
Deploy-Storage-BlobServices	Gerenciamento de Recursos	Implanta configurações padrão de serviços de blob para conta de armazenamento.
Deny-Storage-RoutingPreference	Isolamento de rede
Deny-Storage-Kind	Gerenciamento de Recursos
Deny-Storage-NetworkAclsDefaultAction	Isolamento de rede

Key Vault

Nome da política	Área de política	Descrição
Audit-KeyVault-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para o cofre de chaves.
Deny-KeyVault-NetworkAclsBypass	Isolamento de rede	Aplica bypass de regras de nível de rede para o cofre de chaves.
Deny-KeyVault-NetworkAclsDefaultAction	Isolamento de rede	Aplica ação do nível de ACL de rede padrão para o cofre de chaves.
Deny-KeyVault-NetworkAclsIpRules	Isolamento de rede	Aplica regras de IP de rede para o cofre de chaves.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Isolamento de rede	Nega regras de rede virtual para o cofre de chaves.
Deny-KeyVault-PurgeProtection	Resiliência	Aplica proteção de limpeza para o cofre de chaves.
Deny-KeyVault-SoftDelete	Resiliência	Aplica exclusão temporária com o número mínimo de dias de retenção para o cofre de chaves.
Deny-KeyVault-TenantId	Gerenciamento de Recursos	Aplica ID de locatário ao cofre de chaves.

Fábrica de dados do Azure

Nome da política	Área de política	Descrição
Append-DataFactory-IdentityType	Autenticação	Impõe o uso da identidade atribuída pelo sistema ao data factory.
Deny-DataFactory-ApiVersion	Gerenciamento de Recursos	Nega a versão de API antiga ao data factory V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Isolamento de rede	Nega runtimes de integração que não estão conectados à Rede Virtual Gerenciada.
Deny-DataFactory-LinkedServicesConnectionStringType	Autenticação	Nega segredos armazenados no Key Vault para serviços vinculados.
Deny-DataFactory-ManagedPrivateEndpoints	Isolamento de rede	Nega pontos de extremidade privados externos para serviços vinculados.
Deny-DataFactory-PublicNetworkAccess	Isolamento de rede	Nega acesso público ao data factory.
Deploy-DataFactory-ManagedVirtualNetwork	Isolamento de rede	Implanta rede virtual gerenciada para data factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Resiliência	Compartilhe o runtime de integração auto-hospedada no hub de dados com data factories nos nós de dados.

Azure Synapse Analytics

Nome da política	Área de política	Descrição
Append-Synapse-LinkedAccessCheckOnTargetResource	Isolamento de rede	Imponha LinkedAccessCheckOnTargetResource nas configurações de rede virtual gerenciada ao criar o workspace do Synapse.
Append-Synapse-Purview	Isolamento de rede	Aplica conexão entre a instância central do Purview e o workspace do Synapse.
Append-SynapseSpark-ComputeIsolation	Gerenciamento de Recursos	Quando um Pool do Synapse Spark é criado sem isolamento de computação, ele o adiciona.
Append-SynapseSpark-DefaultSparkLogFolder	Logging	Ele adiciona registro em log ao pool do Synapse Spark criado sem ele.
Append-SynapseSpark-SessionLevelPackages	Gerenciamento de Recursos	Quando um Pool do Spark do Synapse é criado sem pacotes de nível de sessão, ele os adiciona.
Audit-Synapse-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para o Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Isolamento de rede
Deny-Synapse-Firewall	Isolamento de rede	Configurar o firewall do Synapse.
Deny-Synapse-ManagedVirtualNetwork	Isolamento de rede	Quando um Workspace do Synapse é criado sem rede virtual gerenciada, ele a adiciona.
Deny-Synapse-PreventDataExfiltration	Isolamento de rede	Prevenção aplicada de exfiltração de dados para rede virtual gerenciada do Synapse.
Deny-SynapsePrivateLinkHub	Isolamento de rede	Nega hub de Link Privado do Synapse.
Deny-SynapseSpark-AutoPause	Gerenciamento de Recursos	Aplica pausa automática para pools do Synapse Spark.
Deny-SynapseSpark-AutoScale	Gerenciamento de Recursos	Aplica escala automática para pools do Synapse Spark.
Deny-SynapseSql-Sku	Gerenciamento de Recursos	Nega certas SKUs do pool de SQL do Synapse.
Deploy-SynapseSql-AuditingSettings	Logging	Envia logs de auditoria para pools de SQL do Synapse à análise de logs.
Deploy-SynapseSql-MetadataSynch	Gerenciamento de Recursos	Configure a sincronização de metadados para pools de SQL do Synapse.
Deploy-SynapseSql-SecurityAlertPolicies	Logging	Implanta a política de alerta de segurança ao pool de SQL do Synapse.
Deploy-SynapseSql-TransparentDataEncryption	Criptografia	Implanta criptografia de dados transparente do SQL do Synapse.
Deploy-SynapseSql-VulnerabilityAssessment	Logging	Implanta avaliações de vulnerabilidade do pool de SQL do Synapse.

