Azure Policy 内置策略定义
此页是 Azure Policy 内置策略定义的索引。
每个内置链接(指向 Azure 门户中的策略定义)的名称。 使用“源”列中的链接查看 Azure Policy GitHub 存储库上的源。 这些内置项按元数据中的 category 属性进行分组。 若要转到特定类别,请使用 Ctrl-F 来使用浏览器的搜索功能。
API 管理
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| API 管理 API 应仅使用加密协议 | 为了确保传输中数据的安全性,API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议,例如 HTTP 或 WS。 | 审核、已禁用、拒绝 | 2.0.2 |
| API 管理对 API 后端的调用应进行身份验证 | 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。 | 审核、已禁用、拒绝 | 1.0.1 |
| API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 要提升 API 安全性,API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证。 | 审核、已禁用、拒绝 | 1.0.2 |
| 不应启用 API 管理直接管理终结点 | Azure API 管理中的直接管理 REST API 会绕过 Azure 资源管理器基于角色的访问控制、授权和限制机制,因此会增加服务的漏洞。 | 审核、已禁用、拒绝 | 1.0.2 |
| API 管理最低 API 版本应设置为 2019-12-01 或更高版本 | 若要阻止服务机密与只读用户共享,应将最低 API 版本设置为 2019-12-01 或更高版本。 | Audit、Deny、Disabled | 1.0.1 |
| API 管理机密命名值应存储在 Azure Key Vault 中 | 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 要提高 API 管理和机密的安全性,请从 Azure Key Vault 引用机密命名值。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。 | 审核、已禁用、拒绝 | 1.0.2 |
| API 管理服务应使用支持虚拟网络的 SKU | 有了 API 管理支持的 SKU,将服务部署到虚拟网络中就可以解锁高级 API 管理网络和安全功能,从而更全面地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/api-management/api-management-using-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| API 管理应禁用对服务配置终结点的公用网络访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | AuditIfNotExists、Disabled | 1.0.1 |
| API 管理应禁用用户名和密码身份验证 | 为了更好地保护开发人员门户,应禁用 API 管理中的用户名和密码身份验证。 通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | Audit、Disabled | 1.0.1 |
| API 管理订阅的范围不应为所有 API | API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致过多的数据泄露。 | 审核、已禁用、拒绝 | 1.1.0 |
| Azure API 管理平台版本应为 stv2 | Azure API 管理 stv1 计算平台版本将于 2024 年 8 月 31 日起停用,这些实例应迁移到 stv2 计算平台以获得持续支持。 有关详细信息,请访问 https://docs.azure.cn/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit、Deny、Disabled | 1.0.0 |
| 配置 API 管理服务以禁用对 API 管理公共服务配置终结点的访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | DeployIfNotExists、Disabled | 1.1.0 |
| 修改 API 管理以禁用用户名和密码身份验证 | 若要更好地保护开发人员门户的用户帐户及其凭据,请通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | 修改 | 1.1.0 |
应用程序配置
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应用配置应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 应用程序配置应使用客户管理的密钥 | 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 | Audit、Deny、Disabled | 1.1.0 |
| 应用配置应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 应用程序配置应使用异地复制 | 使用异地复制功能在当前配置存储区的其他位置创建副本,以提高复原能力和可用性。 此外,使用多区域副本可以更好地分配负载、降低延迟、防止数据中心中断,并隔离全球分布的工作负载。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-geo-replication。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/zh-cn/azure-app-configuration/concept-private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用程序配置存储应禁用本地身份验证方法 | 禁用本地身份验证方法可确保应用程序配置存储需要专用于身份验证的 Microsoft Entra 标识,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/howto-disable-access-key-authentication。 | Audit、Deny、Disabled | 1.0.1 |
| 配置应用程序配置存储以禁用本地身份验证方法 | 禁用本地身份验证方法,使应用程序配置存储需要专门针对身份验证的 Microsoft Entra 标识。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/howto-disable-access-key-authentication。 | 修改,已禁用 | 1.0.1 |
| 将应用配置配置为禁用公用网络访问 | 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | 修改,已禁用 | 1.0.0 |
| 为连接到应用配置的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为应用配置配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
应用服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 应用服务应用槽应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://docs.azure.cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应用服务应用槽应已关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只应通过 HTTPS 访问应用服务应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 应用服务应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Java 的应用服务应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Python 的应用服务应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.azure.cn/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.0.0 |
| 应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应用服务应用应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://docs.azure.cn/app-service/configure-vnet-integration-routing#container-image-pull。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | Audit、Deny、Disabled | 4.1.0 |
| 应用服务应用应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 3.0.0 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| 使用 Java 的应用服务应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 3.2.0 |
| 使用 Python 的应用服务应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
| 不应通过公共 Internet 访问应用服务环境应用 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | Audit、Deny、Disabled | 3.0.0 |
