Políticas em análise em escala de nuvem

Antes de considerar uma implantação, é importante que sua organização coloque guarda-corpos. Usando políticas do Azure, você pode implementar governança para consistência de recursos, conformidade regulamentar, segurança, custo e gerenciamento.

Fundo

Um princípio básico da análise em escala de nuvem é facilitar a criação, leitura, atualização e exclusão de recursos, conforme necessário. No entanto, embora dar acesso irrestrito aos recursos aos desenvolvedores possa torná-los ágeis, também pode levar a consequências de custos não intencionais. A solução para este problema é a governação do acesso aos recursos. Essa governança é o processo contínuo de gerenciamento, monitoramento e auditoria do uso dos recursos do Azure para atender às metas e requisitos da sua organização.

As zonas de aterrissagem em escala empresarial Start with Cloud Adoption Framework já usam esse conceito. A análise em escala de nuvem adiciona políticas personalizadas do Azure para se basear nesses padrões. As normas são então aplicadas às nossas zonas de aterragem de gestão de dados e zonas de aterragem de dados.

Diagrama que mostra como funciona a governança do Azure.

A Política do Azure é importante ao garantir a segurança e a conformidade em análises em escala de nuvem. Ajuda a fazer cumprir as normas e a avaliar a conformidade em escala. As políticas podem ser usadas para avaliar recursos no Azure e compará-los com as propriedades desejadas. Várias políticas, ou regras de negócio, podem ser agrupadas numa iniciativa. Políticas ou iniciativas individuais podem ser atribuídas a escopos diferentes no Azure. Esses escopos podem ser grupos de gerenciamento, assinaturas, grupos de recursos ou recursos individuais. A atribuição aplica-se a todos os recursos dentro do escopo, e os subescopos podem ser excluídos com exceções, se necessário.

Considerações de design

As políticas do Azure em análise em escala de nuvem foram desenvolvidas com as seguintes considerações de design em mente:

• Use as políticas do Azure para implementar governança e impor regras para consistência de recursos, conformidade regulamentar, segurança, custo e gerenciamento.
• Use as políticas pré-criadas disponíveis para economizar tempo.
• Atribua políticas ao nível mais alto possível na árvore do grupo de gerenciamento para simplificar o gerenciamento de políticas.
• Limite as atribuições da Política do Azure feitas no escopo do grupo de gerenciamento raiz para evitar o gerenciamento por meio de exclusões em escopos herdados.
• Use apenas exceções de política se necessário, e elas exigem aprovação.

Políticas do Azure para análise em escala de nuvem

A implementação de políticas personalizadas permite que você faça mais com a Política do Azure. A análise em escala de nuvem vem com um conjunto de políticas pré-criadas para ajudá-lo a implementar quaisquer proteções necessárias em seu ambiente.

A Política do Azure deve ser o instrumento principal da equipa da Plataforma Azure (Dados) para garantir a conformidade dos recursos na zona de aterragem de gestão de dados, zonas de aterragem de dados e outras zonas de aterragem dentro do tenant da organização. Esse recurso de plataforma deve ser usado para introduzir guarda-corpos e impor a adesão à configuração geral de serviço aprovada dentro do escopo do respetivo grupo de gerenciamento. As equipes da plataforma podem usar a Política do Azure para, por exemplo, impor pontos de extremidade privados para quaisquer contas de armazenamento que estejam sendo hospedadas no ambiente da plataforma de dados ou impor a criptografia TLS 1.2 em trânsito para quaisquer conexões que estejam sendo feitas com as contas de armazenamento. Quando implementada corretamente, esta política proíbe qualquer equipa de aplicações de dados de hospedar serviços num estado não compatível dentro do respetivo âmbito do inquilino.

As equipes de TI responsáveis devem usar esse recurso da plataforma para resolver suas preocupações de segurança e conformidade e se abrir para uma abordagem de autosserviço dentro das zonas de aterrissagem (de dados).

A análise em escala de nuvem contém políticas personalizadas relacionadas ao gerenciamento de recursos e custos, autenticação, criptografia, isolamento de rede, registro, resiliência e muito mais.

