Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
此页面是Azure Policy内置策略定义的索引。
Azure门户中策略定义的每个内置链接的名称。 使用 Source 列中的链接查看 Azure Policy GitHub 存储库上的源。 这些内置项按元数据中的 category 属性进行分组。 若要转到特定类别,请使用 Ctrl-F 来使用浏览器的搜索功能。
API Management
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| API 管理 API 应仅使用加密协议 | 为了确保传输中数据的安全性,API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议,例如 HTTP 或 WS。 | 审核、已禁用、拒绝 | 2.0.2 |
| API 管理对 API 后端的调用应进行身份验证 | 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。 | 审核、已禁用、拒绝 | 1.0.1 |
| API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 要提升 API 安全性,API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证。 | 审核、已禁用、拒绝 | 1.0.2 |
| 不应启用 API 管理直接管理接口 | Azure API Management中的直接管理 REST API 绕过Azure Resource Manager基于角色的访问控制、授权和限制机制,从而增加服务的漏洞。 | 审核、已禁用、拒绝 | 1.0.2 |
| API 管理策略应使用 <基数继承父范围策略 /> | 确保每个 API 管理策略都包含 <每个策略部分开头的基/> 标记( <入站>、 <出站>、 <后端>和 <错误> )以从父范围继承策略。 省略 <基数/> 可能导致绕过共享规则,例如身份验证、日志记录、速率限制和其他关键控制。 了解详细信息:https://docs.azure.cn/api-management/api-management-howto-policies | Audit、Deny、Disabled | 1.0.0 |
| 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理(自定义机密)中的加密文本,也可以通过在Azure Key Vault中引用机密来存储机密。 为了提高 API 管理和机密的安全性,请从Azure Key Vault引用命名的机密值。 Azure Key Vault支持精细的访问管理和机密轮换策略。 | 审核、已禁用、拒绝 | 1.0.2 | |
| API 管理服务应使用支持虚拟网络的 SKU | 有了 API 管理支持的 SKU,将服务部署到虚拟网络中就可以解锁高级 API 管理网络和安全功能,从而更全面地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/api-management/api-management-using-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
| API 管理服务应使用虚拟网络 | Azure Virtual Network部署提供增强的安全性、隔离性,使你能够将 API 管理服务放置在你控制其访问权限的非 Internet 可路由网络中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| API 管理应禁用对服务配置终结点的公用网络访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | AuditIfNotExists、Disabled | 1.0.1 |
| API 管理应禁用用户名和密码身份验证 | 为了更好地保护开发人员门户,应禁用 API 管理中的用户名和密码身份验证。 通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | Audit、Disabled | 1.0.1 |
| API 管理订阅的范围不应为所有 API | API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致过多的数据泄露。 | 审核、已禁用、拒绝 | 1.1.0 |
| Azure API Management平台版本应为 stv2 | Azure API Management stv1 计算平台版本将于 2024 年 8 月 31 日停用,这些实例应迁移到 stv2 计算平台,以便继续提供支持。 有关详细信息,请访问 https://docs.azure.cn/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit、Deny、Disabled | 1.0.0 |
| 配置 API 管理服务以禁用对 API 管理公共服务配置终结点的访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | DeployIfNotExists、Disabled | 1.1.0 |
| 修改 API 管理以禁用用户名和密码身份验证 | 为了更好地保护开发人员门户用户帐户及其凭据,请通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | 修改 | 1.1.0 |
应用程序配置
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Configuration应禁用公用网络access | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 应用程序配置应使用客户管理的密钥 | 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 | Audit、Deny、Disabled | 1.1.0 |
| 使用受支持的 SKU 时,Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 | |
| 应用程序配置应使用异地复制 | 使用异地复制功能在当前配置存储区的其他位置创建副本,以提高复原能力和可用性。 此外,使用多区域副本可以更好地分配负载、降低延迟、防止数据中心中断,并隔离全球分布的工作负载。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-geo-replication。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用程序配置应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/zh-cn/azure-app-configuration/concept-private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用程序配置存储应禁用本地身份验证方法 | 禁用本地身份验证方法可确保应用配置存储仅需要Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/howto-disable-access-key-authentication。 | Audit、Deny、Disabled | 1.0.1 |
| 配置应用程序配置存储以禁用本地身份验证方法 | 禁用本地身份验证方法,以便应用配置存储仅需要Microsoft Entra标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/howto-disable-access-key-authentication。 | 修改,已禁用 | 1.0.1 |
| 将应用配置配置为禁用公用网络访问 | 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | 修改,已禁用 | 1.0.0 |
| 为连接到应用配置的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为应用配置配置专用终结点 | 专用终结点允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
App Service
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.2.0 |
| App Service应用槽应禁用公用网络access | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 应用服务应用槽应启用配置路由到 Azure Virtual Network | 默认情况下,不会通过区域 VNET 集成路由应用配置,例如拉取容器映像和装载内容存储。 对于 2024-11-01 之前的 API 版本,请将“vnetImagePullEnabled”和“vnetContentShareEnabled”设置为 true。 对于 2024-11-01+,请将“outboundVnetRouting.imagePullTraffic”和“outboundVnetRouting.contentShareTraffic”设置为 true。 更多信息请访问 https://docs.azure.cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.1.0 |
| 应用服务应用槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | Audit、Deny、Disabled | 1.0.0 |
| 默认情况下,区域 VNET 集成仅路由RFC1918流量进入虚拟网络。 对于 2024-11-01 之前的 API 版本,请将“vnetRouteAllEnabled”设置为 true,以启用所有出站流量进入Azure Virtual Network。 对于 2024-11-01+,请将“outboundVnetRouting.applicationTraffic”设置为 true。 这将为所有出站流量启用网络安全组和用户定义的路由。 | Audit、Deny、Disabled | 1.1.0 | |
| 应用服务应用槽应启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应用服务应用槽应已关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只应通过 HTTPS 访问应用服务应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 应用服务应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应为其内容目录使用Azure文件共享 | 应用的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure Files托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.2.0 |
| 使用Java的应用服务应用槽应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对应用服务应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用Python的应用服务应用槽应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对应用服务应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.2.0 |
| App Service应用应禁用公用网络access | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应用服务应用应启用配置路由到 Azure Virtual Network | 默认情况下,不会通过区域 VNET 集成路由应用配置,例如拉取容器映像和装载内容存储。 对于 2024-11-01 之前的 API 版本,请将“vnetImagePullEnabled”和“vnetContentShareEnabled”设置为 true。 对于 2024-11-01+,请将“outboundVnetRouting.imagePullTraffic”和“outboundVnetRouting.contentShareTraffic”设置为 true。 更多信息请访问 https://docs.azure.cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.1.0 |
| 应用服务应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | Audit、Deny、Disabled | 1.0.0 |
| 默认情况下,区域 VNET 集成仅路由RFC1918流量进入虚拟网络。 对于 2024-11-01 之前的 API 版本,请将“vnetRouteAllEnabled”设置为 true,以启用所有出站流量进入Azure Virtual Network。 对于 2024-11-01+,请将“outboundVnetRouting.applicationTraffic”设置为 true。 这将为所有出站流量启用网络安全组和用户定义的路由。 | Audit、Deny、Disabled | 1.1.0 | |
| 应用服务应用应启用身份验证 | Azure App Service身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在访问 Web 应用之前对具有令牌的用户进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service应用应为 SCM 站点部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 借助支持的 SKU,Azure Private Link使你无需在源或目标处使用公共 IP 地址即可将虚拟网络连接到Azure服务。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | Audit、Deny、Disabled | 4.3.0 | |
| 应用服务应用应对其内容目录使用Azure文件共享 | 应用的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure Files托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 3.0.0 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service应用应使用 private link | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.2.0 |
| 使用Java的应用服务应用应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对应用服务应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 3.2.0 |
| 使用Python的应用服务应用应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对应用服务应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、Disabled | 4.1.0 |
| App Service Environment应用不应通过公共 Internet 访问 | 为了确保无法通过公共 Internet 访问App Service Environment中部署的应用,应使用虚拟网络中的 IP 地址部署App Service Environment。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署App Service Environment。 | Audit、Deny、Disabled | 3.0.0 |
| 应使用最强的 TLS 密码套件配置 App Service Environment | App Service Environment正常运行所需的两个最最小和最强的密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384和TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
| App Service Environment应启用内部加密 | 将 InternalEncryption 设置为 true 可加密前端与App Service Environment中的辅助角色之间的页面文件、辅助角色磁盘和内部网络流量。 若要了解详细信息,请查看 https://docs.azure.cn/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
| App Service Environment应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量有助于保护App Service Environment中的应用。 | Audit、Deny、Disabled | 2.0.1 |
| 配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用槽以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.3.0 |
| 配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将应用服务应用配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint#dns。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.2.0 |
| 将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.1.0 |
| 配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置函数应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.4.0 |
| 配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.2.0 |
| 将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.1.0 |
| 配置函数应用以关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.3.0 |
| Function 应用槽应禁用公用网络access | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
| Function 应用槽应启用配置路由到 Azure Virtual Network | 默认情况下,不会通过区域 VNET 集成路由应用配置,例如拉取容器映像和装载内容存储。 对于 2024-11-01 之前的 API 版本,请将“vnetImagePullEnabled”和“vnetContentShareEnabled”设置为 true。 对于 2024-11-01+,请将“outboundVnetRouting.imagePullTraffic”和“outboundVnetRouting.contentShareTraffic”设置为 true。 不适用于弹性/消耗计划。 了解详细信息:https://docs.azure.cn/zh-cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.2.0 |
| 函数应用服务插槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | Audit、Deny、Disabled | 1.1.0 |
| 默认情况下,如果某个应用使用区域Azure Virtual Network(VNET)集成,则应用仅将RFC1918流量路由到相应的虚拟网络。 对于 2024-11-01 之前的 API 版本,请将“vnetRouteAllEnabled”设置为 true,以启用所有出站流量进入Azure Virtual Network。 对于 API 版本 2024-11-01 及更高版本,请将“outboundVnetRouting.applicationTraffic”设置为 true。 请注意,此策略应仅应用于未在 Flex Consumption 或 Consumption 托管计划中运行的函数应用。 | Audit、Deny、Disabled | 1.2.0 | |
| 函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.1.0 |
| 函数应用槽应已关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.1.0 |
| 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.1.0 |
| 只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.1.0 |
| 函数应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.1.0 |
| Function 应用槽应对其内容目录使用Azure文件共享 | Function App 的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure Files托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 1.1.0 |
| 函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.1.0 |
| Function 应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.3.0 |
| 使用 Java 的 Function 应用槽应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对函数应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Python 的 Function 应用槽应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对函数应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| Function 应用应禁用公用网络access | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://docs.azure.cn/storage/files/storage-files-introduction。 | 审核、已禁用、拒绝 | 1.1.0 |
| Function 应用应启用配置路由到 Azure Virtual Network | 默认情况下,不会通过区域 VNET 集成路由应用配置,例如拉取容器映像和装载内容存储。 对于 2024-11-01 之前的 API 版本,请将“vnetImagePullEnabled”和“vnetContentShareEnabled”设置为 true。 对于 2024-11-01+,请将“outboundVnetRouting.imagePullTraffic”和“outboundVnetRouting.contentShareTraffic”设置为 true。 不适用于弹性/消耗计划。 了解详细信息:https://docs.azure.cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.2.0 |
| 函数应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | Audit、Deny、Disabled | 1.1.0 |
| 默认情况下,如果某个应用使用区域Azure Virtual Network(VNET)集成,则应用仅将RFC1918流量路由到相应的虚拟网络。 对于 2024-11-01 之前的 API 版本,请将“vnetRouteAllEnabled”设置为 true,以启用所有出站流量进入Azure Virtual Network。 对于 API 版本 2024-11-01 及更高版本,请将“outboundVnetRouting.applicationTraffic”设置为 true。 请注意,此策略应仅应用于未在 Flex Consumption 或 Consumption 托管计划中运行的函数应用。 | Audit、Deny、Disabled | 1.2.0 | |
| 函数应用应启用身份验证 | Azure App Service身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或验证那些在访问函数应用之前具有令牌的用户。 | AuditIfNotExists、Disabled | 3.1.0 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.1.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.1.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.1.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.1.0 |
| Function 应用应对其内容目录使用Azure文件共享 | Function App 的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure Files托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 3.1.0 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.1.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.3.0 |
| 使用Java的 Function 应用应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对函数应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用Python的Function 应用应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对函数应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、Disabled | 4.1.0 |
自动化
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Automation 帐户应具有托管标识 | 使用托管标识作为对 Runbook 中的Azure资源进行身份验证的建议方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 | Audit、Disabled | 1.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| Automation 帐户应禁用公用网络access | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.azure.cn/automation/how-to/private-link-security。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Automation帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理Azure Automation帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/automation/automation-secure-asset-encryption。 | Audit、Deny、Disabled | 1.0.0 |
| 配置Azure Automation帐户以禁用公用网络访问 | 禁用Azure Automation帐户的公共网络访问,以便无法通过公共 Internet 访问它。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.azure.cn/event-grid/configure-private-endpoints。 | 修改,已禁用 | 1.0.0 |
| 配置具有专用 DNS 区域的Azure Automation帐户 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过Azure Private Link连接到Azure Automation帐户。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 Azure Automation 帐户上配置专用终结点连接 | 专用终结点连接允许通过启用与Azure Automation帐户的专用连接来安全通信,而无需在源或目标处使用公共 IP 地址。 在 https://docs.azure.cn/automation/how-to/private-link-security 中了解有关 Azure Automation 中的专用终结点的详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用自动化帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 在 https://docs.azure.cn/automation/how-to/private-link-security 中了解有关 Azure Automation 中的专用终结点的详细信息 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Active Directory Domain Services托管域应仅使用 TLS 1.2 模式 | 为托管域使用仅限 TLS 1.2 模式。 默认情况下,Azure AD 域服务允许使用 NTLM v1 和 TLS v1 等密码。 某些旧版应用程序可能需要这些密码,但这些密码视为弱密码,如果不需要,可以将其禁用。 如果启用仅限 TLS 1.2 模式,那么任何发出请求但未使用 TLS 1.2 的客户端都将失败。 更多信息请访问 https://docs.azure.cn/active-directory-domain-services/secure-your-domain。 | Audit、Deny、Disabled | 1.1.0 |
Azure AI 服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服务资源应禁用密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 Azure OpenAI Studio,通常用于开发/测试,需要密钥访问,如果禁用密钥访问,则不会正常工作。 禁用后,Microsoft Entra ID成为唯一的访问方法,允许保持最低特权原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | Audit、Deny、Disabled | 1.1.0 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,以便只有允许网络中的应用程序可以访问Azure AI 服务。 | Audit、Deny、Disabled | 3.3.0 |