Azure Databricks

Nome da política	Área de política	Descrição
Append-Databricks-PublicIp	Isolamento de rede	Aplica acesso público nenhum a workspaces do Databricks.
Deny-Databricks-Sku	Gerenciamento de Recursos	Negar SKU não premium do Databricks.
Deny-Databricks-VirtualNetwork	Isolamento de rede	Negar implantação de rede não virtual para Databricks.

Outras políticas aplicadas no workspace do Databricks por meio de políticas de cluster:

Nome da política do cluster	Área de política
Restringe a versão do Spark	Gerenciamento de Recursos
Restringe o tamanho do cluster e tipos de VM	Gerenciamento de Recursos
Aplica marcação de custo	Gerenciamento de Recursos
Aplica o dimensionamento automático	Gerenciamento de Recursos
Impor pausa automática	Gerenciamento de Recursos
Restringe DBUs por hora	Gerenciamento de Recursos
Nega SSH público	Autenticação
Passthrough de credencial de cluster ativado	Autenticação
Ativa isolamento do processo	Isolamento da rede
Aplica o monitoramento do Spark	Logging
Aplica logs de cluster	Logging
Permite apenas SQL, Python	Gerenciamento de recursos
Nega scripts de instalação adicionais	Gerenciamento de recursos

Hub IoT do Azure

Nome da política	Área de política	Descrição
Append-IotHub-MinimalTlsVersion	Criptografia	Aplica versão mínima do TLS para o Hub IoT.
Audit-IotHub-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para Hubs IoT.
Deny-IotHub-PublicNetworkAccess	Isolamento de rede	Nega acesso de rede pública ao Hubs IoT.
Deny-IotHub-Sku	Gerenciamento de Recursos	Aplica SKUs do Hub IoT.
Deploy-IotHub-IoTSecuritySolutions	Segurança	Implanta o Microsoft Defender para IoT para Hubs IoT.

Hubs de eventos do Azure

Nome da política	Área de política	Descrição
Deny-EventHub-Ipfilterrules	Isolamento de rede	Nega a adição de regras de filtro de IP para Hubs de Eventos do Azure.
Deny-EventHub-MaximumThroughputUnits	Isolamento de rede	Nega acesso à rede pública para servidores MySQL.
Deny-EventHub-NetworkRuleSet	Isolamento de rede	Aplica regras de rede virtual padrão para Hubs de Eventos do Azure.
Deny-EventHub-Sku	Gerenciamento de Recursos	Nega determinadas AKUs para Hubs de Eventos do Azure.
Deny-EventHub-Virtualnetworkrules	Isolamento de rede	Nega regras de rede virtual para Hubs de Eventos do Azure.