• Todos os serviços
• Armazenamento
• Key Vault
• Fábrica de Dados do Azure
• Azure Synapse Analytics
• Azure Databricks
• Hub IoT do Azure
• Hubs de Eventos do Azure
• Azure Stream Analytics
• Azure Data Explorer
• BD do Cosmos para o Azure
• Azure Container Registry
• Serviços Cognitivos do Azure
• Azure Machine Learning
• Instância Gerida do SQL no Azure
• Base de Dados SQL do Azure
• Azure Database for MariaDB
• Base de Dados do Azure para MySQL
• Base de Dados do Azure para PostgreSQL
• Azure AI Search
• Azure DNS
• Grupo de segurança de rede
• Batch
• Cache do Azure para Redis
• Instâncias de contentor
• Azure Firewall
• HDInsight
• Power BI

Nota

As políticas devem ser vistas apenas como orientação e podem ser aplicadas dependendo dos requisitos de negócios. As políticas devem ser sempre aplicadas ao mais alto nível possível e, na maioria dos casos, trata-se de um grupo de gestão.

Todos os serviços

Nome da política	Domínio de intervenção	Description
Negar-PublicIp	Isolamento de Rede	Restrinja a implantação de IPs públicos.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Isolamento de Rede	Negar pontos de extremidade privados a recursos fora do locatário e da assinatura do Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Isolamento de Rede	Implanta as configurações de um Grupo de Zonas DNS Privadas por um parâmetro para o ponto de extremidade privado do serviço. Usado para impor a configuração a uma única zona DNS privada.
DiagnosticSettings-{Service}-LogAnalytics	Registo	Envie configurações de diagnóstico do Azure Cosmos DB para o espaço de trabalho de análise de log.

Armazenamento

Nome da política	Domínio de intervenção	Description
Anexar-Armazenamento-Criptografia	Encriptação	Imponha a criptografia para contas de armazenamento.
Deny-Storage-AllowBlobPublicAccess	Isolamento de Rede	Não impõe acesso público a todos os blobs ou contêineres na conta de armazenamento.
Deny-Storage-ContainerDeleteRetentionPolicy	Resiliência	Aplique políticas de retenção de exclusão de contêiner maiores que sete dias para a conta de armazenamento.
Deny-Storage-CorsRules	Isolamento de Rede	Negar regras cors para a conta de armazenamento.
Deny-Storage-InfrastructureEncryption	Encriptação	Imponha criptografia (dupla) de infraestrutura para contas de armazenamento.
Deny-Storage-MinimumTlsVersion	Encriptação	Impõe TLS mínimo versão 1.2 para conta de armazenamento.
Deny-Storage-NetworkAclsBypass	Isolamento de Rede	Impõe o desvio de rede para nenhum para a conta de armazenamento.
Deny-Storage-NetworkAclsIpRules	Isolamento de Rede	Impõe regras de IP de rede para a conta de armazenamento.
Deny-Storage-NetworkAclsVirtualNetworkRules	Isolamento de Rede	Nega regras de rede virtual para conta de armazenamento.
Deny-Storage-Sku	Gestão de Recursos	Impõe SKUs de conta de armazenamento.
Deny-Storage-SupportsHttpsTrafficOnly	Encriptação	Impõe tráfego https para a conta de armazenamento.
Deploy-Storage-BlobServices	Gestão de Recursos	Implante as configurações padrão dos serviços de blob para a conta de armazenamento.
Negar-Armazenamento-RoutingPreference	Isolamento de Rede
Negar-Armazenamento-Tipo	Gestão de Recursos
Deny-Storage-NetworkAclsDefaultAction	Isolamento de Rede

Key Vault

Nome da política	Domínio de intervenção	Description
Audit-KeyVault-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas para o cofre de chaves.
Deny-KeyVault-NetworkAclsBypass	Isolamento de Rede	Impõe ignorar regras de nível de rede para o cofre de chaves.
Deny-KeyVault-NetworkAclsDefaultAction	Isolamento de Rede	Impõe a ação padrão de nível de acl de rede para o cofre de chaves.
Deny-KeyVault-NetworkAclsIpRules	Isolamento de Rede	Impõe regras de ip de rede para o cofre de chaves.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Isolamento de Rede	Nega regras de rede virtual para o cofre de chaves.
Deny-KeyVault-PurgeProtection	Resiliência	Impõe proteção contra limpeza para cofre de chaves.
Negar-KeyVault-SoftDelete	Resiliência	Impõe a exclusão suave com um número mínimo de dias de retenção para o cofre de chaves.
Deny-KeyVault-TenantId	Gestão de Recursos	Imponha o ID do locatário para o cofre de chaves.