| Azure AI 服务资源应使用 Azure Private Link | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://docs.azure.cn/private-link/private-link-overview | Audit、Disabled | 1.0.0 |
| 配置Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 Azure OpenAI Studio,通常用于开发/测试,需要密钥访问,如果禁用密钥访问,则不会正常工作。 禁用后,Microsoft Entra ID成为唯一的访问方法,允许保持最低特权原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 Azure OpenAI Studio,通常用于开发/测试,需要密钥访问,如果禁用密钥访问,则不会正常工作。 禁用后,Microsoft Entra ID成为唯一的访问方法,允许保持最低特权原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用Azure AI services资源中的 Diagnostic 日志 | 为Azure AI services资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Data Explorer
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应禁用Azure Data Explorer上的数据库管理员 | 禁用所有数据库管理员角色以限制授予高特权/管理用户角色。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer群集应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Data Explorer群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-explorer/security-network-private-endpoint。 | Audit、Disabled | 1.0.0 |
| Azure Data Explorer静态加密应使用客户管理的密钥 | 在Azure Data Explorer群集上使用客户管理的密钥启用静态加密可以进一步控制静态加密所使用的密钥。 此功能通常适用于符合性要求特殊的客户,并且需要Key Vault来管理密钥。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer应使用支持专用链接的 SKU | 借助支持的 SKU,Azure Private Link使你无需在源或目标处使用公共 IP 地址即可将虚拟网络连接到Azure服务。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 使用专用终结点配置Azure Data Explorer群集 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Data Explorer,可以降低数据泄露风险。 有关详细信息,请参阅 [ServiceSpecificAKA.ms]。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Data Explorer以禁用公用网络访问 | 禁用公共网络访问属性会关闭公共连接,以便只能从专用终结点访问Azure Data Explorer。 此配置禁用所有Azure Data Explorer群集的公共网络访问。 | 修改,已禁用 | 1.0.0 |
| 应在 Azure Data ExplorerDisk 加密> | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | Audit、Deny、Disabled | 2.0.0 |
| 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 2.0.0 | |
| 应禁用应禁用Azure Data Explorer上的公共网络访问 | 禁用公共网络访问属性可确保只能从专用终结点访问Azure Data Explorer来提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Data Explorer虚拟网络注入> | 通过虚拟网络注入保护网络边界,借助该虚拟网络注入,可以强制实施网络安全组规则,在本地连接并使用服务终结点保护数据连接源。 | Audit、Deny、Disabled | 1.0.0 |
Azure Databricks
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Databricks群集应禁用公共 IP | 在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/databricks/security/network/classic/secure-cluster-connectivity。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks工作区应位于虚拟网络中 | Azure虚拟网络为Azure Databricks工作区以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 有关详细信息,请访问:https://docs.azure.cn/databricks/security/network/classic/vnet-inject。 | Audit、Deny、Disabled | 1.0.2 |
| 仅允许具有高级 Sku 的 Databricks 工作区,组织可以部署这些 SKU 以支持Private Link、客户管理的密钥等功能进行加密。 有关详细信息,请访问:https://docs.azure.cn/databricks/security/network/classic/private-link-standard#create-the-workspace-and-private-endpoints-in-the-azure-portal-ui。 | Audit、Deny、Disabled | 1.0.1 | |
| Azure Databricks工作区应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息,请访问:[https://docs.azure.cn/databricks/security/network/classic/private-link](https://docs.azure.cn/databricks/security/network/classic/private-link。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks工作区应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Databricks工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/databricks/security/network/classic/private-link-standard#create-the-workspace-and-private-endpoints-in-the-azure-portal-ui。 | Audit、Disabled | 1.0.2 |
| 配置Azure Databricks工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Databricks工作区。 有关详细信息,请访问:https://docs.azure.cn/databricks/security/network/classic/private-link-standard#create-the-workspace-and-private-endpoints-in-the-azure-portal-ui。 | DeployIfNotExists、Disabled | 1.0.1 |
| 使用专用终结点配置Azure Databricks工作区 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Databricks工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/databricks/administration-guide/cloud-configurations/azure/private-link-standard#create-the-workspace-and-private-endpoints-in-the-azure-portal-ui。 | DeployIfNotExists、Disabled | 1.0.2 |
| 将Azure Databricks工作区的诊断设置配置为Log Analytics工作区 | 部署Azure Databricks工作区的诊断设置,以便在创建或更新缺少此诊断设置的任何Azure Databricks工作区时将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用Azure Databricks工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
备份
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应在 AKS 群集中安装Azure Backup扩展 | 确保保护在 AKS 群集中安装备份扩展以利用Azure Backup。 AKS Azure Backup是 AKS 群集的安全云原生数据保护解决方案 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应为 AKS 群集启用Azure Backup | 启用 Azure Backup,确保保护 AKS 群集。 AKS Azure Backup是 AKS 群集的安全云原生数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应为存储帐户中的 Blob 启用Azure Backup | 启用Azure Backup,确保保护存储帐户。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| 启用Azure Backup,确保保护Managed Disks。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [预览]:应在Azure文件共享上启用Azure Backup | 启用Azure Backup,确保保护Azure文件共享。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:Azure恢复服务保管库应禁用公用网络访问 | 禁用公用网络访问可确保恢复服务保管库不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制恢复服务保管库的公开。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/backup/encryption-at-rest-with-cmk。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure恢复服务保管库应使用专用链接进行备份 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure恢复服务保管库,可以降低数据泄露风险。 | Audit、Disabled | 2.0.0-preview |
| [预览]:配置 Azure 恢复服务保管库以禁用公用网络访问 | 禁用对恢复服务保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 | 修改,已禁用 | 1.0.0-preview |
| [预览]:使用给定标记为同一区域中的现有备份保管库配置Azure磁盘(Managed Disks)的备份 | 对包含中央备份保管库的给定标记的所有Azure磁盘(Managed Disks)强制实施备份。 有关详细信息,请访问 https://docs.azure.cn/backup/disk-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:在没有给定标记的情况下为同一区域中的现有备份保管库配置Azure磁盘(Managed Disks)的备份 | 对不包含中央备份保管库的给定标记的所有Azure磁盘(Managed Disks)强制实施备份。 有关详细信息,请访问 https://docs.azure.cn/backup/disk-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:使用新策略为具有给定标记的新恢复服务保管库配置Azure Files共享的备份 | 通过在存储帐户所在的同一位置和资源组中部署恢复服务保管库,为所有Azure Files强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择在包含指定标记的存储帐户中包含Azure Files来控制分配范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:为同一位置的现有恢复服务保管库配置具有给定标记的 Azure Files 共享的备份 | 将所有Azure Files备份备份到存储帐户所在的同一区域中的现有中央恢复服务保管库来强制备份。 保管库可以位于相同或不同的订阅中。 当中心团队跨订阅管理备份时,这非常有用。 可以选择将Azure Files包含在具有指定标记的存储帐户中,以控制策略分配的范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:使用新策略为没有给定标记的新恢复服务保管库配置 Azure Files 共享的备份 | 通过在存储帐户所在的同一位置和资源组中部署恢复服务保管库,为所有Azure Files强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择在包含指定标记的存储帐户中排除Azure Files,以控制分配范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:为同一位置的现有恢复服务保管库配置没有给定标记的Azure Files共享的备份 | 将所有Azure Files备份备份到存储帐户所在的同一区域中的现有中央恢复服务保管库来强制备份。 保管库可以位于相同或不同的订阅中。 当中心团队跨订阅管理备份时,这非常有用。 可以选择在具有指定标记的存储帐户中排除Azure Files,以控制策略分配的范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:将具有给定标记的存储帐户中的 Blob 配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://docs.azure.cn/backup/blob-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含指定标记的所有存储帐户配置 Blob 备份,使其保存到同一区域的备份保管库中 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://docs.azure.cn/backup/blob-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:配置恢复服务保管库以使用专用终结点进行备份 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:为 Azure 恢复服务保管库禁用跨订阅还原 | 禁用或永久禁用恢复服务保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://docs.azure.cn/backup/backup-azure-arm-restore-vms。 | 修改,已禁用 | 1.1.0-preview |
| [预览版]:禁用备份保管库的跨订阅还原 | 禁用或永久禁用备份保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://docs.azure.cn/backup/backup-vault-overview#move-a-backup-vault-across-azure-subscriptionsresource-groups。 | 修改,已禁用 | 1.1.0-preview |
| [预览]:必须为备份保管库启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://docs.azure.cn/backup/backup-azure-immutable-vault-concept?tabs=recovery-services-vault。 | Audit、Disabled | 1.0.1-preview |
| [预览]:恢复服务保管库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://docs.azure.cn/backup/backup-azure-immutable-vault-concept?tabs=recovery-services-vault。 | Audit、Disabled | 1.0.1-preview |
| [预览]:使用给定标记在 AKS 群集(托管群集)中安装Azure Backup扩展 | 安装 Azure Backup 扩展是保护 AKS 群集的先决条件。 强制在具有给定标记的所有 AKS 群集上安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:在没有给定标记的情况下在 AKS 群集(托管群集)中安装Azure Backup扩展 | 安装 Azure Backup 扩展是保护 AKS 群集的先决条件。 在没有特定标记值的所有 AKS 群集上强制安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| 应为 Virtual MachinesAzure Backup> | 启用Azure Backup,确保保护Azure Virtual Machines。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 3.0.0 |
| 将带有给定标记的虚拟机的备份配置到具有默认策略的新恢复服务保险库中 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-4---preview-configure-backup-on-vms-with-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 将带有指定标记的虚拟机的备份配置到同一位置的现有恢复服务保管库中 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-4---preview-configure-backup-on-vms-with-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 将不带指定标签的虚拟机的备份配置到具有默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-3---preview-configure-backup-on-vms-without-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 配置不带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-1---configure-backup-on-vms-without-a-given-tag-to-an-existing-recovery-services-vault-in-the-same-location。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 恢复服务保管库的部署诊断设置,以Log Analytics特定于资源类别的工作区。 | 将恢复服务保管库的诊断设置部署到特定于资源的类别Log Analytics工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 | 部署如果不存在 | 1.0.2 |
Batch
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Batch帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Batch池应启用磁盘加密 | 启用Azure Batch磁盘加密可确保数据始终在Azure Batch计算节点上静态加密。 有关 Batch 中的磁盘加密的详细信息,请访问 https://docs.azure.cn/batch/disk-encryption。 | 审核、已禁用、拒绝 | 1.0.0 |
| Batch 帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Batch 帐户仅需要Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/batch/auth。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Batch 帐户以禁用本地身份验证 | 禁用位置身份验证方法,以便 Batch 帐户需要专门Azure Active Directory标识进行身份验证。 有关详细信息,请访问:https://aka.ms/batch/auth。 | 修改,已禁用 | 1.0.0 |
| 将批处理帐户配置为禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 | 修改,已禁用 | 1.0.0 |
| 为 Batch 帐户配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 | Private DNS记录允许与专用终结点建立专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用 Batch 帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Batch 帐户禁用公共网络access | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
缓存
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Cache for Redis应禁用公用网络访问 | 禁用公共网络访问可确保Azure Cache for Redis不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制Azure Cache for Redis的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis不应使用访问密钥进行身份验证 | 不使用本地身份验证方法(如访问密钥)和使用更安全的替代方法(如Microsoft Entra ID(建议)可提高Azure Cache for Redis的安全性。 有关详细信息,请访问 https://docs.azure.cn/azure-cache-for-redis/cache-azure-active-directory-for-authentication | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis应使用专用链接 | 专用终结点允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Cache for Redis实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置Azure Cache for Redis禁用非 SSL 端口 | 仅启用与Azure Cache for Redis的 SSL 连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 配置Azure Cache for Redis以禁用公用网络访问 | 禁用Azure Cache for Redis资源的公用网络访问,以便无法通过公共 Internet 访问它。 这有助于降低缓存的数据泄露风险。 | 修改,已禁用 | 1.0.0 |
| 配置Azure Cache for Redis以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域可以链接到虚拟网络,以解析为Azure Cache for Redis。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置Azure Cache for Redis | 专用终结点允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Cache for Redis资源,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用与Azure Cache for Redis的安全连接 | 审核仅允许通过 SSL 连接到Azure Cache for Redis的连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
出口流量
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | Audit、Deny、Disabled | 2.2.0 | |
| 认知服务帐户应使用托管标识 | 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用此标识以安全的方式与其他Azure服务(如 Azure Key Vault)通信,而无需管理任何凭据。 | Audit、Deny、Disabled | 1.0.0 |
| 认知服务帐户应使用客户自有存储 | 使用客户拥有的存储来控制认知服务中静态存储的数据。 | Audit、Deny、Disabled | 2.0.0 |
| 配置认知服务帐户以禁用本地身份验证方法 | 禁用本地身份验证方法,以便认知服务帐户需要专门Azure Active Directory标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/cognitive-services/authentication。 | 修改,已禁用 | 1.0.0 |
| 将认知服务帐户配置为禁用公用网络访问 | 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/private-link/。 | 禁用、修改 | 3.0.0 |
| 将认知服务帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://docs.azure.cn/cognitive-services/cognitive-services-virtual-networks。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为认知服务帐户配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://docs.azure.cn/private-link/。 | DeployIfNotExists、Disabled | 3.0.0 |
计算
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允许的虚拟机大小 SKU | 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 | 拒绝 | 1.0.1 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://docs.azure.cn/site-recovery/。 | 如果不存在则审核 | 1.0.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://docs.azure.cn/site-recovery/。 | DeployIfNotExists、Disabled | 2.1.1 | |
| 将磁盘访问资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置磁盘访问资源 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将托管磁盘配置为禁用公用网络访问 | 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | 修改,已禁用 | 2.0.0 |
| 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 | 部署如果不存在 | 1.1.0 | |
| Disk access资源应使用 private link | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | AuditIfNotExists、Disabled | 1.0.0 |
| Managed disks应使用平台管理的密钥和客户管理的密钥进行双重加密 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption#double-encryption-at-rest。 | Audit、Deny、Disabled | 1.0.0 |
| Managed disks应禁用公用网络access | 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | Audit、Deny、Disabled | 2.1.0 |
| Managed disks应对客户管理的密钥加密使用一组特定的磁盘加密集 | 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption。 | Audit、Deny、Disabled | 2.0.0 |
| Microsoft应将用于Azure的反恶意软件配置为自动更新保护签名 | 此策略会审核未配置为自动更新Microsoft反恶意软件保护签名的任何Windows虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Windows 服务器上部署 Microsoft IaaSAntimalware 扩展 | 此策略审核部署了Microsoft IaaSAntimalware 扩展的任何Windows服务器 VM。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应当仅安装已批准的 VM 扩展 | 此策略约束未获批准的虚拟机扩展。 | Audit、Deny、Disabled | 1.0.0 |
| 应使用客户管理的密钥加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption。 | Audit、Deny、Disabled | 3.0.0 |