Stream Analytics do Azure

Nome da política	Área de política	Descrição
Append-StreamAnalytics-IdentityType	Autenticação	Aplica o uso da identidade atribuída pelo sistema à análise de fluxo.
Deny-StreamAnalytics-ClusterId	Gerenciamento de Recursos	Aplica o cluster do Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Gerenciamento de Recursos	Aplica o número de unidades de streaming do Stream Analytics.

Azure Data Explorer

Nome da política	Área de política	Descrição
Deny-DataExplorer-DiskEncryption	Criptografia	Aplica o uso da criptografia de disco para o data explorer.
Deny-DataExplorer-DoubleEncryption	Criptografia	Aplica o uso da criptografia dupla para o data explorer.
Deny-DataExplorer-Identity	Autenticação	Aplica o uso da identidade atribuída pelo sistema ou pelo usuário ao data explorer.
Deny-DataExplorer-Sku	Gerenciamento de Recursos	Aplica SKUs do data explorer.
Deny-DataExplorer-TrustedExternalTenants	Isolamento de rede	Nega locatários externos para o data explorer.
Deny-DataExplorer-VirtualNetworkConfiguration	Isolamento de rede	Aplica a ingestão de rede virtual para o data explorer.

Azure Cosmos DB

Nome da política	Área de política	Descrição
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Autenticação	Negar acesso de gravação de metadados baseados em chave para contas do Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Isolamento de rede	Não impõe nenhum acesso à rede pública para contas do Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Isolamento de rede	Audite pontos de extremidade públicos criados em outras assinaturas do Azure Cosmos DB.
Deny-Cosmos-Cors	Isolamento de rede	Nega regras de CORS para contas do Azure Cosmos DB."
Deny-Cosmos-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para contas do Azure Cosmos DB.

Registro de Contêiner do Azure

Nome da política	Área de política	Descrição
Audit-ContainerRegistry-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para serviços cognitivos.
Deny-ContainerRegistry-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para o registro de contêiner.
Deny-ContainerRegistry-Sku	Gerenciamento de Recursos	Aplica o SKU Premium para o registro de contêiner.

Serviços Cognitivos do Azure

Nome da política	Área de política	Descrição
Append-CognitiveServices-IdentityType	Autenticação	Aplica o uso da identidade atribuída pelo sistema para serviços cognitivos.
Audit-CognitiveServices-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para serviços cognitivos.
Deny-CognitiveServices-Encryption	Criptografia	Aplica o uso de criptografia para serviços cognitivos.
Deny-CognitiveServices-PublicNetworkAccess	Isolamento de rede	Aplica acesso de rede pública nenhum para serviços cognitivos.
Deny-CognitiveServices-Sku	Gerenciamento de Recursos	Nega SKUs gratuitas de serviços cognitivos.
Deny-CognitiveServices-UserOwnedStorage	Isolamento de rede	Aplica o uso de criptografia para serviços cognitivos.

Azure Machine Learning

Nome da política	Área de política	Descrição
Append-MachineLearning-PublicAccessWhenBehindVnet	Isolamento de rede	Negar acesso público atrás da rede virtual para workspaces de aprendizado de máquina.
Audit-MachineLearning-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para aprendizado de máquina.
Deny-MachineLearning-HbiWorkspace	Isolamento de rede	Aplica workspaces de aprendizado de máquina de alto impacto comercial em todo o ambiente.
Deny-MachineLearningAks	Gerenciamento de Recursos	Nega a criação de AKS (não anexação) no aprendizado de máquina.
Deny-MachineLearningCompute-SubnetId	Isolamento de rede	Nega IP público para instâncias e clusters de cálculo de aprendizado de máquina.
Deny-MachineLearningCompute-VmSize	Gerenciamento de Recursos	Limita tamanhos de VM permitidos para instâncias e clusters de cálculo de aprendizado de máquina.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Isolamento de rede	Nega acesso público de clusters via SSH.
Deny-MachineLearningComputeCluster-Scale	Gerenciamento de Recursos	Aplica configurações de escala para clusters de cálculo de aprendizado de máquina.