Azure Data Factory

Nome da política	Domínio de intervenção	Description
Append-DataFactory-IdentityType	Autenticação	Impõe o uso da identidade atribuída ao sistema para o data factory.
Deny-DataFactory-ApiVersion	Gestão de Recursos	Nega a versão antiga da API para a fábrica de dados V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Isolamento de Rede	Nega tempos de execução de integração que não estão conectados à rede virtual gerenciada.
Deny-DataFactory-LinkedServicesConnectionStringType	Autenticação	Nega segredos armazenados que não sejam do Key Vault para serviços vinculados.
Deny-DataFactory-ManagedPrivateEndpoints	Isolamento de Rede	Nega pontos de extremidade privados externos para serviços vinculados.
Deny-DataFactory-PublicNetworkAccess	Isolamento de Rede	Nega o acesso público ao data factory.
Deploy-DataFactory-ManagedVirtualNetwork	Isolamento de Rede	Implante a rede virtual gerenciada para o data factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Resiliência	Compartilhe o tempo de execução de integração auto-hospedado hospedado no Data Hub com Data Factories nos nós de dados.

Azure Synapse Analytics

Nome da política	Domínio de intervenção	Description
Append-Synapse-LinkedAccessCheckOnTargetResource	Isolamento de Rede	Imponha LinkedAccessCheckOnTargetResource nas configurações de rede virtual gerenciadas quando o Synapse Workspace for criado.
Apêndice-Sinapse-Purview	Isolamento de Rede	Imponha a conexão entre a instância de escopo central e o Synapse Workspace.
Append-SynapseSpark-ComputeIsolation	Gestão de Recursos	Quando um Synapse Spark Pool é criado sem isolamento de computação, isso o adiciona.
Append-SynapseSpark-DefaultSparkLogFolder	Registo	Quando um Synapse Spark Pool é criado sem registro, isso irá adicioná-lo.
Append-SynapseSpark-SessionLevelPackages	Gestão de Recursos	Ao criar um Synapse Spark Pool sem pacotes de nível de sessão, estes são adicionados subsequentemente.
Audit-Synapse-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Isolamento de Rede
Negar-Sinapse-Firewall	Isolamento de Rede	Configure o firewall do Synapse.
Deny-Synapse-ManagedVirtualNetwork	Isolamento de Rede	Quando um espaço de trabalho Synapse é criado sem uma rede virtual gerida, então esta é adicionada.
Negar-Sinapse-PrevenirDataExfiltração	Isolamento de Rede	Prevenção imposta de exfiltração de dados para a rede virtual gerenciada pela Sinapse.
Deny-SynapsePrivateLinkHub	Isolamento de Rede	Nega Synapse Private Link Hub.
Deny-SynapseFaísca-Autopausa	Gestão de Recursos	Impõe a pausa automática para Synapse Spark Pools.
Deny-SynapseFaísca-AutoScale	Gestão de Recursos	Impõe a escala automática para Synapse Spark Pools.
Deny-SynapseSql-Sku	Gestão de Recursos	Nega certas SKUs do Synapse SQL Pool.
Deploy-SynapseSql-AuditingSettings	Registo	Envie logs de auditoria para pools Synapse SQL para logar análises.
Deploy-SynapseSql-MetadataSynch	Gestão de Recursos	Configure a sincronização de metadados para pools Synapse SQL.
Deploy-SynapseSql-SecurityAlertPolicies	Registo	Implante a política de alerta de segurança do pool SQL da Sinapse.
Deploy-SynapseSql-TransparentDataEncryption	Encriptação	Implante a criptografia de dados transparente Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment	Registo	Implante avaliações de vulnerabilidade do pool SQL Synapse.

Azure Databricks

Nome da política	Domínio de intervenção	Description
Append-Databricks-PublicIp	Isolamento de Rede	Não impõe acesso público em espaços de trabalho Databricks.
Deny-Databricks-Sku	Gestão de Recursos	Negar SKU não premium do Databricks.
Deny-Databricks-VirtualNetwork	Isolamento de Rede	Negar a implantação de rede não virtual para databricks.