| 此策略强制在Virtual Machine Scale Sets上启用自动 OS 映像修补,以便通过每月安全应用最新安全修补程序来始终保持Virtual Machines安全。 | 拒绝 | 1.0.0 | |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://docs.azure.cn/virtual-machines/disks-enable-host-based-encryption-portal。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的Azure Resource Manager资源 | 使用虚拟机的新Azure Resource Manager提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure Resource Manager的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
容器实例
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure容器实例容器组应部署到虚拟网络 | 使用 Azure 虚拟网络保护容器之间的通信。 指定虚拟网络时,虚拟网络中的资源可以彼此安全且私密地进行通信。 | 审核、已禁用、拒绝 | 2.0.0 |
| Azure容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审核、已禁用、拒绝 | 1.0.0 |
| 配置容器组Log Analytics工作区的诊断设置 | 部署容器实例的诊断设置,以便在创建或更新缺少此诊断设置的任何容器实例时将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
容器注册表
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置容器注册表以禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 访问群体令牌,以便向注册表进行身份验证。 仅Azure Container Registry(ACR)访问群体令牌用于身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问该帐户。禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.1 |
| 将容器注册表配置为禁用公用网络访问 | 禁用对容器注册表的公用网络访问,确保不可通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 请访问 https://docs.azure.cn/container-registry/container-registry-access-selected-networks 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 将容器注册表配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://docs.azure.cn/private-link/private-endpoint-dns 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为容器注册表配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 将专用终结点映射到高级容器注册表资源可以降低数据泄露的风险。 请访问 https://docs.azure.cn/event-grid/configure-private-endpoints 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/container-registry/tutorial-customer-managed-keys。 | Audit、Deny、Disabled | 1.1.2 |
| 容器注册表应禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 访问群体令牌,以便向注册表进行身份验证。 仅Azure Container Registry(ACR)访问群体令牌用于身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应禁用导出功能 | 禁用导出功能可确保注册表中的数据仅通过数据平面 (docker pull) 访问,从而提高安全性。 无法通过“acr import”或“acr transfer”将数据移出注册表。 若要禁用导出功能,必须禁用公用网络访问。 有关详细信息,请访问:https://docs.azure.cn/container-registry/data-loss-prevention。 | Audit、Deny、Disabled | 1.0.0 |
| Container 注册表应禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问该帐户。禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.1 |
| 容器注册表应禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| Container 注册表应具有支持专用链接的 SKU | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Microsoft Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-private-link。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure容器注册表接受来自任何网络上主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://docs.azure.cn/container-registry/container-registry-private-link 和 https://docs.azure.cn/container-registry/container-registry-access-selected-networks。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应阻止创建缓存规则 | 为Azure Container Registry禁用缓存规则创建,以防止拉取缓存。 有关详细信息,请访问:https://docs.azure.cn/container-registry/tutorial-artifact-cache。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Microsoft Azure主干网络处理使用者和服务之间的连接。通过将专用终结点映射到容器注册表而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-private-link。 | Audit、Disabled | 1.0.1 |
| 应为容器注册表禁用公共网络access | 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 请访问 https://docs.azure.cn/container-registry/container-registry-access-selected-networks 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | Audit、Deny、Disabled | 1.0.0 |
Cosmos DB
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Cosmos DB帐户应具有防火墙规则 | 应在Azure Cosmos DB帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Cosmos DB帐户不应允许来自所有Azure数据中心的流量 | 禁止 IP 防火墙规则“0.0.0.0”,允许来自任何Azure数据中心的所有流量。 有关详细信息,请访问 https://docs.azure.cn/cosmos-db/how-to-configure-firewall | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB帐户不应超过自上次帐户密钥重新生成以来允许的最大天数 | 在指定的时间内重新生成密钥,以使数据受到更多保护。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB帐户应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥管理Azure Cosmos DB的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/cosmos-db/how-to-setup-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 允许的位置Azure Cosmos DB | 使用此策略可以限制组织在部署Azure Cosmos DB资源时可以指定的位置。 用于强制执行异地符合性要求。 | [参数('策略效果')] | 1.1.0 |
| 应禁用基于Azure Cosmos DB密钥的元数据写入访问 | 使用此策略可确保所有Azure Cosmos DB帐户禁用基于密钥的元数据写入访问权限。 | 追加 | 1.0.0 |
| Azure Cosmos DB应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制Azure Cosmos DB吞吐量 | 通过此策略,可以限制组织通过资源提供程序创建Azure Cosmos DB数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 配置 Cosmos DB 数据库帐户以禁用本地身份验证 | 禁用本地身份验证方法,以便 Cosmos DB 数据库帐户仅需要Azure Active Directory标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改,已禁用 | 1.1.0 |
| 将 CosmosDB 帐户配置为禁用公用网络访问 | 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改,已禁用 | 1.0.1 |
| 将 CosmosDB 帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 2.0.0 |
| 为 CosmosDB 帐户配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户完全要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit、Deny、Disabled | 1.1.0 |
| CosmosDB 帐户应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
Data Box
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Data Box作业应为设备上的静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Box作业应使用客户管理的密钥加密设备解锁密码 | 使用客户管理的密钥控制设备解锁密码的加密Azure Data Box。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 | Audit、Deny、Disabled | 1.0.0 |
数据工厂
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure Data Factory管道应仅与允许的域通信 | 防止数据和令牌外泄,设置Azure Data Factory应允许与之通信的域。 注意:在公共预览版中,不会报告此策略的符合性,以及要应用于数据工厂的策略,请在 ADF 工作室中启用出站规则功能。 有关详细信息,请访问 https://docs.azure.cn/data-factory/policy-reference。 | 拒绝、已禁用 | 1.0.0-preview |
| Azure数据工厂应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure Data Factory的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/data-factory/enable-customer-managed-key。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory集成运行时应限制核心数 | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory链接服务资源类型应位于允许列表中 | 定义Azure Data Factory链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为仅允许使用Data Lake Storage Gen2进行分析的 Blob 存储,或限制为仅允许 SQL 和 Kusto 访问实时查询。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Factory链接服务应使用Key Vault来存储机密 | 若要确保安全地管理机密(如连接字符串),要求用户使用Azure Key Vault提供机密,而不是在链接服务中内联指定机密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory链接服务在受支持时应使用系统分配的托管标识身份验证 | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Data Factory,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
| Private DNS记录允许与专用终结点建立专用连接。 专用终结点连接允许通过启用与Azure Data Factory的专用连接来实现安全通信,而无需在源或目标处使用公共 IP 地址。 有关Azure Data Factory中的专用终结点和 DNS 区域的详细信息,请参阅 https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 为数据工厂配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Data Factory,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
| 应禁用Azure Data Factory上的 公共网络访问 | 禁用公共网络访问属性可确保只能通过专用终结点访问Azure Data Factory来提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| SQL Server Integration Services应将Azure Data Factory上的集成运行时加入虚拟网络 | Azure Virtual Network部署为Azure Data Factory上的SQL Server Integration Services集成运行时以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 | Audit、Deny、Disabled | 2.3.0 |
桌面虚拟化
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop主机池应禁用公用网络访问 | 禁用公用网络访问可提高安全性,并确保对 Azure Virtual Desktop 服务的访问权限不会向公共 Internet 公开,从而提高数据的安全性。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Virtual Desktop主机池应仅在会话主机上禁用公用网络访问 | 禁用Azure Virtual Desktop主机池会话主机的公共网络访问,但允许最终用户的公共访问通过限制对公共 Internet 的公开来提高安全性。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Virtual Desktop服务应使用专用链接 | 将Azure Private Link用于Azure Virtual Desktop资源可以提高安全性,并确保数据安全。 有关专用链接的详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | Audit、Disabled | 1.0.0 |
| Azure Virtual Desktop工作区应禁用公用网络访问 | 禁用Azure Virtual Desktop工作区资源的公用网络访问可防止源通过公共 Internet 访问。 仅允许专用网络访问时,可提高安全性并保护数据安全。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Virtual Desktop配置主机池资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Virtual Desktop资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Azure Virtual Desktop主机池以禁用公用网络访问 | 为Azure Virtual Desktop主机池资源上的会话主机和最终用户禁用公用网络访问,以便无法通过公共 Internet 访问它。 这样可以提升安全性并保护数据安全。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | 修改,已禁用 | 1.0.0 |
| Azure Virtual Desktop配置主机池,仅禁用会话主机的公共网络访问 | 禁用Azure Virtual Desktop主机池会话主机的公共网络访问,但允许最终用户进行公共访问。 这样的话,用户还是可以访问 AVD 服务,同时确保会话主机只能通过专用路由访问。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | 修改,已禁用 | 1.0.0 |
| Azure Virtual Desktop使用专用终结点配置主机池 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Virtual Desktop资源,可以提高安全性并使数据安全。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Virtual Desktop工作区资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Virtual Desktop资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Virtual Desktop工作区以禁用公用网络访问 | 禁用Azure Virtual Desktop工作区资源的公用网络访问,以便无法通过公共 Internet 访问源。 这样可以提升安全性并保护数据安全。 有关详细信息,请访问:https://docs.azure.cn/virtual-desktop/private-link-setup。 | 修改,已禁用 | 1.0.0 |
事件网格
事件中心
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| 应针对事件中心实例定义授权规则 | 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure事件中心命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Azure事件中心命名空间专门要求Microsoft Entra ID标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/authenticate-shared-access-signature。 | Audit、Deny、Disabled | 1.0.1 |
| 配置 Azure事件中心命名空间以禁用本地身份验证 | 禁用本地身份验证方法,以便Azure事件中心命名空间专门要求Microsoft Entra ID标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/authenticate-shared-access-signature。 | 修改,已禁用 | 1.0.1 |
| 将事件中心命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为事件中心命名空间配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| Event 中心命名空间应禁用公用网络access | Azure事件中心应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/event-hubs/private-link-service | Audit、Deny、Disabled | 1.0.0 |
| Event 中心命名空间应已启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| Event Hub 命名空间应使用客户管理的密钥进行加密 | Azure Event Hubs支持使用Microsoft托管密钥或客户管理的密钥加密静态数据的选项。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | Audit、Disabled | 1.0.0 |
| Event Hub 命名空间应使用 private link | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
常规
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 | 拒绝 | 1.0.0 |
| 允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | 拒绝 | 1.0.0 |
| 允许的资源类型 | 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 | 拒绝 | 1.0.0 |
| 审核资源位置是否匹配资源组位置 | 审核资源位置是否与其资源组位置匹配。 | 审核 | 2.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.0 |
| 不允许 M365 资源 | 阻止创建 M365 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许 MCPP 资源 | 阻止创建 MCPP 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和Azure资源,这些资源是根据使用情况计费的。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许的资源类型 | 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 | Audit、Deny、Disabled | 2.0.0 |
HDInsight
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将 Azure HDInsight 群集注入虚拟网络 | 在虚拟网络中注入Azure HDInsight群集可解锁高级 HDInsight 网络和安全功能,并提供对网络安全配置的控制。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure HDInsight群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理Azure HDInsight群集的其余部分进行加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/hdinsight/disk-encryption。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight群集应使用主机上的加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight群集应使用传输中的加密来加密Azure HDInsight群集节点之间的通信 | 在Azure HDInsight群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure HDInsight群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置Azure HDInsight群集以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure HDInsight群集。 有关详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置Azure HDInsight群集 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure HDInsight群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
物联网
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure IoT Hub应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥对静态数据进行加密IoT Hub增加了默认服务管理的密钥之上的第二层加密,使客户能够控制密钥、自定义轮换策略以及通过密钥访问控制管理对数据的访问。 必须在创建IoT Hub期间配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://docs.azure.cn/iot-hub/。 | Audit、Deny、Disabled | 1.0.0-preview |
| 使用客户管理的密钥管理IoT Hub设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建和拥有的Azure Key Vault密钥对数据进行加密。 访问 https://docs.azure.cn/iot-dps/,了解有关 CMK 加密的详细信息。 | Audit、Deny、Disabled | 1.0.0-preview | |
| 配置IoT Hub设备预配实例以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为IoT Hub设备预配服务实例。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置IoT Hub设备预配服务实例以禁用公用网络访问 | 禁用IoT Hub设备预配实例的公共网络访问,以便无法通过公共 Internet 访问它。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | 修改,已禁用 | 1.0.0 |
| 使用专用终结点配置IoT Hub设备预配服务实例 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到IoT Hub设备预配服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | DeployIfNotExists、Disabled | 1.0.0 |
| Deploy - 将Azure IoT中心配置为使用专用 DNS 区域 | Azure Private DNS提供可靠的安全 DNS 服务,用于管理和解析虚拟网络中的域名,而无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略为IoT Hub专用终结点部署专用 DNS 区域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| Deploy - 使用专用终结点配置Azure IoT中心 | 专用终结点是在客户拥有的虚拟网络中分配的专用 IP 地址,可通过该地址访问Azure资源。 此策略为IoT hub部署专用终结点,以允许虚拟网络中的服务访问IoT Hub,而无需将流量发送到IoT Hub的公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| IoT Hub设备预配服务实例应禁用公用网络访问 | 禁用公共网络访问可确保IoT Hub设备预配服务实例不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制IoT Hub设备预配实例的公开。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub设备预配服务实例应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到IoT Hub设备预配服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | Audit、Disabled | 1.0.0 |
| Modify - 配置Azure IoT中心以禁用公用网络访问 | 禁用公共网络访问属性可确保只能从专用终结点访问Azure IoT Hub来提高安全性。 此策略在IoT Hub资源上禁用公共网络访问。 | 修改,已禁用 | 1.0.0 |
| 应为 IoT HubPrivate 终结点> | 专用终结点连接通过启用与IoT Hub的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | Audit、Disabled | 1.0.0 |
| 应禁用Azure IoT Hub上的 公共网络访问 | 禁用公共网络访问属性可确保只能从专用终结点访问Azure IoT Hub来提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
Key Vault
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Key Vault应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Key Vault应禁用防火墙或禁用公用网络访问 | 启用密钥保管库防火墙,以便默认情况下无法访问密钥保管库,或者禁用密钥保管库的公共网络访问,以便无法通过公共 Internet 访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 有关详细信息,请查看:https://docs.azure.cn/key-vault/general/network-security 和 https://docs.azure.cn/key-vault/general/private-link-service | Audit、Deny、Disabled | 3.3.0 |
| Azure Key Vault应使用 RBAC 权限模型 | 跨 Key Vault 启用 RBAC 权限模型。 了解详细信息:https://docs.azure.cn/key-vault/general/rbac-migration | Audit、Deny、Disabled | 1.0.1 |
| Azure Key Vault 应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | [parameters('audit_effect')] | 1.2.1 |