Instância Gerenciada do Azure SQL

Nome da política	Área de política	Descrição
Append-SqlManagedInstance-MinimalTlsVersion	Criptografia	Aplica a versão mínima do TLS para servidores de Instância Gerenciada de SQL.
Deny-SqlManagedInstance-PublicDataEndpoint	Isolamento de rede	Nega o ponto de extremidade de dados públicos apra Instâncias Gerenciadas de SQL.
Deny-SqlManagedInstance-Sku	Gerenciamento de Recursos
Deny-SqlManagedInstance-SubnetId	Isolamento de rede	Aplica implantações para sub-redes das Instâncias Gerenciadas de SQL.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Autenticação	Impõe a autenticação somente do Microsoft Entra para a Instância Gerenciada de SQL.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Logging	Implanta políticas de alerta de segurança de Instância Gerenciada de SQL.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Logging	Implanta avaliações de vulnerabilidade da Instância Gerenciada de SQL.

Banco de Dados SQL do Azure

Nome da política	Área de política	Descrição
Append-Sql-MinimalTlsVersion	Criptografia	Aplica versão mínima do TLS para servidores SQL.
Audit-Sql-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para SQL do Azure.
Deny-Sql-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para servidores SQL.
Deny-Sql-StorageAccountType	Resiliência	Aplica backup de dados com redundância geográfica.
Deploy-Sql-AuditingSettings	Logging	Implanta configurações de auditoria de SQL.
Deploy-Sql-AzureAdOnlyAuthentications	Autenticação	Impõe a autenticação somente do Microsoft Entra para o SQL Server.
Deploy-Sql-SecurityAlertPolicies	Logging	Implanta políticas de alerta de segurança de SQL.
Deploy-Sql-TransparentDataEncryption	Criptografia	Implanta criptografia de dados transparente de SQL.
Deploy-Sql-VulnerabilityAssessment	Logging	Implanta avaliações de vulnerabilidade de SQL.
Deploy-SqlDw-AuditingSettings	Logging	Implanta configurações de DW de SQL.

Banco de Dados do Azure para MariaDB

Nome da política	Área de política	Descrição
Append-MariaDb-MinimalTlsVersion	Criptografia	Aplica versão mínima do TLS para servidores MariaDB.
Audit-MariaDb-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para MariaDB.
Deny-MariaDb-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para servidores MariaDB.
Deny-MariaDb-StorageProfile	Resiliência	Aplica backup de banco de dados com redundância geográfica com o tempo de retenção mínimo em dias.
Deploy-MariaDb-SecurityAlertPolicies	Logging	Implanta políticas de alerta de segurança de SQL para MariaDB

Banco de Dados do Azure para MySQL

Nome da política	Área de política	Descrição
Append-MySQL-MinimalTlsVersion	Criptografia	Aplica versão mínima do TLS para servidores MySQL.
Audit-MySql-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para MySQL.
Deny-MySQL-InfrastructureEncryption	Criptografia	Aplica criptografia de infraestrutura para servidores MySQL.
Deny-MySQL-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para servidores MySQL.
Deny-MySql-StorageProfile	Resiliência	Aplica backup de banco de dados com redundância geográfica com o tempo de retenção mínimo em dias.
Deploy-MySql-SecurityAlertPolicies	Logging	Implanta políticas de alerta de segurança de SQL para MySQL.

Banco de Dados do Azure para PostgreSQL

Nome da política	Área de política	Descrição
Append-PostgreSQL-MinimalTlsVersion	Criptografia	Aplica versão mínima do TLS para servidores PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Isolamento de rede	Audita pontos de extremidade públicos criados em outras assinaturas para PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Criptografia	Aplica criptografia de infraestrutura para servidores PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para servidores PostgreSQL.
Deny-PostgreSql-StorageProfile	Resiliência	Aplica backup de banco de dados com redundância geográfica com o tempo de retenção mínimo em dias.
Deploy-PostgreSql-SecurityAlertPolicies	Logging	Implanta políticas de alerta de segurança de SQL para PostgreSQL.

