適用於 Azure 虛擬網路的 Azure 原則內建定義
此頁面是 Azure 虛擬網絡 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 虛擬網路
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
[預覽]:Container Registry 應使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Container Registry。 | Audit, Disabled | 1.0.0-preview |
必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線 | 此原則可確保所有 Azure 虛擬網路閘道連線都使用自訂的網際網路通訊協定安全性 (Ipsec)/網際網路金鑰交換 (IKE) 原則。 支援的演算法和金鑰強度 - https://aka.ms/AA62kb0 | Audit, Disabled | 1.0.0 |
所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
App Service 應用程式應使用虛擬網路服務端點 | 使用虛擬網路服務端點,限制從 Azure 虛擬網路中的選定子網路對您應用程式的存取。 若要深入了解 App Service 服務端點,請瀏覽 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists, Disabled | 2.0.1 |
稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
Azure 應用程式閘道應該使用 Azure WAF 進行部署 | 需要 Azure 應用程式閘道使用 Azure WAF 進行部署。 | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆傳統規則應移轉至防火牆原則 | 從 Azure 防火牆傳統規則移轉至防火牆原則,以利用 Azure 防火牆管理員等中央管理工具。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 Azure 防火牆原則分析 | 啟用原則分析可提高流量流經 Azure 防火牆的可見度,讓您能夠最佳化防火牆設定,而不會影響應用程式效能 | Audit, Disabled | 1.0.0 |
Azure 防火牆原則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆原則應已啟用 DNS Proxy | 啟用 DNS Proxy 會讓與此原則建立關聯的 Azure 防火牆會在連接埠 53 上接聽,並將 DNS 要求轉送至指定的 DNS 伺服器 | Audit, Disabled | 1.0.0 |
應部署 Azure 防火牆,以跨越多個可用性區域 | 為了提高可用性,建議您部署 Azure 防火牆以跨越多個可用性區域。 這可確保您的 Azure 防火牆在發生區域失敗時仍可供使用。 | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆標準 - 傳統規則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆標準應升級至進階版,以進行新一代保護 | 如果您要尋找新一代保護,例如 IDPS 和 TLS 檢查,您應該考慮將 Azure 防火牆升級至進階版 SKU。 | Audit, Deny, Disabled | 1.0.0 |
Azure VPN 閘道不應使用「基本」SKU | 此原則可確保 VPN 閘道不使用「基本」SKU。 | Audit, Disabled | 1.0.0 |
Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure 應用程式閘道的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure Front Door 的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
應為 Azure 應用程式閘道 WAF 啟用 Bot 保護 | 此原則可確保所有 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
應為 Azure Front Door WAF 啟用 Bot 保護 | 此原則可確保所有 Azure Front Door Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
將 Azure 網路安全性群組的診斷設定設定為 Log Analytics 工作區 | 將診斷設定部署到 Azure 網路安全性群組,以將資源記錄串流到 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
設定網路安全性群組以啟用流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有網路安全性群組啟用流量分析。 如果已啟用流量分析,則原則不會覆寫其設定。 網路安全性群組也會啟用流量記錄 (如果尚未啟用)。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.2.0 |
設定網路安全性群組以使用特定工作區、儲存體帳戶和流量記錄保留原則進行流量分析 | 如果已啟用流量分析,則原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.2.0 |
設定虛擬網路以啟用流量記錄和流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有虛擬網路啟用流量分析和流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.1.1 |
將虛擬網路設定為針對流量記錄和流量分析強制執行工作區、儲存體帳戶和保留間隔 | 如果虛擬網路已啟用流量分析,則此原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.1.2 |
Cosmos DB 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 | Audit, Disabled | 1.0.0 |
使用目標網路安全性群組部署流量記錄資源 | 設定特定網路安全性群組的流量記錄。 其可記錄流過網路安全性群組的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | deployIfNotExists | 1.1.0 |
使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 其可記錄流過虛擬網路的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | DeployIfNotExists, Disabled | 1.1.1 |
於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域中建立網路監看員資源。 您必須確定名為 networkWatcherRG 的資源群組是否存在,其將用來部署網路監看員執行個體。 | DeployIfNotExists | 1.0.0 |
啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
事件中樞應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的事件中樞。 | AuditIfNotExists, Disabled | 1.0.0 |
應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
閘道子網路不應設定網路安全性群組 | 若閘道子網路中設定了網路安全性群組,此原則將予以拒絕。 為閘道子網路指派網路安全性群組,將導致閘道停止運作。 | 拒絕 | 1.0.0 |
Key Vault 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Key Vault。 | Audit, Disabled | 1.0.0 |
將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則 | 如果您具有 WAF 組態而非 WAF 原則,您可能想要移至新的 WAF 原則。 其後,防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 | Audit, Deny, Disabled | 1.0.0 |