| 证书应由指定的非集成证书颁发机构之一颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 证书应由指定的集成证书颁发机构颁发 | 通过指定可在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的Azure集成证书颁发机构来管理组织合规性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应由指定的非集成证书颁发机构颁发 | 通过指定一个可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| Certificates 不应在指定的天数内过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://docs.azure.cn/key-vault/general/azure-policy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| Azure配置密钥保管库以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | DeployIfNotExists、Disabled | 1.0.1 |
| 使用专用终结点 Azure配置密钥保管库 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.azure.cn/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
| Deploy - 为Log Analytics工作区Azure Key Vault配置诊断设置 | 在创建或更新缺少此诊断设置的任何Key Vault时,将Azure Key Vault的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、Disabled | 2.0.1 |
| 事件中心Key Vault的部署诊断设置 | 在创建或更新缺少此诊断设置的任何Key Vault时,将Key Vault的诊断设置部署到区域事件中心。 | DeployIfNotExists、Disabled | 3.0.1 |
| Key Vault密钥应具有过期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault机密应具有过期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| 密钥保管库应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 组织内部或Azure任何人都无法在软删除保留期内清除密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.1.0 |
| 密钥应由硬件安全模块 (HSM) 提供支持 | HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
| Keys 应具有轮换策略,确保其轮换在创建后的指定天数内进行安排 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | Audit、Disabled | 1.0.0 |
| 密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| Keys 应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
| 使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
| 使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应启用应启用Key Vault中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应为机密设置内容类型 | 内容类型标记有助于确定机密是否为密码、connection string等。不同的机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
| Secrets 的到期前天数应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| Secrets 应具有指定的最大有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| Secrets 不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]: [映像完整性] Kubernetes 群集应仅使用由表示法签名的映像 | 使用由表示法签名的映像来确保映像来自受信任的源,不会受到恶意修改。 有关详细信息,请访问 https://docs.azure.cn/aks/image-integrity | Audit、Disabled | 1.1.0-preview |
| 部署映像完整性和策略 Add-Ons Azure Kubernetes 群集。 | DeployIfNotExists、Disabled | 1.1.0-preview | |
| [预览]:Kubernetes 群集容器应仅使用允许的 sysctl 接口 | 容器应仅在 Kubernetes 群集中使用允许的 sysctl 接口。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:Kubernetes 群集应实现准确的 Pod 中断预算 | 防止出现故障的 Pod 中断预算,确保操作 Pod 的数量最少。 有关详细信息,请参阅官方 Kubernetes 文档。 依赖于 Gatekeeper 数据复制,并将范围限定为 OPA 的所有部署、StatefulSet 和 PodDisruptionBudget 资源同步。 应用此策略之前,请确保同步的资源不会使内存容量紧张。 这些类型的所有资源都将同步。注意:目前为 Kubernetes 服务(AKS)提供预览版。 | Audit、Deny、Disabled | 1.3.1-preview |
| [预览版]:Kubernetes 群集应限制创建给定资源类型 | 给定的 Kubernetes 资源类型不应部署在特定命名空间中。 | Audit、Deny、Disabled | 2.3.0-preview |
| [预览]:通过将 runAsNotRoot 设置为 true 来防止容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:通过将 runAsNotRoot 设置为 true 来防止 init 容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 Kubernetes 群集容器 securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 Kubernetes 群集容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为容器设置安全计算模式配置文件类型,以防止用户空间对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Kubernetes 群集 init 容器 securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 Kubernetes 群集 init 容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为 init 容器设置安全计算模式配置文件类型,以防止用户空间中对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Kubernetes 群集 Pod securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 init 容器中 Pod 规范中的特权提升设置为 false。 | 将特权提升设置为 init 容器中的 false 可阻止容器允许特权提升(例如通过 set-user-ID 或 set-group-ID 文件模式),从而提高安全性。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Pod 规范中的特权提升设置为 false。 | 将特权提升设置为 false 可阻止容器允许特权提升(例如通过 set-user-ID 或 set-group-ID 文件模式),从而提高安全性。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 UnhealthyPodEvictionPolicy 设置为“AlwaysAllow” | 将 Pod 中断预算的 UnhealthyPodEvictionPolicy 设置为“AlwaysAllow”,以便在执行群集管理时,即使是运行不正常的 Pod 也允许被驱逐 | 突变,已禁用 | 1.1.0-preview |
| Azure Kubernetes 群集应禁用 SSH | 禁用 SSH 可以保护群集并减少攻击面。 要了解详细信息,请访问:https://docs.azure.cn/aks/manage-ssh-node-access?tabs=node-shell#disable-ssh-overview | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 群集应启用容器存储接口(CSI) | 容器存储接口(CSI)是向Azure Kubernetes Service上的容器化工作负荷公开任意块和文件存储系统的标准。 若要了解详细信息,请访问以下链接:https://docs.azure.cn/aks/csi-storage-drivers | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 群集应启用密钥管理服务 (KMS) | 使用密钥管理服务 (KMS) 在 etcd 中加密静态机密数据,以实现 Kubernetes 群集安全性。 有关详细信息,请访问:https://docs.azure.cn/aks/use-kms-etcd-encryption。 | Audit、Disabled | 1.1.0 |
| Azure Kubernetes 群集应使用 Azure CNI | Azure CNI 是某些Azure Kubernetes Service功能的先决条件,包括Azure网络策略、Windows节点池和虚拟节点加载项。 了解详细信息:https://docs.azure.cn/aks/configure-azure-cni | Audit、Disabled | 1.0.1 |
| 检测和报告不是 Azure Kubernetes Fleet Manager 成员的任何 AKS 群集。 若要了解详细信息,请访问 https://docs.azure.cn/aks/use-azure-policy | AuditIfNotExists、Disabled | 1.0.0 | |
| Azure Kubernetes Service群集应禁用命令调用 | 禁用命令调用可避免绕过受限网络访问或 Kubernetes 基于角色的访问控制,从而增强安全性 | Audit、Disabled | 1.0.1 |
| Azure Kubernetes Service群集应启用群集自动升级 | AKS 群集自动升级可以确保群集是最新版本,并且不会错过来自 AKS 和上游 Kubernetes 的最新功能或补丁。 有关详细信息,请访问:https://docs.azure.cn/aks/auto-upgrade-cluster。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service群集应启用映像清理器 | 映像清理器可自动识别和移除易受攻击、未使用的映像,从而降低过期映像的风险,并减少清理映像所需的时间。 有关详细信息,请访问:https://docs.azure.cn/aks/image-cleaner。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service群集应启用Microsoft Entra ID集成 | AKS 管理的Microsoft Entra ID集成可以通过根据用户的标识或目录组成员身份配置 Kubernetes 基于角色的访问控制(Kubernetes RBAC)来管理对群集的访问。 有关详细信息,请访问:https://docs.azure.cn/aks/managed-azure-ad。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes Service群集应启用节点 os 自动升级 | AKS 节点 OS 自动升级控制节点级 OS 安全更新。 有关详细信息,请访问:https://docs.azure.cn/aks/auto-upgrade-node-image。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service群集应启用工作负荷标识 | 工作负荷标识允许为每个 Kubernetes Pod 分配唯一标识,并将其与 Azure AD 保护的资源(例如Azure Key Vault)相关联,从而从 Pod 内部安全访问这些资源。 有关详细信息,请访问:https://docs.azure.cn/aks/workload-identity-deploy-cluster。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service群集应已启用 Defender 配置文件 | 容器Microsoft Defender提供云原生 Kubernetes 安全功能,包括环境强化、工作负荷保护和运行时保护。 在 Azure Kubernetes Service 群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 详细了解 https://docs.azure.cn/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中的容器Microsoft Defender | Audit、Disabled | 2.0.1 |
| Azure Kubernetes Service群集应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Azure Kubernetes Service群集仅需要Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/aks/managed-aad。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Kubernetes Service群集应使用托管标识 | 使用托管标识包装服务主体、简化群集管理,并避免托管服务主体所需的复杂性。 了解详细信息:https://docs.azure.cn/aks/use-managed-identity | Audit、Disabled | 1.0.1 |
| 应启用Azure Kubernetes Service专用群集 | 为Azure Kubernetes Service群集启用专用群集功能,以确保 API 服务器与节点池之间的网络流量仅保留在专用网络上。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Policy应在群集上安装和启用 Kubernetes 服务的加载项 | Azure Policy Kubernetes 服务(AKS)的加载项扩展了 Gatekeeper v3,这是开放策略代理(OPA)的允许控制器 Webhook,以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes Service 群集中的作系统和数据磁盘应由客户管理的密钥加密 | 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 无法编辑单个节点 | 无法编辑单个节点。 用户不应编辑单个节点。 请编辑节点池。 修改单个节点可能会导致设置不一致、操作挑战和潜在的安全风险。 | Audit、Deny、Disabled | 1.3.1 |
| 配置 AKS 群集以自动加入指定的 Azure Kubernetes Fleet Manager | 检测并确保 AKS 群集加入给定Azure Kubernetes Fleet Manager。 (可选)选择要加入的队列更新组的查找标记。 若要了解详细信息,请访问 https://docs.azure.cn/aks/use-azure-policy | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Kubernetes Service群集以启用 Defender 配置文件 | 容器Microsoft Defender提供云原生 Kubernetes 安全功能,包括环境强化、工作负荷保护和运行时保护。 在 Azure Kubernetes Service 群集上启用 SecurityProfile.Defender 时,代理将部署到群集以收集安全事件数据。 详细了解容器Microsoft Defender:https://docs.azure.cn/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists、Disabled | 4.3.0 |
| 配置Microsoft Entra ID与所需的管理员组访问权限集成的Azure Kubernetes Service群集 | 确保通过集中管理对Microsoft Entra ID集成 AKS 群集的管理员访问权限来提高群集安全性。 | DeployIfNotExists、Disabled | 2.1.0 |
| 在 Azure Kubernetes 群集上配置节点 OS 自动升级 | 使用节点 OS 自动升级来控制Azure Kubernetes Service (AKS)群集的节点级 OS 安全更新。 有关详细信息,请访问 https://docs.azure.cn/aks/auto-upgrade-node-image。 | DeployIfNotExists、Disabled | 1.2.0 |
| Deploy - 为Log Analytics工作区Azure Kubernetes Service配置诊断设置 | 将Azure Kubernetes Service的诊断设置部署到Log Analytics工作区的资源日志。 | DeployIfNotExists、Disabled | 3.0.0 |
| Azure Policy加载项添加到Azure Kubernetes Service群集 | 使用Azure Policy加载项管理和报告Azure Kubernetes Service (AKS)群集的符合性状态。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | DeployIfNotExists、Disabled | 4.2.0 |
| 在 Azure Kubernetes 群集上部署映像清理器。 有关详细信息,请访问 https://docs.azure.cn/aks/image-cleaner | DeployIfNotExists、Disabled | 1.2.0 | |
| 计划内维护,以计划和控制Azure Kubernetes Service (AKS)群集的升级 | 通过使用计划内维护,可以计划每周维护时段来执行更新并最大限度地减少工作负载影响。 安排后,升级将仅在所选时段内进行。 了解详细信息:https://docs.azure.cn/aks/planned-maintenance | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Azure Kubernetes Service 群集上的Disable 命令调用 | 禁用命令调用可以通过拒绝对群集的 invoke-command 访问来增强安全性 | DeployIfNotExists、Disabled | 1.2.0 |
| 确保群集容器已配置就绪情况或运行情况探测 | 此策略强制所有 Pod 配置就绪情况和/或运行情况探测。 探测类型可以是 tcpSocket、httpGet 和 exec 的任何一种。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关使用此策略的说明,请访问 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 3.3.0 |
| Kubernetes 群集容器映像必须包含 preStop 挂钩 | 要求容器映像包含 preStop 挂钩,以在 Pod 关闭期间正常终止进程。 | Audit、Deny、Disabled | 1.1.1 |
| Kubernetes 群集容器映像不应包含最新的映像标记 | 要求容器映像不使用 Kubernetes 中的最新标记,这是一种最佳做法,通过使用明确和经过版本控制的容器映像确保可重现性,防止意外更新,并简化调试和回退。 | Audit、Deny、Disabled | 2.0.1 |
| Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| 必须定义 Kubernetes 群集容器 CPU 和内存资源请求 | 强制实施容器 CPU 和内存资源请求,以确保计划的节点具有所需的资源。 | Audit、Deny、Disabled | 1.0.0-preview |
| Kubernetes 群集容器不应共享主机命名空间 | 阻止 Pod 容器共享 Kubernetes 群集中的主机进程 ID 命名空间、主机 IPC 命名空间和主机网络命名空间。 此建议符合主机命名空间的 Kubernetes Pod 安全标准,是 CIS 5.2.1、5.2.2 和 5.2.3 的一部分,旨在提高 Kubernetes 环境的安全性。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 6.0.0 |
| Kubernetes 群集容器不应使用禁止的 sysctl 接口 | 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集容器应仅在存在映像拉取机密时拉取映像 | 限制容器的映像拉取以强制 ImagePullSecrets 存在,从而确保对 Kubernetes 群集中的映像进行安全的授权访问 | Audit、Deny、Disabled | 1.3.1 |
| Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.1 |
| Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes 群集容器只应使用允许的 ProcMountType | Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集容器应仅使用允许的拉取策略 | 限制容器的拉取策略,以强制容器仅在部署上使用允许的映像 | Audit、Deny、Disabled | 3.2.0 |
| Kubernetes 群集容器只应使用允许的 seccomp 配置文件 | Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 | Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常用于 Kubernetes 服务(AKS),并Azure Arc已启用 Kubernetes。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes 群集 Pod 和容器应遵循 SELinux 安全标准 | 此策略强制实施适用于 SELinux 选项的 Kubernetes Pod 安全标准。 在 PSS 模式下,“user”和“role”字段必须为空,“type”字段必须是允许的值之一。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 8.0.0 |
| Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集 Pod 只应使用允许的卷类型 | Pod 只能使用 Kubernetes 群集中允许的卷类型。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集中的 Pod 应仅使用经过批准的主机网络和端口列表 | 限制 Pod 对主机网络和 Kubernetes 群集中允许的主机端口的访问。 此建议是 CIS 5.2.4 的一部分,旨在提高 Kubernetes 环境的安全性,并与 HostPorts 的 Pod 安全标准(PSS)保持一致。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 7.0.0 |
| Kubernetes 群集 Pod 应使用指定的标签 | 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集服务应仅使用允许的外部 IP | 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集服务应使用唯一选择器 | 确保命名空间中的服务具有唯一的选择器。 唯一的服务选择器可确保命名空间中的每个服务都根据特定条件唯一标识。 此策略通过 Gatekeeper 将服务资源同步到 OPA。 在应用之前,请验证不会超过 Gatekeeper Pod 的内存容量。 参数适用于特定命名空间,但它会跨所有命名空间同步该类型的所有资源。 对于 Kubernetes 服务 (AKS),此策略目前处于预览状态。 | Audit、Deny、Disabled | 1.2.2 |
| Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes 群集不应使用裸 Pod | 阻止使用裸 Pod。 如果节点发生故障,将不会重新计划裸 Pod。 Pod 应由 Deployment、Replicset、Daemonset 或 Jobs 进行管理 | Audit、Deny、Disabled | 2.3.1 |
| Kubernetes 群集Windows容器不应过度提交 cpu 和内存 | Windows容器资源请求应小于或等于资源限制或未指定,以避免过度使用。 如果Windows内存预配过度,它将处理磁盘中的页面(这可能会降低性能),而不是终止内存不足的容器 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes 群集Windows容器不应作为 ContainerAdministrator 运行 | 防止使用 ContainerAdministrator 作为用户来执行Windows pod 或容器的容器进程。 此建议旨在提高Windows节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/。 | Audit、Deny、Disabled | 1.2.0 |
| Kubernetes 群集Windows容器只能使用已批准的用户和域用户组运行 | 控制Windows Pod 和容器可用于在 Kubernetes 群集中运行的用户。 此建议是Windows节点上 Pod 安全策略的一部分,旨在提高 Kubernetes 环境的安全性。 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes 群集Windows pod 不应运行 HostProcess 容器 | 防止对 Windows 节点具有特权访问。 此建议旨在提高Windows节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/。 | Audit、Deny、Disabled | 1.0.0 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已正式发布,适用于 Kubernetes 服务(AKS),在预览版中支持 Azure Arc Kubernetes。 有关详细信息,请访问 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集应禁用自动装载 API 凭据 | 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes 群集应确保仅在需要时使用 cluster-admin 角色 | “cluster-admin”角色提供了对环境的广泛权力,只应在需要的位置和时间使用。 | Audit、Disabled | 1.1.0 |
| Kubernetes 群集应尽量减少通配符在角色和群集角色中的使用 | 使用通配符“*”可能存在安全风险,因为它授予特定角色可能不需要的广泛权限。 如果角色拥有太多权限,则可能会被攻击者或遭到入侵的用户滥用以获取对群集中资源的未经授权的访问。 | Audit、Disabled | 1.1.0 |
| Kubernetes 群集不得允许容器特权提升 | 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 8.0.0 |
| Kubernetes 群集不应允许终结点编辑 ClusterRole/system:aggregate-to-edit 的权限 | 由于“CVE-2021-25740:终结点和 EndpointSlice 权限允许跨命名空间转发 https://github.com/kubernetes/kubernetes/issues/103675”问题,ClusterRole/system:aggregate-to-edit 不应允许终结点编辑权限。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Disabled | 3.2.0 |
| Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 | 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes 群集不应使用特定的安全功能 | 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集不应使用默认命名空间 | 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes 群集应指定主机入口资源规则 | 确保指定主机入口资源规则,以防止意外地向未经授权的访问公开后端服务。 此策略评估 Kubernetes 入口资源,以确保每个规则都有指定的主机字段。 | Audit、Deny、Disabled | 1.1.0-preview |
| Kubernetes 群集应使用容器存储接口 (CSI) 驱动程序 StorageClass | 容器存储接口 (CSI) 是有关在 Kubernetes 上的容器化工作负载中公开任意块和文件存储系统的一套标准。 自 AKS 版本 1.21 起,应弃用树内预配器 StorageClass。 若要了解详细信息,请访问以下链接:https://docs.azure.cn/aks/csi-storage-drivers | Audit、Deny、Disabled | 2.3.0 |
| Kubernetes 群集应使用内部负载均衡器 | 使用内部负载均衡可以做到只有 Kubernetes 群集所在的同一虚拟网络中运行的应用程序能够访问 Kubernetes 服务。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 资源应具有所需的注释 | 确保对给定的 Kubernetes 资源类型附加所需的注释,以改进 Kubernetes 资源的资源管理。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 3.2.0 |
| 必须设置反相关性规则或拓扑分布约束 | 此策略可确保将 Pod 调度到群集内的不同节点上。 通过强制实施反关联规则或 Pod 拓扑分布约束,即使其中一个节点不可用,可用性也会得到维护。 Pod 将继续在其他节点上运行,从而提高复原能力。 | Audit、Deny、Disabled | 1.2.2 |