| 应使用最强的 TLS 密码套件配置应用服务环境 | 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
| 应使用最新版本预配应用服务环境 | 仅允许预配应用服务环境版本 2 或版本 3。 早期版本的应用服务环境需要手动管理 Azure 资源且缩放限制更严格。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.azure.cn/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
| 应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 | Audit、Deny、Disabled | 2.0.1 |
| 配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用槽以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将应用服务应用配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint#dns。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置函数应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置函数应用以关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.0.1 |
| 函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽应已关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 函数应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽应将 Azure 文件共享用于其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 1.0.0 |
| 函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Java 的函数应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Python 的函数应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://docs.azure.cn/storage/files/storage-files-introduction。 | 审核、已禁用、拒绝 | 1.0.0 |
| 函数应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 3.0.0 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用 Azure 文件共享作为其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://docs.azure.cn/storage/files/storage-files-introduction。 | Audit、Disabled | 3.0.0 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| 使用 Java 的函数应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用 Python 的函数应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
自动化
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动化帐户应具有托管标识 | 将托管标识用作通过 Runbook 向 Azure 资源进行身份验证的推荐方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 | Audit、Disabled | 1.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 自动化帐户应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.azure.cn/automation/how-to/private-link-security。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 自动化帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/automation/automation-secure-asset-encryption。 | Audit、Deny、Disabled | 1.0.0 |
| 将 Azure 自动化帐户配置为禁用公用网络访问 | 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.azure.cn/event-grid/configure-private-endpoints。 | 修改,已禁用 | 1.0.0 |
| 为 Azure 自动化帐户配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过 Azure 专用链接来连接到 Azure 自动化帐户。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 Azure 自动化帐户上配置专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.azure.cn/automation/how-to/private-link-security。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用自动化帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.azure.cn/automation/how-to/private-link-security | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Active Directory 域服务托管域应使用仅限 TLS 1.2 模式 | 为托管域使用仅限 TLS 1.2 模式。 默认情况下,Azure AD 域服务允许使用 NTLM v1 和 TLS v1 等密码。 某些旧版应用程序可能需要这些密码,但这些密码视为弱密码,如果不需要,可以将其禁用。 如果启用仅限 TLS 1.2 模式,那么任何发出请求但未使用 TLS 1.2 的客户端都将失败。 更多信息请访问 https://docs.azure.cn/active-directory-domain-services/secure-your-domain。 | Audit、Deny、Disabled | 1.1.0 |
Azure AI 服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | Audit、Deny、Disabled | 1.1.0 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
| Azure AI 服务资源应使用 Azure 专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://docs.azure.cn/private-link/private-link-overview | Audit、Disabled | 1.0.0 |
| 配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://docs.azure.cn/ai-services/authentication | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure AI 服务资源中的诊断日志 | 为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
Azure 数据资源管理器
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应禁用 Azure 数据资源管理器上的所有数据库管理员 | 禁用所有数据库管理员角色以限制授予高特权/管理用户角色。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据资源管理器群集应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据资源管理器群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-explorer/security-network-private-endpoint。 | Audit、Disabled | 1.0.0 |
| Azure 数据资源管理器静态加密应使用客户管理的密钥 | 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据资源管理器应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/app-service/networking/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure 数据资源管理器群集 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据资源管理器可降低数据泄露风险。 有关详细信息,请参阅 [ServiceSpecificAKA.ms]。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 数据资源管理器配置为禁用公用网络访问 | “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure 数据资源管理器。 此配置禁用所有 Azure 数据资源管理器群集的公用网络访问。 | 修改,已禁用 | 1.0.0 |