Outras políticas que são aplicadas no espaço de trabalho Databricks por meio de políticas de cluster:

Nome da política de cluster	Domínio de intervenção
Restringir versão do Spark	Gestão de Recursos
Restringir o tamanho do cluster e os tipos de VM	Gestão de Recursos
Impor etiquetagem de custos	Gestão de Recursos
Impor o dimensionamento automático	Gestão de Recursos
Aplicar pausa automática	Gestão de Recursos
Restringir DBUs por hora	Gestão de Recursos
Negar SSH público	Autenticação
Passagem de credenciais de cluster habilitada	Autenticação
Habilitar o isolamento do processo	Isolamento da rede
Reforçar a monitorização de faíscas	Registo
Impor logs de cluster	Registo
Permitir apenas SQL, Python	Gestão de recursos
Negar scripts de configuração adicionais	Gestão de recursos

Hub IoT do Azure

Nome da política	Domínio de intervenção	Description
Append-IotHub-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para o hub iot.
Audit-IotHub-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas para hubs iot.
Deny-IotHub-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para o hub iot.
Deny-IotHub-Sku	Gestão de Recursos	Impõe SKUs de hub iot.
Deploy-IotHub-IoTSecuritySolutions	Segurança	Implante o Microsoft Defender for IoT para Hubs IoT.

Hubs de Eventos do Azure

Nome da política	Domínio de intervenção	Description
Deny-EventHub-Ipfilterrules	Isolamento de Rede	Negar a adição de regras de filtro ip para Hubs de Eventos do Azure.
Deny-EventHub-MaximumThroughputUnits	Isolamento de Rede	Nega acesso à rede pública para meus servidores SQL.
Deny-EventHub-NetworkRuleSet	Isolamento de Rede	Impõe regras de rede virtual padrão para Hubs de Eventos do Azure.
Deny-EventHub-Sku	Gestão de Recursos	Nega determinadas AKUs para Hubs de Eventos do Azure.
Deny-EventHub-Virtualnetworkrules	Isolamento de Rede	Negar a adição de regras de rede virtual para Hubs de Eventos do Azure.

Azure Stream Analytics

Nome da política	Domínio de intervenção	Description
Append-StreamAnalytics-IdentityType	Autenticação	Impõe o uso da identidade atribuída ao sistema para análise de fluxo.
Deny-StreamAnalytics-ClusterId	Gestão de Recursos	Impõe o uso do cluster do Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Gestão de Recursos	Impõe o número de unidades de streaming de análise de fluxo.

Azure Data Explorer

Nome da política	Domínio de intervenção	Description
Deny-DataExplorer-DiskEncryption	Encriptação	Impõe o uso de criptografia de disco para o explorador de dados.
Deny-DataExplorer-DoubleEncryption	Encriptação	Impõe o uso de criptografia dupla para o explorador de dados.
Deny-DataExplorer-Identidade	Autenticação	Impõe o uso da identidade atribuída pelo sistema ou pelo usuário para o data explorer.
Deny-DataExplorer-Sku	Gestão de Recursos	Impõe SKUs do explorador de dados.
Deny-DataExplorer-TrustedExternalTenants	Isolamento de Rede	Nega locatários externos para o data explorer.
Deny-DataExplorer-VirtualNetworkConfiguration	Isolamento de Rede	Impõe a ingestão de rede virtual para o explorador de dados.

Azure Cosmos DB

Nome da política	Domínio de intervenção	Description
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Autenticação	Negar acesso de gravação de metadados baseados em chave para contas do Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Isolamento de Rede	Não impõe nenhum acesso à rede pública para contas do Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do Azure Cosmos DB.
Deny-Cosmos-Cors	Isolamento de Rede	Nega as regras do CORS para contas do Azure Cosmos DB."
Deny-Cosmos-PublicNetworkAccess	Isolamento de Rede	Nega acesso à rede pública para contas do Azure Cosmos DB.

Registo de Contentores do Azure

Nome da política	Domínio de intervenção	Description
Audit-ContainerRegistry-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas de serviços cognitivos.
Deny-ContainerRegistry-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para o registro de contêiner.
Deny-ContainerRegistry-SKU	Gestão de Recursos	Impõe Sku premium para registro de contêiner.

Serviços Cognitivos do Azure

Nome da política	Domínio de intervenção	Description
Append-CognitiveServices-IdentityType	Autenticação	Impõe o uso da identidade atribuída pelo sistema para serviços cognitivos.
Audit-CognitiveServices-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas de serviços cognitivos.
Negar-CognitiveServices-Encryption	Encriptação	Impõe o uso de criptografia para serviços cognitivos.
Negar-CognitiveServices-PublicNetworkAccess	Isolamento de Rede	Não impõe nenhum acesso à rede pública para serviços cognitivos.
Deny-CognitiveServices-Sku	Gestão de Recursos	Negar serviços cognitivos SKU gratuito.
Deny-CognitiveServices-UserOwnedStorage	Isolamento de Rede	Impõe o armazenamento de propriedade do usuário para serviços cognitivos.