| 将 K8s 容器更改为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux 容器的所有功能 | 突变,已禁用 | 1.2.1 |
| 将 K8s Init 容器更改为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux init 容器的所有功能 | 突变,已禁用 | 1.2.1 |
| 无特定于 AKS 的标签 | 阻止客户应用特定于 AKS 的标签。 AKS 使用带有 kubernetes.azure.com 前缀的标签来表示 AKS 拥有的组件。 客户不应使用这些标签。 |
Audit、Deny、Disabled | 1.2.1 |
| 应用突变时打印消息 | 查找应用的突变注释,如果注释存在则打印消息。 | Audit、Disabled | 1.2.1 |
| 保留的系统池污点 | 将 CriticalAddonsOnly 排斥限制为仅系统池。 AKS 使用 CriticalAddonsOnly 污点使客户 Pod 远离系统池。 它可确保 AKS 组件和客户 Pod 之间的明确分离,并防止客户 pod 在不容忍 CriticalAddonsOnly 污点的情况下被驱逐。 | Audit、Deny、Disabled | 1.2.1 |
| 应启用Azure Kubernetes Service中的资源日志 | Azure Kubernetes Service的资源日志有助于在调查安全事件时重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 CriticalAddonsOnly 污点限制为仅系统池。 | 为避免从用户池中逐出用户应用,并保持用户与系统池之间的关注点分离,“CriticalAddonsOnly”排斥不应应用于用户池。 | 突变,已禁用 | 1.3.1 |
| 将容器中的 Pod 规范中的 automountServiceAccountToken 设置为 false。 | 将 automountServiceAccountToken 设置为 false 可避免默认自动装载服务帐户令牌,从而提高安全性 | 突变,已禁用 | 1.2.1 |
| 将 Kubernetes 群集容器 CPU 限制设置为默认值(如果不存在)。 | 设置容器 CPU 限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.3.1 |
| 将 Kubernetes 群集容器内存限制设置为默认值(如果不存在)。 | 设置容器内存限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.3.1 |
| 将 PodDisruptionBudget 资源的 maxUnavailable Pod 设置为 1 | 将最大不可用 Pod 值设置为 1 可确保应用程序或服务在中断期间可用 | 突变,已禁用 | 1.3.1 |
| 如果未设置,请将 init 容器中 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可以防止容器写入根文件系统,从而提高安全性。 这仅适用于 Linux 容器。 | 突变,已禁用 | 1.3.1 |
| 如果未设置,请将 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可防止容器写入根文件系统,从而提高安全性 | 突变,已禁用 | 1.3.1 |
| 应对Azure Kubernetes Service群集中的代理节点池的磁盘和缓存进行加密 | 为了增强数据安全性,Azure Kubernetes Service节点 VM 的虚拟机(VM)主机上存储的数据应静态加密。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
Logic Apps
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
Machine Learning
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Machine Learning计算实例应具有空闲关闭。 | 使用空闲关闭计划可降低成本,方法是关闭在预先确定活动期后处于空闲状态的计算。 | Audit、Deny、Disabled | 1.0.0 |
| 应重新创建Azure Machine Learning计算实例以获取最新的软件更新 | 确保Azure Machine Learning计算实例在最新的可用作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://docs.azure.cn/machine-learning/concept-vulnerability-management?view=azureml-api-2#compute-instance。 | [参数('effects')] | 1.0.3 |
| Azure Machine Learning计算应位于虚拟网络中 | Azure虚拟网络为Azure Machine Learning计算群集和实例以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | Audit、Disabled | 1.0.1 |
| Azure Machine Learning计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Machine Learning计算仅需要Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy?view=azureml-api-2。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Machine Learning工作区应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure Machine Learning工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-create-workspace-template#deploy-an-encrypted-workspace。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Machine Learning工作区应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure Machine Learning工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-create-workspace-template#deploy-an-encrypted-workspace。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning工作区应禁用公用网络访问 | 禁用公共网络访问可确保Machine Learning工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure Machine Learning工作区应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Machine Learning工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure Machine Learning工作区应使用用户分配的托管标识 | 使用用户分配的托管标识管理对 Azure ML 工作区和关联的资源、Azure Container Registry、KeyVault、存储和 App Insights 的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许将标识创建为Azure资源,并维护该标识的生命周期。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit、Deny、Disabled | 1.0.0 |
| 配置Azure Machine Learning计算以禁用本地身份验证方法 | 禁用位置身份验证方法,以便Machine Learning计算仅需要Azure Active Directory标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy。 | 修改,已禁用 | 2.1.0 |
| 配置Azure Machine Learning工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Machine Learning工作区。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置Azure Machine Learning工作区以禁用公用网络访问 | 禁用Azure Machine Learning工作区的公共网络访问,以便无法通过公共 Internet 访问工作区。 这有助于防范工作区的数据泄露风险。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改,已禁用 | 1.0.3 |
| 使用专用终结点配置Azure Machine Learning工作区 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Machine Learning工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将Azure Machine Learning工作区的诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何Azure Machine Learning工作区时,将Azure Machine Learning工作区的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用Azure Machine Learning工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
托管应用程序
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 托管应用程序的应用程序定义应使用客户提供的存储帐户 | 如果这是法规或合规性要求,请使用自己的存储帐户来控制应用程序定义数据。 可以选择将托管应用程序定义存储在创建过程中提供的存储帐户中,以便你能够对其位置和访问权限进行完全管理,以符合法规或合规性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
迁移
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置Azure Migrate资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析到Azure Migrate项目。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
监视
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:面向特定工作区的数据收集规则应使用指定的数据收集终结点 | 审核或拒绝创建面向工作区且不使用指定 DCE 的 DCR | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览]:应在Windows虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| Application Insights 组件应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Application Insights 组件应阻止基于非Azure Active Directory的引入. | 强制实施日志引入以要求Azure Active Directory身份验证可防止攻击者使用未经身份验证的日志,这可能导致系统中存储的错误状态、虚假警报和不正确的日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 若要支持专用链接和客户管理的密钥策略,请创建你自己的适用于探查器和调试程序的存储帐户。 | 拒绝、审核、禁用 | 1.0.0 | |
| 针对所选资源类型的审核诊断设置 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | 如果不存在则审计 | 2.0.1 |
| Azure Application Gateway应启用资源日志 | 为Azure Application Gateway(加上 WAF)启用资源日志,并将其流式传输到Log Analytics工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door应启用资源日志 | 为Azure Front Door(加上 WAF)启用资源日志,并将其流式传输到Log Analytics工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure基于Log Analytics工作区的日志搜索警报应使用客户管理的密钥 | 通过使用客户为查询Log Analytics工作区提供的存储帐户存储查询文本,确保Azure日志搜索警报实现客户管理的密钥。 有关详细信息,请访问 https://docs.azure.cn/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 审核、已禁用、拒绝 | 1.0.0 |
| 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 | |
| 若要确保在服务级别启用安全数据加密,并使用两种不同的加密算法和两个不同的密钥的基础结构级别,请使用Azure Monitor专用群集。 此选项在区域支持时会默认启用,详见 /azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 | |
| Azure Monitor日志群集应使用客户管理的密钥进行加密 | 使用客户管理的密钥加密创建Azure Monitor日志群集。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 Azure Monitor中的客户管理的密钥可让你更好地控制对数据的访问,请参阅 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| application Insights 的Azure Monitor日志应链接到Log Analytics工作区 | 将 Application Insights 组件链接到用于日志加密的Log Analytics工作区。 客户管理的密钥通常需要满足法规合规性,并更好地控制对 Azure Monitor 中数据的访问。 将组件链接到启用了客户管理的密钥的Log Analytics工作区,确保 Application Insights 日志满足此合规性要求,请参阅 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor Private Link作用域应阻止对非private link资源的访问 | Azure Private Link允许通过专用终结点将虚拟网络连接到Azure资源,以连接到Azure Monitor Private Link范围(AMPLS)。 PRIVATE LINK访问模式在 AMPLS 上设置,以控制来自网络的引入和查询请求是否可以访问所有资源,还是仅Private Link资源(以防止数据外泄)。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor Private Link 范围应使用 private link | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Monitor专用链接范围,可以降低数据泄露风险。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor应从所有区域收集活动日志 | 此策略审核Azure Monitor日志配置文件,该配置文件不会从包括全局在内的所有Azure支持区域导出活动。 | AuditIfNotExists、Disabled | 2.0.0 |
| 必须部署Azure Monitor解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure订阅应具有活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure Application Insights 组件以禁用用于日志引入和查询的公共网络访问 | 禁用组件对日志引入和查询的公用网络访问权限,以提高安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置Azure Log Analytics工作区以禁用用于日志引入和查询的公共网络访问 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置Azure Monitor Private Link范围以阻止访问非private link资源 | Azure Private Link允许通过专用终结点将虚拟网络连接到Azure资源,以连接到Azure Monitor Private Link范围(AMPLS)。 PRIVATE LINK访问模式在 AMPLS 上设置,以控制来自网络的引入和查询请求是否可以访问所有资源,还是仅Private Link资源(以防止数据外泄)。 | 修改,已禁用 | 1.0.0 |
| 配置Azure Monitor Private Link范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Monitor专用链接范围。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置Azure Monitor Private Link作用域 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Monitor Private Link范围,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Linux Arc 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.2.1 |
| 将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.8.0 |
| 配置与数据收集规则或数据收集终结点关联的 Linux Virtual Machine Scale Sets | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置 Linux 虚拟机规模集,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.11.0 |
| 配置与数据收集规则或数据收集终结点关联的 Linux Virtual Machines | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置 Linux 虚拟机,以使用用户分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.14.0 |
| 配置Log Analytics工作区和自动化帐户以集中日志和监视 | 部署包含Log Analytics工作区和链接自动化帐户的资源组,以集中日志和监视。 自动化帐户是更新和更改跟踪等解决方案的先决条件。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
| Windows配置与数据收集规则或数据收集终结点关联的 Arc 计算机 | 部署关联以将 Windows Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.3.0 |
| 配置与数据收集规则或数据收集终结点关联的计算机Windows | 部署关联以将Windows虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置与数据收集规则或数据收集终结点关联的Windows Virtual Machine Scale Sets | 部署关联以将Windows虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.6.0 |
| 配置Windows虚拟机规模集,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在Windows虚拟机规模集上自动部署Azure Monitor代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.8.0 |
| 配置与数据收集规则或数据收集终结点关联的Windows Virtual Machines | 部署关联以将Windows虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.5.0 |
| 配置Windows虚拟机,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在Windows虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.8.0 |
| 应为列出的虚拟机映像启用依赖代理 | 如果虚拟机映像在定义的列表中且未安装代理,则报告虚拟机不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.1.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像位于定义的列表中且未安装代理,则将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.1.0 |
| Deploy - 在 Windows虚拟机规模集上配置要启用的依赖项代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为 Windows 虚拟机规模集部署依赖项代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 3.3.0 |
| Deploy - 将依赖项代理配置为在Windows虚拟机上启用 | 如果虚拟机映像位于定义的列表中且未安装代理,则为 Windows 虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 3.3.0 |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | 部署如果不存在 | 5.1.0 |
| 具有Azure监视代理设置的 Linux 虚拟机规模集的部署依赖项代理 | 如果 VM 映像(OS)位于定义的列表中且未安装代理,则为具有Azure监视代理设置的 Linux 虚拟机规模集部署依赖项代理。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | DeployIfNotExists、Disabled | 3.2.0 |
| 为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | 部署如果不存在 | 5.1.0 |
| 具有Azure监视代理设置的 Linux 虚拟机的部署依赖关系代理 | 如果 VM 映像(OS)位于定义的列表中且未安装代理,则为具有Azure监视代理设置的 Linux 虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 3.2.0 |
| 在具有Azure监视代理设置Windows虚拟机规模集上启用的部署依赖关系代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为具有Azure监视代理设置的Windows虚拟机规模集部署依赖项代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 1.4.0 |
| 在具有Azure监视代理设置Windows虚拟机上启用部署依赖项代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为具有Azure监视代理设置的Windows虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 1.4.0 |
| 将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| Batch 帐户的部署诊断设置Log Analytics工作区 | 创建或更新缺少此诊断设置的任何 Batch 帐户时,将 Batch 帐户的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.1.0 |
| 事件中心Data Lake Analytics的部署诊断设置 | 创建或更新缺少此诊断设置的任何Data Lake Analytics时,将Data Lake Analytics的诊断设置部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 用于Log Analytics工作区Data Lake Analytics的部署诊断设置 | 创建或更新缺少此诊断设置的任何Data Lake Analytics时,将Data Lake Analytics的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.1.0 |
| 事件中心的部署诊断设置Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何事件中心时,将事件中心的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 2.2.0 |
| 用于Log Analytics工作区Key Vault的部署诊断设置 | 创建或更新缺少此诊断设置的任何Key Vault时,将Key Vault的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将逻辑应用的诊断设置部署到事件中心 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 逻辑应用的部署诊断设置Log Analytics工作区 | 创建或更新缺少此诊断设置的任何逻辑应用时,将逻辑应用的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | 部署如果不存在 | 2.0.1 |
| 将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 搜索服务的部署诊断设置Log Analytics工作区 | 创建或更新缺少此诊断设置的任何搜索服务时,将搜索服务的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 事件中心Service Bus的部署诊断设置 | 创建或更新缺少此诊断设置的任何Service Bus时,将Service Bus诊断设置部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 用于Log Analytics工作区Service Bus的部署诊断设置 | 创建或更新缺少此诊断设置的任何Service Bus时,将Service Bus诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 2.3.0 |
| 将流分析的诊断设置部署到事件中心 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 流分析到Log Analytics工作区的部署诊断设置 | 创建或更新缺少此诊断设置的任何流分析时,将流分析的诊断设置部署到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| Log Analytics工作区应阻止从公用网络进行日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Log Analytics工作区应阻止基于非Azure Active Directory的引入. | 强制实施日志引入以要求Azure Active Directory身份验证可防止攻击者使用未经身份验证的日志,这可能导致系统中存储的错误状态、虚假警报和不正确的日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 公共 IP 地址应为 Azure DDoS 防护启用资源日志 | 为诊断设置中的公共 IP 地址启用资源日志,以流式传输到Log Analytics工作区。 深入了解攻击流量和通过通知、报告和流日志缓解 DDoS 攻击所执行的作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 应将Azure Monitor中的保存查询保存到客户存储帐户中,以便进行日志加密 | 将存储帐户链接到Log Analytics工作区,以使用存储帐户加密保护已保存的查询。 客户管理的密钥通常需要满足法规合规性,并更好地控制对Azure Monitor中已保存查询的访问。 有关上述内容的详细信息,请参阅 /azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure Storage静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 不应在启用了Windows服务器的Azure Arc上安装旧版Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧扩展后,此策略将拒绝Azure Arc Windows服务器上旧代理扩展的所有将来安装。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机规模集上安装旧版Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机上安装旧Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机规模集上安装旧Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧扩展后,此策略将拒绝Windows虚拟机规模集上旧代理扩展的所有将来安装。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机上安装旧版Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧扩展后,此策略将拒绝Windows虚拟机上旧代理扩展的所有将来安装。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
网络
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:容器注册表应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 | Audit、Disabled | 1.0.0-preview |