| 应为 Azure 数据资源管理器启用磁盘加密 | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 Azure 数据资源管理器启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 2.0.0 |
| 应在 Azure 数据资源管理器上禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据资源管理器,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure 数据资源管理器启用虚拟网络注入 | 通过虚拟网络注入保护网络边界,借助该虚拟网络注入,可以强制实施网络安全组规则,在本地连接并使用服务终结点保护数据连接源。 | Audit、Deny、Disabled | 1.0.0 |
Azure Databricks
备份
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应在 AKS 群集中安装 Azure 备份扩展 | 确保在 AKS 群集中保护安装备份扩展以利用 Azure 备份。 适用于 AKS 的 Azure 备份是适用于 AKS 群集的安全云本机数据保护解决方案 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应为 AKS 群集启用 Azure 备份 | 通过启用 Azure 备份确保 AKS 群集的保护。 适用于 AKS 的 Azure 备份是适用于 AKS 群集的安全云本机数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应为存储帐户中的 Blob 启用 Azure 备份 | 通过启用 Azure 备份来确保对存储帐户的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应为托管磁盘启用 Azure 备份 | 通过启用 Azure 备份来确保托管磁盘的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:Microsoft Azure 恢复服务保管库应禁用公用网络访问 | 禁用公用网络访问可确保恢复服务保管库不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制恢复服务保管库的公开。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/backup/encryption-at-rest-with-cmk。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 | Audit、Disabled | 2.0.0-preview |
| [预览版]:配置 Azure 恢复服务保管库以禁用公用网络访问 | 禁用对恢复服务保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 | 修改,已禁用 | 1.0.0-preview |
| [预览]:将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 | 对包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://docs.azure.cn/backup/disk-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:将没有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 | 对不包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://docs.azure.cn/backup/disk-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://docs.azure.cn/backup/blob-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://docs.azure.cn/backup/blob-backup-overview | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:配置恢复服务保管库以使用专用终结点进行备份 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:禁用 Azure 恢复服务保管库的跨订阅还原 | 禁用或永久禁用恢复服务保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://docs.azure.cn/backup/backup-azure-arm-restore-vms。 | 修改,已禁用 | 1.1.0-preview |
| [预览版]:禁用备份保管库的跨订阅还原 | 禁用或永久禁用备份保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://docs.azure.cn/backup/backup-vault-overview#move-a-backup-vault-across-azure-subscriptionsresource-groups。 | 修改,已禁用 | 1.1.0-preview |
| [预览版]:备份保管库必须启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://docs.azure.cn/backup/backup-azure-immutable-vault-concept?tabs=recovery-services-vault。 | Audit、Disabled | 1.0.1-preview |
| [预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://docs.azure.cn/backup/backup-azure-immutable-vault-concept?tabs=recovery-services-vault。 | Audit、Disabled | 1.0.1-preview |
| [预览]:在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 | 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 强制在具有给定标记的所有 AKS 群集上安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:在没有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 | 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 在没有特定标记值的所有 AKS 群集上强制安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-4---preview-configure-backup-on-vms-with-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-4---preview-configure-backup-on-vms-with-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-3---preview-configure-backup-on-vms-without-a-given-tag-to-a-new-recovery-services-vault-with-a-default-policy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://docs.azure.cn/backup/backup-azure-auto-enable-backup#policy-1---configure-backup-on-vms-without-a-given-tag-to-an-existing-recovery-services-vault-in-the-same-location。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 | 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 | deployIfNotExists | 1.0.2 |
Batch
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Batch 帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Batch 池应启用磁盘加密 | 启用 Azure Batch 磁盘加密可确保始终在 Azure Batch 计算节点上对数据进行静态加密。 有关 Batch 中的磁盘加密的详细信息,请访问 https://docs.azure.cn/batch/disk-encryption。 | 审核、已禁用、拒绝 | 1.0.0 |
| Batch 帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Batch 帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/batch/auth。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Batch 帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Batch 帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/batch/auth。 | 修改,已禁用 | 1.0.0 |
| 将批处理帐户配置为禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 | 修改,已禁用 | 1.0.0 |