Azure Machine Learning

Nome da política	Domínio de intervenção	Description
Append-MachineLearning-PublicAccessWhenBehindVnet	Isolamento de Rede	Negar acesso público através da rede virtual para ambientes de trabalho de aprendizagem automática.
Audit-MachineLearning-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas para aprendizado de máquina.
Deny-MachineLearning-HbiWorkspace	Isolamento de Rede	Imponha espaços de trabalho de aprendizado de máquina de alto impacto nos negócios em todo o ambiente.
Deny-MachineLearningAks	Gestão de Recursos	Negar a criação de AKS (não anexar) no aprendizado de máquina.
Deny-MachineLearningCompute-SubnetId	Isolamento de Rede	Negar IP público para instâncias e clusters de computação de aprendizado de máquina.
Deny-MachineLearningCompute-VmSize	Gestão de Recursos	Limite os tamanhos de vm permitidos para clusters e instâncias de computação de aprendizado de máquina.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Isolamento de Rede	Negar acesso público de clusters via SSH.
Deny-MachineLearningComputeCluster-Scale	Gestão de Recursos	Imponha configurações de escala para clusters de computação de aprendizado de máquina.

Instância Gerida do Azure SQL

Nome da política	Domínio de intervenção	Description
Append-SqlManagedInstance-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para servidores de Instância Gerenciada SQL.
Deny-SqlManagedInstance-PublicDataEndpoint	Isolamento de Rede	Nega ponto de extremidade de dados públicos para instâncias gerenciadas SQL.
Deny-SqlManagedInstance-Sku	Gestão de Recursos
Deny-SqlManagedInstance-SubnetId	Isolamento de Rede	Impõe implantações em sub-redes de Instâncias Gerenciadas SQL.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Autenticação	Impõe a autenticação somente Microsoft Entra-somente para Instância Gerenciada SQL.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Registo	Implante políticas de alerta de segurança da Instância Gerenciada SQL.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Registo	Implante avaliações de vulnerabilidade da Instância Gerenciada SQL.

Base de Dados SQL do Azure

Nome da política	Domínio de intervenção	Description
Append-Sql-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para servidores SQL.
Audit-SQL-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do Azure SQL.
Deny-SQL-PublicNetworkAccess	Isolamento de Rede	Nega acesso à rede pública para servidores SQL.
Deny-SQL-StorageAccountType	Resiliência	Impõe backup de banco de dados com redundância geográfica.
Deploy-SQL-AuditingSettings	Registo	Implante configurações de auditoria SQL.
Deploy-SQL-AzureAdOnlyAuthentications	Autenticação	Impõe a autenticação somente Microsoft Entra-somente para o servidor SQL.
Deploy-SQL-SecurityAlertPolicies	Registo	Implante políticas de alerta de segurança SQL.
Deploy-SQL-TransparentDataEncryption	Encriptação	Implante criptografia de dados transparente SQL.
Deploy-SQL-VulnerabilityAssessment	Registo	Implante avaliações de vulnerabilidade do SQL.
Deploy-SqlDw-AuditingSettings	Registo	Implante as configurações de auditoria do SQL DW.

Azure Database for MariaDB

Nome da política	Domínio de intervenção	Description
Append-MariaDb-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para servidores MariaDB.
Audit-MariaDb-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do MariaDB.
Deny-MariaDb-PublicNetworkAccess	Isolamento de Rede	Nega acesso à rede pública para meus servidores MariaDB.
Deny-MariaDb-StorageProfile	Resiliência	Impõe backup de banco de dados com redundância geográfica com tempo mínimo de retenção em dias.
Deploy-MariaDb-SecurityAlertPolicies	Registo	Implantar políticas de alerta de segurança SQL para MariaDB

Base de Dados do Azure para MySQL

Nome da política	Domínio de intervenção	Description
Append-MySQL-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para servidores MySQL.
Audit-MySql-PrivateEndpointId	Isolamento de Rede	Audite endpoints públicos criados em outras assinaturas do MySQL.
Deny-MySQL-InfrastructureEncryption	Encriptação	Impõe criptografia de infraestrutura para servidores MySQL.
Deny-MySQL-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para servidores MySQL.
Deny-MySql-StorageProfile	Resiliência	Impõe backup de banco de dados com redundância geográfica com tempo mínimo de retenção em dias.
Deploy-MySql-SecurityAlertPolicies	Registo	Implante políticas de alerta de segurança SQL para MySQL.