Azure AI Search

Nome da política	Área de política	Descrição
Append-Search-IdentityType	Autenticação	Impõe o uso da identidade atribuída pelo sistema para o Azure AI Search.
Audit-Search-PrivateEndpointId	Isolamento de rede	Audite pontos de extremidade públicos criados em outras assinaturas do Azure AI Search.
Deny-Search-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para o Azure AI Search.
Deny-Search-Sku	Gerenciamento de Recursos	Impõe SKUs do Azure AI Search.

DNS do Azure

Nome da política	Área de política	Descrição
Deny-PrivateDnsZones	Gerenciamento de Recursos	Restringe a implantação de zonas DNS privadas para evitar a proliferação.

Grupo de segurança de rede

Nome da política	Área de política	Descrição
Deploy-Nsg-FlowLogs	Logging	Implanta logs de fluxo e análise de tráfego.

Batch

Nome da política	Área de política	Descrição
Deny-Batch-InboundNatPools	Isolamento de rede	Nega pools NAT de entrada para pools de VMs da conta de lote.
Deny-Batch-NetworkConfiguration	Isolamento de rede	Nega endereços de IP público para pools de VM de conta de lote.
Deny-Batch-PublicNetworkAccess	Isolamento de rede	Nega acesso à rede pública para contas de lote.
Deny-Batch-Scale	Gerenciamento de Recursos	Nega determinadas configurações de escala para pools de VMs da conta de lote.
Deny-Batch-VmSize	Gerenciamento de Recursos	Nega tamanhos de VM determinados para pools de VM de conta de lote.

Cache Redis do Azure

Nome da política	Área de política	Descrição
Deny-Cache-Enterprise	Gerenciamento de Recursos	Nega Cache Redis Enterprise.
Deny-Cache-FirewallRules	Isolamento de rede	Nega as regras de firewall para Cache Redis.
Deny-Cache-MinimumTlsVersion	Criptografia	Aplica a versão mínima do TLS para o Cache Redis.
Deny-Cache-NonSslPort	Isolamento de rede	Aplica desligamento da porta não SSL para Cache Redis.
Deny-Cache-PublicNetworkAccess	Isolamento de rede	Aplica acesso nenhum de rede pública para o Cache Redis.
Deny-Cache-Sku	Gerenciamento de Recursos	Aplica certos SKUs para Cache Redis.
Deny-Cache-VnetInjection	Isolamento de rede	Impõe o uso de pontos de extremidade privados e nega a injeção de rede virtual para o Cache Redis.

Instâncias de contêiner

Nome da política	Área de política	Descrição
Deny-ContainerInstance-PublicIpAddress	Isolamento de rede	Nega as Instâncias de Contêiner públicas criadas a partir do Azure Machine Learning.

Firewall do Azure

Nome da política	Área de política	Descrição
Deny-Firewall	Gerenciamento de Recursos	Restringe a implantação do Firewall do Azure para evitar proliferação.

HDInsight

Nome da política	Área de política	Descrição
Deny-HdInsight-EncryptionAtHost	Criptografia	Aplica criptografia no host para clusters HDInsight.
Deny-HdInsight-EncryptionInTransit	Criptografia	Aplica criptografia em trânsito para clusters HDInsight.
Deny-HdInsight-MinimalTlsVersion	Criptografia	Aplica versão de TLS mínima para clusters HDInsight.
Deny-HdInsight-NetworkProperties	Isolamento de rede	Aplica habilitação de link privado para clusters HDInsight.
Deny-HdInsight-Sku		Aplica certos SKUs para clusters HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Isolamento de rede	Aplica injeção de rede virtual para clusters HDInsight.

Power BI

Nome da política	Área de política	Descrição
Deny-PrivateLinkServicesForPowerBI	Gerenciamento de Recursos	Restringe a implantação de serviços de link privado para Power BI para evitar a proliferação.

Próximas etapas

• Requisitos para controlar dados em uma empresa moderna
• Componentes necessários para a governança de dados