| 为 Batch 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应针对 Batch 帐户配置指标警报规则 | 审核是否已针对 Batch 帐户配置指标警报规则,以启用所需指标 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Batch 帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应对批处理帐户禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
缓存
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Cache for Redis 应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis 不应使用访问密钥进行身份验证 | 不使用访问密钥等本地身份验证方法而是使用 Microsoft Entra ID(建议)等更安全的替代方法可以提高 Azure Cache for Redis 的安全性。 有关详细信息,请访问 https://docs.azure.cn/azure-cache-for-redis/cache-azure-active-directory-for-authentication | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 Azure Cache for Redis 配置为禁用非 SSL 端口 | 启用与 Azure Cache for Redis 的仅 SSL 连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 将 Azure Cache for Redis 配置为禁用公用网络访问 | 禁用对 Azure Cache for Redis 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这有助于降低缓存的数据泄露风险。 | 修改,已禁用 | 1.0.0 |
| 将 Azure Cache for Redis 配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析到 Azure Cache for Redis。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Azure Cache for Redis 配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/azure-cache-for-redis/cache-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
认知服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 | 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | Audit、Deny、Disabled | 2.2.0 |
| 认知服务帐户应使用托管标识 | 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 | Audit、Deny、Disabled | 1.0.0 |
| 认知服务帐户应使用客户自有存储 | 使用客户拥有的存储来控制认知服务中静态存储的数据。 | Audit、Deny、Disabled | 2.0.0 |
| 配置认知服务帐户以禁用本地身份验证方法 | 禁用本地身份验证方法,使认知服务帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.azure.cn/cognitive-services/authentication。 | 修改,已禁用 | 1.0.0 |
| 将认知服务帐户配置为禁用公用网络访问 | 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/private-link/。 | 禁用、修改 | 3.0.0 |
| 将认知服务帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://docs.azure.cn/cognitive-services/cognitive-services-virtual-networks。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为认知服务帐户配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://docs.azure.cn/private-link/。 | DeployIfNotExists、Disabled | 3.0.0 |
计算
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允许的虚拟机大小 SKU | 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 | 拒绝 | 1.0.1 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://docs.azure.cn/site-recovery/。 | auditIfNotExists | 1.0.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复 | 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://docs.azure.cn/site-recovery/。 | DeployIfNotExists、Disabled | 2.1.0 |
| 将磁盘访问资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置磁盘访问资源 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将托管磁盘配置为禁用公用网络访问 | 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | 修改,已禁用 | 2.0.0 |
| 为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 | 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 | deployIfNotExists | 1.1.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption#double-encryption-at-rest。 | Audit、Deny、Disabled | 1.0.0 |
| 托管磁盘应禁用公用网络访问 | 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | Audit、Disabled | 2.0.0 |
| 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption。 | Audit、Deny、Disabled | 2.0.0 |
| Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应当仅安装已批准的 VM 扩展 | 此策略约束未获批准的虚拟机扩展。 | Audit、Deny、Disabled | 1.0.0 |
| 应使用客户管理的密钥来加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/virtual-machines/disk-encryption。 | Audit、Deny、Disabled | 3.0.0 |
| 要求自动在虚拟机规模集上执行 OS 映像修补 | 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 | deny | 1.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://docs.azure.cn/virtual-machines/disks-enable-host-based-encryption-portal。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
容器实例
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 容器实例容器组应部署到虚拟网络 | 容器与 Azure 虚拟网络之间进行安全通信。 指定虚拟网络时,虚拟网络中的资源可以彼此安全且私密地进行通信。 | 审核、已禁用、拒绝 | 2.0.0 |
| Azure 容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审核、已禁用、拒绝 | 1.0.0 |
| 为容器组配置诊断设置以传输到 Log Analytics 工作区 | 为容器实例部署诊断设置,以便在创建或更新缺少此诊断设置的容器实例时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
容器注册表
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置容器注册表以禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.1 |
| 将容器注册表配置为禁用公用网络访问 | 禁用对容器注册表的公用网络访问,确保不可通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 请访问 https://docs.azure.cn/container-registry/container-registry-access-selected-networks 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | 修改,已禁用 | 1.0.0 |
| 配置容器注册表以禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | 修改,已禁用 | 1.0.0 |