| 必须将自定义 IPsec/IKE 策略应用于所有Azure虚拟网络网关连接 | 此策略可确保所有Azure虚拟网络网关连接都使用自定义 Internet 协议安全性(Ipsec)/Internet 密钥交换(IKE)策略。 支持的算法和密钥强度 - https://docs.azure.cn/vpn-gateway/vpn-gateway-about-compliance-crypto#what-are-the-algorithms-and-key-strengths-supported-in-the-custom-policy | Audit、Disabled | 1.0.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点从Azure虚拟网络中的所选子网限制对应用的访问。 | AuditIfNotExists、Disabled | 2.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应使用 WAF 部署 Azure Azure Application Gateway | 需要使用 Azure WAF 部署Azure Application Gateway资源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall经典规则应迁移到防火墙策略 | 从Azure Firewall经典规则迁移到防火墙策略,以利用Azure Firewall Manager等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用Azure Firewall策略分析 | 启用策略分析可增强流量流经Azure Firewall的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
| Azure Firewall策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的Azure Firewall侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
| 应将 Azure Firewall 部署到多个Availability Zones | 为了提高可用性,我们建议部署Azure Firewall以跨多个Availability Zones。 这可确保在发生区域故障时,Azure Firewall将保持可用状态。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall 标准 - 经典规则应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Standard 应升级到 Premium,以便进行下一代保护 | 如果要查找下一代保护(如 IDPS 和 TLS 检查),应考虑将Azure Firewall升级到高级 SKU。 | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
| Azure Application GatewayAzure Web Application Firewall应启用请求正文检查 | 确保与Azure Application网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Application Gateway WAF 启用 Bot Protection | 此策略可确保在所有Azure Application Gateway Web Application Firewall(WAF)策略中启用机器人保护 | Audit、Deny、Disabled | 1.0.0 |
| 将Azure网络安全组的诊断设置配置为Log Analytics工作区 | 将诊断设置部署到Azure网络安全组,以将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
| 配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
| Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
| 在指定的资源组中创建 VNet Flowlog 流量分析的中心Log Analytics工作区 | 在分配的作用域和资源组 nwtarg-<subscriptionID 下创建中央Log Analytics工作区>,默认情况下为 VNet 流日志。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在适用于 VNet Flowlog 的 NetworkWatcherRG 中创建区域 NetworkWatcher | 此策略在指定区域中创建一个Network Watcher,为虚拟网络启用 Flowlog。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 resourceGroupName RG 中创建 VNet Flowlog 的区域存储帐户 | 在分配的范围和资源组 nwtarg-subscriptionID<> 下为 VNet 流日志创建区域存储帐户。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | 部署如果不存在 | 1.1.0 |
| 使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
| 创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | 如果不存在则部署 | 1.0.0 |
| 使用具有区域存储和集中Log Analytics的 VNet 流量分析部署 VNet 流日志。 在修正之前,请确保已部署 resourceGroupName 资源组、存储帐户、Log Analytics工作区Network Watcher。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为每个网络安全组配置 Flow 日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | 拒绝 | 1.0.0 |
| Key Vault应使用虚拟网络服务终结点 | 此策略会审核未配置为使用虚拟网络服务终结点的任何Key Vault。 | Audit、Disabled | 1.0.0 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置禁用Azure网络接口的源和目标检查。 网络安全团队应审查此设置。 | 拒绝 | 1.0.0 |
| 网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源将入站通信到Azure资源,并Azure资源与 Internet 通信。 网络安全团队应审查此设置。 | 拒绝 | 1.0.0 |
| Network Watcher流日志应启用流量分析 | 流量分析分析流日志,以便深入了解Azure云中的流量流。 它可用于可视化跨Azure订阅的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络配置错误等。 | Audit、Disabled | 1.0.1 |
| 应启用 Network Watcher | Network Watcher是一项区域服务,可用于监视和诊断网络方案级别的条件,以及从Azure进行监视和诊断。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.1.0 |
| SQL Server应使用虚拟网络服务终结点 | 此策略审核未配置为使用虚拟网络服务终结点的任何SQL Server。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://docs.azure.cn/virtual-network/ip-services/default-outbound-access | Audit、Deny、Disabled | 1.1.0 |
| 将Azure Firewall部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 | |
| 虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
| 应通过 Azure DDoS 防护来保护虚拟网络 | 使用 Azure DDoS 防护来保护虚拟网络免受卷和协议攻击。 有关详细信息,请访问 https://docs.azure.cn/ddos-protection/ddos-protection-overview。 | Modify、Audit、Disabled | 1.0.1 |
| 虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN 网关应仅对点到站点用户使用Azure Active Directory(Azure AD)身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用Azure Active Directory标识进行身份验证,从而提高安全性。 在 https://docs.azure.cn/vpn-gateway/openvpn-azure-ad-tenant 了解有关 Azure AD 身份验证的详细信息 | Audit、Deny、Disabled | 1.0.0 |
| 应为应用程序网关启用 Web Application Firewall (WAF | 在面向公众的 Web 应用程序前部署Azure Web Application Firewall(WAF),以进一步检查传入流量。 Web Application Firewall(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) 应为应用程序网关使用指定的模式 | 要求对应用程序网关的所有Web Application Firewall策略使用“检测”或“预防”模式处于活动状态。 | Audit、Deny、Disabled | 1.0.0 |
Portal
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 共享仪表板不应包含具有内联内容的 Markdown 磁贴 | 禁止创建 Markdown 磁贴中包含内联内容的共享仪表板,并强制将内容存储为在线托管的 Markdown 文件。 如果在 Markdown 磁贴中使用内联内容,你无法管理该内容的加密。 通过配置自己的存储,可以实现加密、双重加密甚至创建自己的密钥。 如果启用此策略,会将用户限制为使用 2020-09-01-preview 或更高版本的共享仪表板 REST API。 | Audit、Deny、Disabled | 1.1.0 |
PostgreSQL
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为 PostgreSQL 灵活服务器预配 A Microsoft Entra 管理员 | 审核 PostgreSQL 灵活服务器的Microsoft Entra管理员预配,以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用 PgAudit 审核 | 此策略有助于审核环境中任何未启用使用 pgaudit 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 灵活服务器。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器的部署诊断设置Log Analytics工作区 | 部署 PostgreSQL 灵活服务器的诊断设置,以便在创建或更新缺少此诊断设置的任何 PostgreSQL 灵活服务器时流式传输到区域Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器记录断开连接。 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为 PostgreSQL 灵活服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL支持使用安全套接字层(SSL)将Azure Database for PostgreSQL灵活服务器连接到客户端应用程序。 通过在数据库灵活服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为Azure Database for PostgreSQL灵活服务器启用 Geo 冗余备份 | Azure Database for PostgreSQL灵活服务器允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录连接” | 此策略可帮助审核环境中的 PostgreSQL 灵活服务器,而无需启用 log_connections 设置。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器应运行 TLS 1.2 或更高版本 | 此策略有助于审核环境中运行低于 1.2 的 TLS 版本的任何 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.1.0 |
| PostgreSQL 灵活服务器应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 PostgreSQL 灵活服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 PostgreSQL 灵活服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for PostgreSQL的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
复原能力
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:API 管理服务应为区域冗余 | API 管理服务可以配置为区域冗余或非区域冗余。 如果 API 管理服务的 SKU 名称为“高级”,并且其区域数组中至少有两个条目,则 API 管理服务为区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 API 管理服务。 | Audit、Deny、Disabled | 1.0.1-preview |
| [预览]:应用服务计划应为区域冗余 | 应用服务计划可配置为区域冗余或非区域冗余。 当应用服务计划的“zoneRedundant”属性设置为“false”时,不会为其配置区域冗余。 此策略标识并强制实施应用服务计划的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应用程序网关应为区域可复原 | 应用程序网关可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的应用程序网关被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的应用程序网关被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure AI Search服务应为区域冗余 | Azure AI Search服务可配置为区域冗余服务。 将两个或更多个副本添加到搜索服务时,将使用可用性区域。 每个副本将放置在该地区内不同的可用性区域中。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Cache for Redis应为区域冗余 | 可以将Azure Cache for Redis配置为区域冗余或不配置。 Azure Cache for Redis其区域数组中条目少于 2 个的实例不是区域冗余实例。 此策略标识Azure Cache for Redis实例缺少承受区域中断所需的冗余。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Data Explorer群集应为区域冗余 | Azure Data Explorer群集可配置为区域冗余。 如果Azure Data Explorer群集在其区域数组中至少有两个条目,则被视为区域冗余。 此策略有助于确保Azure Data Explorer群集是区域冗余的。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Database for MySQL灵活服务器应具有区域复原能力 | Azure Database for MySQL灵活服务器可配置为区域对齐、区域冗余或两者均不能。 选择同一区域中的备用服务器以实现高可用性的 MySQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 MySQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Database for PostgreSQL灵活服务器应具有区域复原能力 | Azure Database for PostgreSQL灵活服务器可配置为区域对齐、区域冗余或两者均不能。 选择同一区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应Azure HDInsight区域对齐 | Azure HDInsight可配置为区域对齐或不对齐。 在其区域数组中只有一个条目的Azure HDInsight被视为区域对齐。 此策略可确保将Azure HDInsight群集配置为在单个可用性区域中运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Kubernetes Service托管群集应为区域冗余 | Azure Kubernetes Service托管群集可配置为区域冗余群集。 该策略会检查群集中的节点池,并确保为所有节点池设置了可用性区域。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:备份和Site Recovery应为区域冗余 | 备份和Site Recovery可配置为区域冗余。 如果“standardTierStorageRedundancy”属性设置为“ZoneRedundant”,则备份和Site Recovery为区域冗余。 强制实施此策略有助于确保为区域复原适当配置备份和Site Recovery,从而减少发生区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:备份保管库应为区域冗余 | 备份保管库可配置为区域冗余或非区域冗余。 如果备份保管库的存储设置类型设置为“ZoneRedundant”,则备份保管库为区域冗余,并且被视为可复原。 异地冗余或本地冗余备份保管库不被视为可复原。 强制实施此策略有助于确保为备份保管库配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:容器应用应为区域冗余 | 容器应用可以配置为区域冗余或非区域冗余。 如果容器应用托管环境的“ZoneRedundant”属性设置为 true,则该容器应用为区域冗余。 此策略会标识缺少承受区域中断所需冗余的容器应用。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应Container Instances区域对齐 | 可以将Container Instances配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:容器注册表应为区域冗余 | 容器注册表可以配置为区域冗余或非区域冗余。 如果容器注册表的 zoneRedundancy 属性设置为“Disabled”,则表示注册表不是区域冗余的。 强制实施此策略有助于确保适当配置容器注册表来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: Cosmos 数据库帐户应为区域冗余 | 可以将 Cosmos 数据库帐户配置为区域冗余或非区域冗余。 如果“enableMultipleWriteLocations”设置为“true”,则所有位置都必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 如果“enableMultipleWriteLocations”设置为“false”,则主位置(将“failoverPriority”设置为 0)必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 强制执行此策略可确保为区域冗余正确配置 Cosmos 数据库帐户。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:事件中心应为区域冗余 | 可将事件中心配置为区域冗余或非区域冗余。 如果事件中心的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:防火墙应为区域可复原 | 防火墙可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的防火墙被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的防火墙被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:负载均衡器应为区域可复原 | 具有非基本 sku 的负载均衡器继承其前端中公共 IP 地址的复原能力。 当与“公共 IP 地址应为区域可复原”策略相结合时,此方法可确保必要的冗余来承受区域中断。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Managed Disks应该是区域复原 | Managed Disks可配置为区域对齐、区域冗余或两者均不能。 Managed Disks,只有一个区域分配是区域对齐。 Managed Disks以 ZRS 结尾的 SKU 名称为区域冗余。 此策略有助于识别并强制实施这些Managed Disks复原配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:NAT 网关应为区域对齐 | NAT 网关可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 NAT 网关被视为区域对齐。 此策略可确保 NAT 网关配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:公共 IP 地址应为区域可复原 | 可将公共 IP 地址配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中恰好只有一个条目的区域性公共 IP 地址被视为区域对齐。 相比之下,拥有 3 个或更多条目的区域性公共 IP 地址在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]:公共 IP 前缀应为可复原区域 | 公共 IP 前缀可配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中只有一个条目的公共 IP 前缀被视为区域对齐。 相比之下,拥有 3 个或更多条目的公共 IP 前缀在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Service Bus应为区域冗余 | Service Bus可配置为区域冗余。 如果Service Bus的“zoneRedundant”属性设置为“false”,则表示它未针对区域冗余进行配置。 此策略标识并强制实施Service Bus实例的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Service Fabric 群集应为区域冗余 | Service Fabric 群集可配置为区域冗余或非区域冗余。 nodeType 的 multipleAvailabilityZones 未设置为 true 的 Servicefabric 群集不是区域冗余的。 此策略会标识缺少承受区域中断所需冗余的 Servicefabric 群集。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 数据库应为区域冗余 | 可将 SQL 数据库配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的数据库未配置区域冗余。 此策略有助于识别需要区域冗余配置的 SQL 数据库,以增强Azure内的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 弹性数据库池应为区域冗余 | SQL 弹性数据库池可配置为区域冗余或非区域冗余。 如果 SQL 弹性数据库池的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 托管实例应为区域冗余 | SQL 托管实例可配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的实例未配置区域冗余。 此策略有助于识别需要区域冗余配置的 SQL managedInstance,以增强Azure内的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:存储帐户应为区域冗余 | 可以将存储帐户配置为区域冗余或非区域冗余。 如果存储帐户的 SKU 名称不以“ZRS”结尾,或者其类型为“存储”,则它不是区域冗余的。 此策略可确保存储帐户使用区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Virtual Machine Scale Sets应该是区域复原 | Virtual Machine Scale Sets可以配置为区域对齐、区域冗余或两者均不能。 在其区域数组中只有一个条目的Virtual Machine Scale Sets被视为区域对齐。 相比之下,Virtual Machine Scale Sets其区域数组中有 3 个或更多条目,并且容量至少为 3 个,可识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应Virtual Machines区域对齐 | Virtual Machines可配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:虚拟网络网关应为区域冗余 | 可将虚拟网络网关配置为区域冗余或不配置。 SKU 名称或层不以“AZ”结尾的虚拟网络网关不是区域冗余。 此策略标识缺少承受区域中断所需冗余的虚拟网络网关。 | Audit、Deny、Disabled | 1.0.0-preview |
搜寻
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI Search服务应使用支持专用链接的 SKU | 借助支持的 Azure AI Search SKU,Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search服务应禁用公用网络访问 | 禁用公共网络访问可确保Azure AI Search服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search服务应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Azure AI Search服务完全需要Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/search/search-security-rbac。 请注意,虽然禁用本地身份验证参数仍处于预览状态,但此策略的拒绝效果可能会导致有限的Azure AI Search门户功能,因为门户的某些功能使用不支持该参数的 GA API。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search服务应使用客户管理的密钥来加密静态数据 | 在Azure AI Search服务上使用客户管理的密钥启用静态加密可进一步控制用于加密静态数据的密钥。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | AuditIfNotExists、Disabled | 2.1.0 |
| 配置Azure AI Search服务以禁用本地身份验证 | 禁用本地身份验证方法,以便Azure AI Search服务专门要求Azure Active Directory标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/search/search-security-rbac。 | 修改,已禁用 | 1.0.1 |
| 配置Azure AI Search服务以禁用公用网络访问 | 禁用Azure AI Search服务的公用网络访问,以便无法通过公共 Internet 访问它。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | 修改,已禁用 | 1.0.1 |
| 配置Azure AI Search服务,以强制客户管理的密钥加密静态数据 | 在Azure AI Search服务上使用客户管理的密钥启用静态加密可进一步控制用于加密静态数据的密钥。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | 拒绝、已禁用 | 1.0.1 |
| 配置Azure AI Search服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析到Azure AI Search服务。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.1 |
| 使用专用终结点配置Azure AI Search服务 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure AI Search服务,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
安全中心
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 | 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 5.0.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [预览版]:配置支持的虚拟机以自动启用 vTPM | 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动启用安全启动 | 配置支持的Windows虚拟机,以自动启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [预览]:配置使用Shared Image Gallery映像创建的 VM 以安装来宾证明扩展 | 配置使用Shared Image Gallery映像创建的虚拟机以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置使用 Shared Image Gallery 映像创建的 VMSS 以安装来宾证明扩展 | 配置使用Shared Image Gallery映像创建的 VMSS 以自动安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| 在支持的 Linux 虚拟机上安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview | |
| [预览]:应在受支持的 Linux virtual machines规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [预览]:应在支持的虚拟机Windows上安装来宾证明扩展 | 在支持的虚拟机上安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [预览]:应在受支持的Windows虚拟机规模集上安装来宾证明扩展 | 在支持的虚拟机规模集上安装来宾证明扩展,以允许Azure Security Center主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [预览版]:Linux 虚拟机应使用安全启动 | 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 此评估仅适用于安装了Azure Monitor代理的 Linux 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应在 Windows支持的虚拟机上启用安全启动 | 在受支持的Windows虚拟机上启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任的启动和机密Windows虚拟机。 | Audit、Disabled | 4.0.0-preview |