Base de Dados do Azure para PostgreSQL

Nome da política	Domínio de intervenção	Description
Append-PostgreSQL-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para servidores PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Encriptação	Impõe criptografia de infraestrutura para servidores PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para servidores PostgreSQL.
Deny-PostgreSql-StorageProfile	Resiliência	Impõe backup de banco de dados com redundância geográfica com tempo mínimo de retenção em dias.
Deploy-PostgreSql-SecurityAlertPolicies	Registo	Implante políticas de alerta de segurança SQL para PostgreSQL.

Pesquisa de IA do Azure

Nome da política	Domínio de intervenção	Description
Append-Search-IdentityType	Autenticação	Impõe o uso da identidade atribuída ao sistema para o Azure AI Search.
Audit-Search-PrivateEndpointId	Isolamento de Rede	Audite pontos de extremidade públicos criados em outras assinaturas do Azure AI Search.
Deny-Search-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para o Azure AI Search.
Deny-Search-Sku	Gestão de Recursos	Impõe SKUs de Pesquisa de IA do Azure.

Azure DNS

Nome da política	Domínio de intervenção	Description
Deny-PrivateDnsZones	Gestão de Recursos	Restrinja a implantação de zonas DNS privadas para evitar a proliferação.

Grupo de segurança de rede

Nome da política	Domínio de intervenção	Description
Deploy-NSG-FlowLogs	Registo	Implante logs de fluxo NSG e análises de tráfego.

Batch

Nome da política	Domínio de intervenção	Description
Deny-Batch-InboundNatPools	Isolamento de Rede	Nega pools de NAT de entrada para pools de VM de conta em lote.
Deny-Batch-NetworkConfiguration	Isolamento de Rede	Nega endereços IP públicos para pools de VM de conta em lote.
Deny-Batch-PublicNetworkAccess	Isolamento de Rede	Nega o acesso à rede pública para contas em lote.
Escala de negação de lote	Gestão de Recursos	Nega determinadas configurações de escala para pools de VM de conta em lote.
Deny-Batch-VmSize	Gestão de Recursos	Nega determinados tamanhos de VM para pools de VM de conta em lote.

Cache do Azure para Redis

Nome da política	Domínio de intervenção	Description
Deny-Cache-Enterprise	Gestão de Recursos	Nega o Redis Cache Enterprise.
Deny-Cache-FirewallRules	Isolamento de Rede	Nega regras de firewall para o Cache Redis.
Deny-Cache-MinimumTlsVersion	Encriptação	Impõe a versão mínima do TLS para o Cache Redis.
Deny-Cache-NonSslPort	Isolamento de Rede	Impõe a desativação da porta não-SSL para o Cache Redis.
Deny-Cache-PublicNetworkAccess	Isolamento de Rede	Não impõe nenhum acesso à rede pública para o Cache Redis.
Deny-Cache-Sku	Gestão de Recursos	Impõe determinados SkKUs para o Cache Redis.
Deny-Cache-VnetInjection	Isolamento de Rede	Impõe o uso de pontos de extremidade privados e nega a injeção de rede virtual para o Cache Redis.

Instâncias de contentores

Nome da política	Domínio de intervenção	Description
Deny-ContainerInstance-PublicIpAddress	Isolamento de Rede	Nega instâncias de contêiner públicas criadas a partir do Azure Machine Learning.

Azure Firewall

Nome da política	Domínio de intervenção	Description
Negar-Firewall	Gestão de Recursos	Restrinja a implantação do Firewall do Azure para evitar a proliferação.

HDInsight

Nome da política	Domínio de intervenção	Description
Deny-HdInsight-EncryptionAtHost	Encriptação	Imponha a criptografia no host para clusters HDInsight.
Deny-HdInsight-EncryptionInTransit	Encriptação	Impõe a criptografia em trânsito para clusters HDInsight.
Deny-HdInsight-MinimalTlsVersion	Encriptação	Impõe a versão TLS mínima para clusters HDInsight.
Deny-HdInsight-NetworkProperties	Isolamento de Rede	Impõe a ativação de link privado para clusters HDInsight.
Deny-HdInsight-Sku		Impõe determinadas SKUs para clusters HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Isolamento de Rede	Impõe a injeção de rede virtual para clusters HDInsight.

Power BI

Nome da política	Domínio de intervenção	Description
Deny-PrivateLinkServicesForPowerBI	Gestão de Recursos	Restrinja a implantação de serviços de link privado para o Power BI para evitar a proliferação.

Próximos passos

• Requisitos para controlar dados em uma empresa moderna
• Componentes necessários para a governança de dados