| 将容器注册表配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://docs.azure.cn/private-link/private-endpoint-dns 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为容器注册表配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到高级容器注册表资源可以降低数据泄露的风险。 请访问 https://docs.azure.cn/event-grid/configure-private-endpoints 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/container-registry/tutorial-customer-managed-keys。 | Audit、Deny、Disabled | 1.1.2 |
| 容器注册表应禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应禁用导出功能 | 禁用导出功能可确保注册表中的数据仅通过数据平面 (docker pull) 访问,从而提高安全性。 无法通过“acr import”或“acr transfer”将数据移出注册表。 若要禁用导出功能,必须禁用公用网络访问。 有关详细信息,请访问:https://docs.azure.cn/container-registry/data-loss-prevention。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.1 |
| 容器注册表应禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-authentication。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应包含支持专用链接的 SKU | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Microsoft Azure 主干网络进行的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-private-link。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://docs.azure.cn/container-registry/container-registry-private-link 和 https://docs.azure.cn/container-registry/container-registry-access-selected-networks。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应阻止创建缓存规则 | 禁止对 Azure 容器注册表创建缓存规则,以防止通过缓存拉取来进行拉取。 有关详细信息,请访问:https://docs.azure.cn/container-registry/tutorial-artifact-cache。 | Audit、Deny、Disabled | 1.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Microsoft Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/container-registry/container-registry-private-link。 | Audit、Disabled | 1.0.1 |
| 应禁用通过公用网络访问容器注册表 | 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 请访问 https://docs.azure.cn/container-registry/container-registry-access-selected-networks 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | Audit、Deny、Disabled | 1.0.0 |
Cosmos DB
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Cosmos DB 帐户不应允许来自所有 Azure 数据中心的流量 | 禁止 IP 防火墙规则“0.0.0.0”,它允许来自任何 Azure 数据中心的所有流量。 有关详细信息,请访问 https://docs.azure.cn/cosmos-db/how-to-configure-firewall | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户不应超过自上次重新生成帐户密钥以来允许的最大天数。 | 在指定的时间内重新生成密钥,以使数据受到更多保护。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/cosmos-db/how-to-setup-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Cosmos DB 允许的位置 | 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 | [parameters('policyEffect')] | 1.1.0 |
| 应禁用基于 Azure Cosmos DB 密钥的元数据写权限 | 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 | append | 1.0.0 |
| Azure Cosmos DB 应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制 Azure Cosmos DB 吞吐量 | 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 配置 Cosmos DB 数据库帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Cosmos DB 数据库帐户专门需要用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改,已禁用 | 1.1.0 |
| 将 CosmosDB 帐户配置为禁用公用网络访问 | 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改,已禁用 | 1.0.1 |
| 将 CosmosDB 帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 2.0.0 |
| 为 CosmosDB 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit、Deny、Disabled | 1.1.0 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
Data Box
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Data Box 作业应为设备上静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 | 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 | Audit、Deny、Disabled | 1.0.0 |
数据工厂
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/data-factory/enable-customer-managed-key。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 数据工厂集成运行时应对核心数有限制 | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure 数据工厂链接服务资源类型应在允许列表中 | 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 数据工厂链接服务应使用 Key Vault 来存储机密 | 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
| 为连接到 Azure 数据工厂的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 数据工厂建立专用连接,从而实现安全通信。 有关 Azure 数据工厂中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为数据工厂配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
| 应禁用对 Azure 数据工厂的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| 应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 | Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 | Audit、Deny、Disabled | 2.3.0 |
桌面虚拟化
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 虚拟桌面主机池应禁用公用网络访问 | 禁用公用网络访问可确保对 Azure 虚拟桌面服务的访问不向公共 Internet 公开,从而提高安全性并保护数据安全。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 虚拟桌面主机池应只禁用会话主机上的公用网络访问 | 禁用 Azure 虚拟桌面主机池会话主机的公用网络访问,但允许最终用户的公共访问时,可以通过限制对 Internet 的公开来提高安全性。 若要了解详细信息,请参阅:[https: | Audit、Deny、Disabled | 1.0.0 |