| 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | Audit、Disabled | 2.0.0-preview | |
| 最多应为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 关联到虚拟机的网络安全组应限制所有网络端口 | Azure Security Center已确定某些网络安全组的入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 应启用 Azure Defender for App Service | Azure Defender for App Service 利用云的规模和Azure作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure defender for Azure SQL Database 服务器 | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理作。 Azure Defender 检测到有关可疑活动的威胁和警报。 在 https://docs.azure.cn/defender-for-cloud/defender-for-resource-manager-introduction 详细了解 Azure Defender for Resource Manager 的功能。 启用此Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://www.azure.cn/pricing/details/azure-defender/。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure Defender for servers | Azure Defender for servers 为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure注册表容器映像应已解决漏洞(由 Microsoft Defender Vulnerability Management 提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure运行容器映像时,应已解决漏洞(由 Microsoft Defender Vulnerability Management) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应删除对Azure资源具有所有者权限的阻止的帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源的读取和写入权限的阻止的帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应安全配置云服务(外延支持)角色实例 | 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 | AuditIfNotExists、Disabled | 1.0.0 |
| 云服务(外延支持)角色实例应安装系统更新 | 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 在 mySQL 灵活服务器的Azure数据库上启用配置Advanced Threat Protection | 在 Azure Database for MySQL 灵活服务器上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 postgreSQL 灵活服务器Azure数据库上启用配置Advanced Threat Protection | 在 Azure Database for PostgreSQL 灵活服务器上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置已启用 Arc 的 SQL Server 以自动安装Azure Monitor代理 | 在已启用 Arc 的 SQL Server 上自动部署 Windows Azure Monitor代理扩展。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.3.0 |
| 为已启用 Arc 的 SQL Server 自动安装 SQL Microsoft Defender | 配置已启用 Arc 的 SQL Server Windows,以自动安装 SQL 代理的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置已启用 Arc 的 SQL Server,以便使用 Log Analytics 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置已启用 Arc 的 SQL Server,以便使用用户定义的 LA 工作区为 SQL 和 DCR 自动安装Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.8.0 |
| 配置已启用 Arc 的 SQL Server,其数据收集规则关联为 SQL DCR Microsoft Defender | 配置已启用 Arc 的 SQL Server 与 SQL DCR Microsoft Defender之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
| 为已启用 Arc 的 SQL Server 配置启用了数据收集规则的 SQL Server,以便为 SQL 用户定义的 DCR Microsoft Defender | 配置已启用 Arc 的 SQL Server 与 SQL 用户定义的 DCR Microsoft Defender之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
| 要启用的 Defender for App Service Azure配置 | Azure Defender for App Service 利用云的规模和Azure作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置Azure Defender for Azure SQL 数据库启用 | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | DeployIfNotExists、Disabled | 1.0.1 |
| 要为容器启用配置Microsoft Defender | 容器Microsoft Defender为Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | DeployIfNotExists、Disabled | 1.0.1 |
| 在 Synapse 工作区上启用 SQL 的配置Microsoft Defender | 为Azure Synapse工作区上的 SQL 启用Microsoft Defender,以检测异常活动,指示访问或利用 SQL 数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 SQL Virtual Machines以自动安装Azure Monitor代理 | 在 Windows SQL Virtual Machines 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL Virtual Machines以自动安装 SQL Microsoft Defender | 配置 Windows SQL Virtual Machines以自动安装 SQL 扩展的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL Virtual Machines,以便使用 Log Analytics 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.9.0 |
| 配置 SQL Virtual Machines,使用用户定义的 LA 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.10.0 |
| 配置 SQL Log Analytics 工作区Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组并Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
| 创建和分配内置用户分配的托管标识 | 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.8.0 |
| Deploy 作为受信任的服务导出到事件中心,用于Microsoft Defender for Cloud数据 | 将事件中心作为受信任的Microsoft Defender for Cloud数据服务启用导出。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
| Deploy 导出到事件中心以获取Microsoft Defender for Cloud数据 | 启用导出到Microsoft Defender for Cloud数据的事件中心。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | 部署如果不存在 | 4.2.0 |
| Deploy 导出到Microsoft Defender for Cloud数据的Log Analytics工作区 | 启用导出到Microsoft Defender for Cloud数据的Log Analytics工作区。 此策略将导出部署到Log Analytics工作区配置,并在分配的作用域上使用条件和目标工作区。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | 部署如果不存在 | 4.1.0 |
| 用于Microsoft Defender for Cloud警报的部署工作流自动化 | 启用Microsoft Defender for Cloud警报自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | 部署如果不存在 | 5.0.1 |
| 用于Microsoft Defender for Cloud建议的部署工作流自动化 | 启用Microsoft Defender for Cloud建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | 部署如果不存在 | 5.0.1 |
| 用于Microsoft Defender for Cloud法规合规性的部署工作流自动化 | 实现Microsoft Defender for Cloud法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | 部署如果不存在 | 5.0.1 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 订阅上启用Microsoft Defender for Cloud | 标识Microsoft Defender for Cloud不监视的现有订阅,并使用 Defender for Cloud 的免费功能对其进行保护。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | 部署如果不存在 | 1.0.1 |
| 允许安全中心在订阅上自动预配Log Analytics代理,以使用自定义工作区监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 允许安全中心在订阅上自动预配Log Analytics代理,以使用 ASC 默认工作区监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 应删除对Azure资源具有所有者权限的 guest 帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有读取权限的 guest 帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有写入权限的 guest 帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,例如“应启用Windows攻击防护”。 更多信息请访问 https://docs.azure.cn/governance/policy/concepts/guest-configuration。 | AuditIfNotExists、Disabled | 1.0.3 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://docs.azure.cn/virtual-network/network-security-groups-overview | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 | 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 | Audit、Disabled | 1.0.2 |
| Log Analytics代理应安装在云服务(扩展支持)角色实例上 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | Azure Security Center作为建议监视可能的实时网络(JIT)访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用容器的 Microsoft Defender | 容器Microsoft Defender为Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 sql Microsoft Defender | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://docs.azure.cn/virtual-network/network-security-groups-overview | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Kubernetes 服务上使用 Role-Based Access Control (RBAC | 若要对用户可以执行的作进行精细筛选,请使用 Role-Based Access Control (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关的授权策略。 | Audit、Disabled | 1.1.0 |
| 应选择安全中心标准定价层 | 标准定价层为网络和虚拟机启用威胁检测,从而在Azure Security Center中提供威胁情报、异常检测和行为分析 | Audit、Disabled | 1.1.0 |
| SQL 数据库应解决漏洞发现 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应为机器计划中的 SQL Server 启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将 SQL 目标Azure监视代理配置为自动部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 计算机上的 SQL 服务器应已解决漏洞发现 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含允许或拒绝发到子网的网络流量的Access Control列表(ACL)规则列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
| 您的订阅应被分配给多位所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果虚拟机安装了来宾配置扩展,但没有系统分配的托管标识,则此策略范围内Azure虚拟机将不符合要求。 有关详细信息,请访问 https://docs.azure.cn/governance/policy/concepts/guest-configuration | AuditIfNotExists、Disabled | 1.0.1 |
Service Bus
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应从 Service Bus 命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | Service Bus客户端不应使用命名空间级别访问策略,该策略提供对命名空间中的所有队列和主题的访问权限。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Azure Service Bus命名空间完全需要Microsoft Entra ID标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/service-bus-sas。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus命名空间应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Service Bus命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置Azure Service Bus命名空间以禁用本地身份验证 | 禁用本地身份验证方法,以便Azure ServiceBus 命名空间专门要求Microsoft Entra ID标识进行身份验证。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/service-bus-sas。 | 修改,已禁用 | 1.0.1 |
| 配置Service Bus命名空间以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Service Bus命名空间。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置Service Bus命名空间 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Service Bus命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用Service Bus中的 源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus命名空间应禁用公用网络访问 | Azure Service Bus应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/service-bus-messaging/private-link-service | Audit、Deny、Disabled | 1.1.0 |
| Service Bus命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| Service Bus高级命名空间应使用客户管理的密钥进行加密 | Azure Service Bus支持使用Microsoft托管密钥(默认)或客户管理的密钥加密静态数据的选项。 通过选择使用客户管理的密钥加密数据,可以分配、轮换、禁用和撤销对Service Bus用于加密命名空间中的数据的密钥的访问权限。 请注意,Service Bus仅支持使用高级命名空间的客户管理的密钥进行加密。 | Audit、Disabled | 1.0.0 |
Service Fabric
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| Service Fabric 群集应仅使用Azure Active Directory进行客户端身份验证 | 仅通过 Service Fabric 中的Azure Active Directory审核客户端身份验证的使用情况 | Audit、Deny、Disabled | 1.1.0 |
SignalR
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure SignalR Service应禁用公用网络访问 | 为了提高Azure SignalR Service资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如https://docs.azure.cn/azure-signalr/howto-network-access-control中所述,禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SignalR Service应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service应禁用本地身份验证方法 | 禁用本地身份验证方法可确保Azure SignalR Service专门要求Azure Active Directory标识进行身份验证,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR Service应使用已启用Private Link的 SKU | Azure Private Link允许将虚拟网络连接到Azure服务,而无需源或目标上的公共 IP 地址,从而保护资源免受公共数据泄露风险的影响。 策略将你限制为Azure SignalR Service启用Private Link SKU。 请访问 https://docs.azure.cn/azure-signalr/howto-private-endpoints,详细了解专用链接。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR Service应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure SignalR Service资源而不是整个服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 配置Azure SignalR Service以禁用本地身份验证 | 禁用本地身份验证方法,以便Azure SignalR Service专门要求Azure Active Directory标识进行身份验证。 | 修改,已禁用 | 1.0.0 |
| 将专用终结点配置为 Azure SignalR Service | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure SignalR Service资源,可以降低数据泄露风险。 更多信息请访问 https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure SignalR Service资源。 有关详细信息,请访问:https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 修改Azure SignalR Service资源以禁用公用网络访问 | 为了提高Azure SignalR Service资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如https://docs.azure.cn/azure-signalr/howto-network-access-control中所述,禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.2.0 |
Site Recovery
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:将Azure恢复服务保管库配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:在 Azure 恢复服务保管库上配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 有关专用链接的详细信息,请访问:https://docs.azure.cn/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:恢复服务保管库应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure恢复服务保管库,可以降低数据泄露风险。 在以下位置了解有关Azure Site Recovery专用链接的详细信息:https://docs.azure.cn/site-recovery/hybrid-how-to-enable-replication-private-endpoints 和 https://docs.azure.cn/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | Audit、Disabled | 1.0.0-preview |
SQL
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure PostgreSQL 灵活服务器应已启用Microsoft Entra身份验证 | 禁用本地身份验证方法,仅允许Microsoft Entra身份验证可确保Azure PostgreSQL 灵活服务器可通过Microsoft Entra标识独占访问来提高安全性。 | Audit、Disabled | 1.0.0-preview |
| 应为 MySQL 服务器预配A Microsoft Entra管理员 | 审核 MySQL 服务器的Microsoft Entra管理员预配以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.1.1 |
| 应为 PostgreSQL 服务器预配 A Microsoft Entra 管理员 | 审核 PostgreSQL 服务器的Microsoft Entra管理员预配以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为 SQL Server 预配Azure Active Directory管理员 | 审核 SQL Server Azure Active Directory 管理员预配以启用 Azure AD 身份验证。 Azure AD 身份验证使数据库用户和其他Microsoft服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 SQL Server 上启用审核 | 应启用对SQL Server的审核,以跟踪服务器上的所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应为未受保护的Azure SQL服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核每个SQL Managed Instance,而无需高级数据安全性。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure MySQL 灵活服务器应仅启用Microsoft Entra身份验证 | 禁用本地身份验证方法,仅允许Microsoft Entra身份验证可确保Azure MySQL 灵活服务器可通过Microsoft Entra标识独占访问来提高安全性。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure SQL Database应运行 TLS 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本可确保只能从使用 TLS 1.2 或更高版本的客户端访问Azure SQL Database来提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审核、已禁用、拒绝 | 2.0.0 |
| Azure SQL Database应已启用仅Microsoft Entra身份验证 | 要求Azure SQL逻辑服务器使用仅Microsoft Entra身份验证。 此策略不会阻止创建启用本地身份验证的服务器。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database创建过程中应启用仅Microsoft Entra身份验证 | 要求使用仅Microsoft Entra身份验证创建Azure SQL逻辑服务器。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SQL Managed Instance应已启用仅Microsoft Entra身份验证 | 要求Azure SQL Managed Instance使用仅Microsoft Entra身份验证。 此策略不会阻止Azure SQL启用了本地身份验证的托管实例创建。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL托管实例应禁用公用网络访问 | 在Azure SQL托管实例上禁用公用网络访问(公共终结点)可以提高安全性,方法是确保只能从虚拟网络内部或通过专用终结点访问它们。 若要了解有关公共网络访问的详细信息,请访问 https://docs.azure.cn/azure-sql/managed-instance/public-endpoint-configure。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL托管实例在创建期间应启用仅Microsoft Entra身份验证 | 要求使用仅Microsoft Entra身份验证创建Azure SQL Managed Instance。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.2.0 |
| 在 mariaDB 服务器的Azure数据库上启用配置Advanced Threat Protection | 在非基本层Azure数据库 for MariaDB 服务器上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
| 在 mySQL 服务器的 Azure 数据库上启用配置Advanced Threat Protection | 在 MySQL 服务器的非基本层Azure数据库上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
| 在 PostgreSQL 服务器的Azure数据库上启用配置Advanced Threat Protection | 在适用于 PostgreSQL 服务器的非基本层Azure数据库上启用Advanced Threat Protection,以检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置 Azure Defender,以便在 SQL 托管实例上启用 | 在Azure SQL托管实例上启用 Azure Defender,以检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 2.0.0 |