網路介面應停用 IP 轉送 | 此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉送的設定會使 Azure 停止檢查網路介面的來源和目的地。 這應該由網路安全性小組來檢閱。 | 拒絕 | 1.0.0 |
網路介面不應設定公用 IP | 此原則會拒絕設定了任何公用 IP 的網路介面。 公用 IP 位址可讓網際網路資源對 Azure 資源進行輸入通訊,以及讓 Azure 資源對網際網路進行輸出通訊。 這應該由網路安全性小組來檢閱。 | 拒絕 | 1.0.0 |
網路監看員流程記錄應已啟用流量分析 | 流量分析可以分析流量記錄,讓您深入了解 Azure 雲端中的流量。 它可用來視覺化 Azure 訂用帳戶中的網路活動,並識別作用點、識別安全性威脅、了解流量模式、找出網路錯誤設定等等。 | Audit, Disabled | 1.0.1 |
應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
公用 IP 和公用 IP 首碼應具有 FirstPartyUsage 標籤 | 確定所有公用 IP 位址和公用 IP 首碼都有 FirstPartyUsage 標籤。 | Audit, Deny, Disabled | 1.0.0 |
SQL Server 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 | AuditIfNotExists, Disabled | 1.0.0 |
儲存體帳戶應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的儲存體帳戶。 | Audit, Disabled | 1.0.0 |
子網路應該是私人的 | 藉由防止預設的輸出存取,確定您的子網路是安全的。 如需詳細資訊,請移至 https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
虛擬中樞應使用 Azure 防火牆保護 | 將 Azure 防火牆部署至虛擬中樞,以保護和細微控制網際網路輸出和輸入流量。 | Audit, Deny, Disabled | 1.0.0 |
虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。 | Audit, Deny, Disabled | 1.0.0 |
虛擬網路應受 Azure DDoS 保護的保護 | 使用 Azure DDoS 保護來保護您的虛擬網路,防止體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 |
虛擬網路應該使用指定的虛擬網路閘道 | 此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。 | AuditIfNotExists, Disabled | 1.0.0 |
VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入了解 Azure AD 驗證,請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
標籤
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將標籤新增至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
將標籤新增至資源 | 當建立或更新了任何遺失指定標籤的資源時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
將標籤新增至訂用帳戶 | 透過補救工作,將指定的標籤和值新增至訂用帳戶。 如果標籤以不同的值存在,則不會遭到變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
新增或置換資源群組上的標籤 | 當建立或更新了任何資源群組時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 | 修改 | 1.0.0 |
新增或置換資源上的標籤 | 當建立或更新了任何資源時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
新增或取代訂用帳戶上的標籤 | 透過補救工作,在訂用帳戶上新增或取代指定的標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
附加來自資源群組的標籤及其值 | 當建立或更新了任何遺失指定標籤的資源時,便附加來自資源群組的這個標籤及其值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
將標籤及其值附加至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便附加此標籤和值。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的資源群組標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
將標籤及其值附加至資源 | 當建立或更新了任何遺失指定標籤的資源時,便附加此標籤和值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 不會套用至資源群組。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.1 |
從資源群組繼承標籤 | 當建立或更新了任何資源時,新增或取代來自父代資源群組中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
從資源群組繼承標籤 (若遺漏) | 當建立或更新了任何遺失指定標籤的資源時,便新增來自父代資源群組的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
從訂用帳戶繼承標籤 | 當建立或更新了任何資源時,新增或取代包含訂用帳戶中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
若缺少標籤,則從訂用帳戶予以繼承 | 當建立或更新了任何遺失指定標籤的資源時,便新增來自包含訂用帳戶的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
資源群組必須有標籤及其值 | 強制資源群組上必要的標籤及其值。 | 拒絕 | 1.0.0 |
資源必須有標籤及其值 | 強制必要標籤和其值。 不會套用至資源群組。 | 拒絕 | 1.0.1 |
資源群組必須有標籤 | 施行資源群組必須具備標籤。 | 拒絕 | 1.0.0 |
資源必須有標籤 | 強制存在標籤。 不會套用至資源群組。 | 拒絕 | 1.0.1 |
一般
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用「全球」區域的資源。 | 拒絕 | 1.0.0 |
允許資源群組的位置 | 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
允許的資源類型 | 此原則可讓您指定組織所能部署的資源類型。 只有支援「標籤」和「位置」的資源類型會受此原則影響。 若要限制所有資源,請複製此原則,並將 [模式] 變更為 [全部]。 | 拒絕 | 1.0.0 |
稽核資源位置是否符合資源群組位置 | 稽核資源位置是否符合其資源群組位置 | 稽核 | 2.0.0 |
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
不允許刪除資源類型 | 此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫,以防止意外刪除的資源類型。 | DenyAction、Disabled | 1.0.1 |
不允許 M365 資源 | 封鎖 M365 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
不允許 MCPP 資源 | 封鎖 MCPP 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
排除使用量成本資源 | 此原則可讓您排除使用量成本資源。 使用量成本包括計量付費儲存體和 Azure 資源等項目,這些項目會根據使用量計費。 | Audit, Deny, Disabled | 1.0.0 |
不允許的資源類型 | 限制可以在環境中部署哪些資源類型。 限制資源類型可減少環境的複雜度和受攻擊面,同時也有助於管理成本。 只有不符合規範的資源會顯示合規性結果。 | Audit, Deny, Disabled | 2.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。