| 在 SQL Server 上启用配置Azure Defender | 在Azure SQL服务器上启用 Azure Defender,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | 如果不存在则部署 | 2.1.0 |
| Azure SQL将数据库服务器诊断设置配置为Log Analytics工作区 | 为Azure SQL Database服务器启用审核日志,并在创建或更新缺少此审核的任何SQL Server时将日志流式传输到Log Analytics工作区 | DeployIfNotExists、Disabled | 1.0.2 |
| 配置 Azure SQL Server以禁用公用网络访问 | 禁用公共网络访问属性会关闭公共连接,以便只能从专用终结点访问 Azure SQL Server。 此配置禁用 Azure SQL Server下所有数据库的公用网络访问。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure SQL Server以启用专用终结点连接 | 专用终结点连接允许通过虚拟网络中的专用 IP 地址与Azure SQL Database建立专用连接。 此配置可改善安全状况,并支持Azure网络工具和方案。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 SQL 服务器配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将 SQL 服务器配置为启用事件中心的审核 | 为了确保捕获 SQL作,SQL 服务器应已启用审核。 此策略允许审核和配置诊断设置,以将 SQLSecurityAuditEvents 发送到指定的事件中心。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 SQL 服务器以启用审核以Log Analytics工作区 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
| Deploy - 将 SQL 数据库的诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何 SQL 数据库时,将 SQL 数据库的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、Disabled | 4.0.0 |
| 在 SQL 服务器上部署高级数据安全 | 此策略在 SQL 服务器上启用高级数据安全性。 这包括启用威胁检测和漏洞评估。 它自动在 SQL 服务器所在的同一区域和资源组中,创建一个带有“sqlva”前缀存储帐户用于存储扫描结果。 | 如果不存在则部署 | 1.3.0 |
| 事件中心Azure SQL Database的部署诊断设置 | 在创建或更新缺少此诊断设置的任何Azure SQL Database上,将Azure SQL Database的诊断设置部署到区域事件中心。 | 如果不存在则部署 | 1.2.0 |
| 部署 SQL DB 透明数据加密 | 在 SQL 数据库上启用透明数据加密 | DeployIfNotExists、Disabled | 2.2.0 |
| 应为 PostgreSQL 数据库服务器记录断开连接 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL支持使用安全套接字层(SSL)将Azure Database for MySQL服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL支持使用安全套接字层(SSL)将Azure Database for PostgreSQL服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MariaDBGeo 冗余备份> | Azure Database for MariaDB允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQLGeo 冗余备份> | Azure Database for MySQL允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQLGeo 冗余备份> | Azure Database for PostgreSQL允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用“记录连接” | 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用“记录持续时间” | 此策略帮助审核环境中任何未启用 log_duration 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Azure SQL Databases 启用长期异地冗余备份 | 此策略审核未启用长期异地冗余备份的任何Azure SQL Database。 | AuditIfNotExists、Disabled | 2.0.0 |
| MariaDB 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于启用从特定子网到Azure Database for MariaDB的流量,同时确保流量保留在Azure边界内。 此策略提供了一种方法来审核Azure Database for MariaDB是否使用了虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于启用从特定子网到Azure Database for MySQL的流量,同时确保流量保留在Azure边界内。 此策略提供了一种方法来审核Azure Database for MySQL是否使用了虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL 服务器应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| PostgreSQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于启用从特定子网到Azure Database for PostgreSQL的流量,同时确保流量保留在Azure边界内。 此策略提供了一种方法来审核Azure Database for PostgreSQL是否使用了虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL 服务器应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应启用Azure SQL Database上的 Private 终结点连接 | 专用终结点连接通过启用与Azure SQL Database的专用连接来强制实施安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for MariaDB的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for MySQL的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for PostgreSQL的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用Azure SQL Database上的公共网络访问 | 禁用公共网络访问属性可确保只能从专用终结点访问Azure SQL Database来提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for MariaDB。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 或基于虚拟网络的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 灵活服务器禁用公共网络access | 禁用公共网络访问属性可确保只能从专用终结点访问Azure Database for MySQL灵活服务器来提高安全性。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 或基于虚拟网络的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 2.2.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for MySQL。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 或基于虚拟网络的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 灵活服务器禁用 公共网络access | 禁用公共网络访问属性可确保只能从专用终结点访问Azure Database for PostgreSQL灵活服务器来提高安全性。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 3.1.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for PostgreSQL。 此配置禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或虚拟网络的防火墙规则匹配的所有登录名。 | Audit、Deny、Disabled | 2.0.1 |
| SQL 审核设置中应包含配置为捕获关键活动的操作组 | AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL Managed Instance应具有最低 TLS 版本 1.2 | 将最低 TLS 版本设置为 1.2 可确保只能从使用 TLS 1.2 的客户端访问SQL Managed Instance来提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Disabled | 1.0.1 |
| SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用自己的密钥实现Transparent Data Encryption(TDE),可以提高 TDE 保护程序的透明度和控制,提高 HSM 支持的外部服务的安全性,以及促进职责分离。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.0 |
| SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用自己的密钥实现Transparent Data Encryption(TDE)可以提高对 TDE 保护程序的透明度和控制,通过 HSM 支持的外部服务提高安全性,以及促进职责分离。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.1 |
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 出于事件调查目的,我们建议将SQL Server审核的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 SQL 数据库的 Transparent Data Encryption | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 应启用应启用Azure SQL Database上的虚拟网络防火墙规则,以允许来自指定子网的流量 | 基于虚拟网络的防火墙规则用于启用从特定子网到Azure SQL Database的流量,同时确保流量保留在Azure边界内。 | 如果不存在则审计 | 1.0.0 |
| 审核未启用定期漏洞评估扫描的每个SQL Managed Instance。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 | |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的服务器Azure SQL。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
存储
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure File Sync应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Blob groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 blob_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为文件 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为队列 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 queue_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为表 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 table_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure File Sync以使用专用 DNS 区域 | 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略为存储同步服务专用终结点的接口创建必要的Azure Private DNS区域和 A 记录。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置专用终结点Azure File Sync | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Blob 服务的诊断设置以Log Analytics工作区 | 创建或更新缺少此诊断设置的任何 blob 服务时,部署 Blob 服务的诊断设置,以将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 将文件服务诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何文件服务时,将文件服务的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 将队列服务的诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何队列服务时,将队列服务的诊断设置部署到Log Analytics工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 将存储帐户的诊断设置配置为Log Analytics工作区 | 创建或更新缺少此诊断设置的任何存储帐户时,将存储帐户的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 配置表服务的诊断设置以Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何表服务时,将表服务的诊断设置部署到Log Analytics工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 在存储帐户上配置数据的安全传输 | 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 将存储帐户配置为使用专用链接连接 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如https://aka.ms/storageaccountpublicnetworkaccess中所述,禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
| 将存储帐户公共访问配置为不允许 | Azure Storage中对容器和 blob 的匿名公共读取访问是共享数据的一种便捷方法,但可能存在安全风险。 为了防止因不需要的匿名访问而导致的数据泄露,Azure建议防止对存储帐户的公共访问,除非你的方案需要它。 | 修改,已禁用 | 1.0.0 |
| 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| Modify - 配置Azure File Sync以禁用公用网络访问 | Azure File Sync的 Internet 可访问的公共终结点由组织策略禁用。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 修改 - 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 请注意,不会修改现有存储帐户来启用 Blob 存储版本控制。 只有新创建的存储帐户才会启用 Blob 存储版本控制 | 修改,已禁用 | 1.0.0 |
| 应为 Azure File Sync公共网络访问> | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | Audit、Deny、Disabled | 3.0.0 |
| 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应受到允许的 SKU 的限制 | 限制组织可以部署的存储帐户 SKU 集。 | Audit、Deny、Disabled | 1.1.0 |
| 应将 Storage 帐户迁移到新的Azure Resource Manager资源 | 使用存储帐户的新Azure Resource Manager提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure Resource Manager的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如https://aka.ms/storageaccountpublicnetworkaccess中所述,禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户配置共享访问签名 (SAS) 策略 | 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 将访问权限委托给Azure Storage帐户中的资源。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止跨租户对象复制 | 审核存储帐户的对象复制限制。 默认情况下,用户可以使用一个Azure AD 租户中的源存储帐户和另一个租户中的目标帐户配置对象复制。 这会造成安全隐患,因为客户的数据可以复制到该客户拥有的存储帐户中。 通过将 allowCrossTenantReplication 设置为 false,仅当源帐户和目标帐户位于同一Azure AD 租户中时,才能配置对象复制。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止共享密钥访问 | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft推荐。 | Audit、Deny、Disabled | 2.0.0 |
| 存储帐户应阻止共享密钥访问(不包括 Databricks 创建的存储帐户) | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft推荐。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定Azure虚拟网络或公共 Internet IP 地址范围的流量授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用虚拟网络规则限制网络访问(不包括 Databricks 创建的存储帐户) | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 存储帐户应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://docs.azure.cn/private-link/private-link-overview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 存储帐户应使用专用链接(不包括 Databricks 创建的存储帐户) | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://docs.azure.cn/private-link/private-link-overview。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储 SAS 令牌应遵守 7 天的最大有效期 | 此策略可确保存储帐户的共享访问签名(SAS)令牌配置为最长有效期为 7 天或更少。 它拒绝或审核允许更长的 SAS 令牌生存期或未配置适当的过期作的存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
流分析
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Stream Analytics作业应使用客户管理的密钥来加密数据 | 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应启用Azure Stream Analytics中的源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 流分析作业应连接到受信任的输入和输出 | 确保流分析作业不具有未在允许列表中定义的任意输入或输出连接。 这将检查流分析作业是否会通过连接到组织外部的任意接收器来外泄数据。 | 拒绝、已禁用、审核 | 1.1.0 |
| 流分析作业应使用托管标识对终结点进行身份验证 | 确保流分析作业仅使用托管标识身份验证连接到终结点。 | 拒绝、已禁用、审核 | 1.0.0 |
Synapse
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 Synapse 工作区上的审核 | 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse工作区SQL Server应运行 TLS 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本可确保Azure Synapse工作区 SQL Server 只能从使用 TLS 1.2 或更高版本的客户端访问,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Synapse工作区应仅允许出站数据流量发到已批准的目标 | 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Synapse工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse工作区应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥控制存储在Azure Synapse工作区中的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse工作区应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Synapse工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| Azure Synapse配置工作区专用 SQL 最低 TLS 版本 | 对于新的 Synapse 工作区或现有的工作区,客户可以使用 API 提高或降低最低 TLS 版本。 因此,需要在工作区中使用较低客户端版本的用户可以连接,而具有安全要求的用户可以提高最低 TLS 版本。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.1.0 |
| 配置Azure Synapse工作区以禁用公用网络访问 | 禁用对 Synapse 工作区的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.0.0 |
| 配置Azure Synapse工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Synapse工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
| 使用专用终结点配置Azure Synapse工作区 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Synapse工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Synapse 工作区配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 2.0.0 |
| 配置 Synapse 工作区以启用审核以Log Analytics工作区 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Synapse 工作区,仅使用Microsoft Entra标识进行身份验证 | 要求并重新配置 Synapse 工作区以使用仅Microsoft Entra身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实阻止启用本地身份验证,并在创建后对资源重新启用仅Microsoft Entra身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 | 修改,已禁用 | 1.0.0 |
| 配置 Synapse 工作区,以便在创建工作区期间仅使用Microsoft Entra标识进行身份验证 | 要求并使用仅Microsoft Entra身份验证重新配置 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 | 修改,已禁用 | 1.2.0 |
| 应删除Azure Synapse工作区上的 IP 防火墙规则 | 删除所有 IP 防火墙规则可确保只能从专用终结点访问Azure Synapse工作区来提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 | Audit、Disabled | 1.0.0 |
| 应启用Azure Synapse工作区上的 Managed 工作区虚拟网络 | 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 托管专用终结点应仅连接到已批准的Azure Active Directory租户中的资源 | 仅允许与已批准的Azure Active Directory(Azure AD)租户中的资源建立连接来保护 Synapse 工作区。 可以在策略分配期间定义批准的Azure AD 租户。 | 审核、已禁用、拒绝 | 1.0.0 |
| Synapse 工作区审核设置应配置操作组来捕获关键活动 | 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse 工作区应启用仅Microsoft Entra身份验证 | 要求 Synapse 工作区使用仅Microsoft Entra身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 工作区应在创建工作区期间仅使用Microsoft Entra标识进行身份验证 | 要求使用仅Microsoft Entra身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 | Audit、Deny、Disabled | 1.2.0 |
| 对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 | 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
标记
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | 修改 | 1.0.0 |
| 将标记添加到资源 | 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 | 修改 | 1.0.0 |
| 向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/governance/policy/how-to/remediate-resources。 | 修改 | 1.0.0 |
| 在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | 修改 | 1.0.0 |
| 在资源中添加或替换标记 | 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 | 修改 | 1.0.0 |
| 在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/zh-cn/governance/policy/how-to/remediate-resources。 | 修改 | 1.0.0 |
| 追加资源组的标记及其值 | 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | 追加 | 1.0.0 |
| 将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | 追加 | 1.0.0 |
| 将标记及其值追加到资源 | 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | 追加 | 1.0.1 |
| 从资源组继承标记 | 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | 修改 | 1.0.0 |
| 从资源组继承标记(如果缺少此标记) | 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | 修改 | 1.0.0 |
| 从订阅继承标记 | 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | 修改 | 1.0.0 |
| 从订阅继承标记(如果缺少) | 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | 修改 | 1.0.0 |
| 需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | 拒绝 | 1.0.0 |
| 需要资源上的标记及其值 | 强制执行所需的标记及其值。 不要应用到资源组。 | 拒绝 | 1.0.1 |
| 需要资源组上的标记 | 强制要求资源组中存在某个标记。 | 拒绝 | 1.0.0 |
| 需要资源上的标记 | 强制要求存在某个标记。 不要应用到资源组。 | 拒绝 | 1.0.1 |
受信任启动
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 磁盘和 OS 映像应支持受信任启动 | TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://docs.azure.cn/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
| 虚拟机应已启用受信任启动 | 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://docs.azure.cn/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 请查看理解政策效果。