| Azure 虚拟桌面服务应使用专用链接 | 将 Azure 专用链接与 Azure 虚拟桌面资源配合使用时,可以提高安全性并保护数据安全。 | Audit、Disabled | 1.0.0 |
| Azure 虚拟桌面工作区应禁用公用网络访问 | 禁用 Azure 虚拟桌面工作区资源的公用网络访问后,会阻止通过公共 Internet 访问源。 仅允许专用网络访问时,可提高安全性并保护数据安全。 | Audit、Deny、Disabled | 1.0.0 |
| 将 Azure 虚拟桌面主机池资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 虚拟桌面主机池以禁用公用网络访问 | 禁用会话主机和最终用户对 Azure 虚拟桌面主机池资源的公用网络访问,使资源无法通过公共 Internet 访问。 这样可以提升安全性并保护数据安全。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure 虚拟桌面主机池,使其只禁用会话主机的公用网络访问 | 禁用 Azure 虚拟桌面主机池会话主机的公用网络访问,但允许最终用户进行公共访问。 这样的话,用户还是可以访问 AVD 服务,同时确保会话主机只能通过专用路由访问。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure 虚拟桌面主机池和专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 虚拟桌面资源,可以提高安全性并保护数据安全。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 虚拟桌面工作区资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 虚拟桌面工作区以禁用公用网络访问 | 禁用 Azure 虚拟桌面工作区资源的公用网络访问,从而阻止通过公共 Internet 访问源。 这样可以提升安全性并保护数据安全。 | 修改,已禁用 | 1.0.0 |
事件网格
事件中心
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| 应针对事件中心实例定义授权规则 | 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件中心命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Event Hub 命名空间仅将 Microsoft Entra ID 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/authenticate-shared-access-signature。 | Audit、Deny、Disabled | 1.0.1 |
| 配置 Azure 事件中心命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure Event Hub 命名空间仅将 Microsoft Entra ID 标识作为身份验证方法。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/authenticate-shared-access-signature。 | 修改,已禁用 | 1.0.1 |
| 将事件中心命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为事件中心命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 事件中心命名空间应禁用公用网络访问 | Azure 事件中心应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/event-hubs/private-link-service | Audit、Deny、Disabled | 1.0.0 |
| 事件中心命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| 事件中心命名空间应使用客户管理的密钥进行加密 | Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | Audit、Disabled | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
常规
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 | deny | 1.0.0 |
| 允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | deny | 1.0.0 |
| 允许的资源类型 | 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 | deny | 1.0.0 |
| 审核资源位置是否匹配资源组位置 | 审核资源位置是否与其资源组位置匹配。 | 审核 | 2.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.0 |
| 不允许 M365 资源 | 阻止创建 M365 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许 MCPP 资源 | 阻止创建 MCPP 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和根据使用情况计费的 Azure 资源等。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许的资源类型 | 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 | Audit、Deny、Disabled | 2.0.0 |
HDInsight
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将 Azure HDInsight 群集注入到虚拟网络中 | 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/hdinsight/disk-encryption。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight 群集应使用主机加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 Azure HDInsight 群集配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure HDInsight 群集。 有关详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Azure HDInsight 群集配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
物联网
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure IoT 中心应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥对 IoT 中心内的数据进行静态加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 在创建 IoT 中心期间必须配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://docs.azure.cn//iot-hub/iot-hub-customer-managed-keys。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 | 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 | Audit、Deny、Disabled | 1.0.0-preview |
| 将 IoT 中心设备预配实例配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以便对 IoT 中心设备预配服务实例进行解析。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 IoT 中心设备预配服务实例配置为禁用公用网络访问 | 对 IoT 中心设备预配实例禁用公用网络访问,以防止通过公共 Internet 对其进行访问。 这可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | 修改,已禁用 | 1.0.0 |
| 为 IoT 中心设备预配服务实例配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 将 Azure IoT 中心配置为使用专用 DNS 区域 | Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 IoT 中心专用终结点部署专用 DNS 区域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 部署 - 为 Azure IoT 中心配置专用终结点 | 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT 中心部署专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| IoT 中心设备预配服务实例应禁用公用网络访问 | 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | Audit、Deny、Disabled | 1.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | Audit、Disabled | 1.0.0 |
| 修改 - 将 Azure IoT 中心配置为禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 | 修改,已禁用 | 1.0.0 |
| 应为 IoT 中心启用专用终结点 | 专用终结点连接通过启用到 IoT 中心的专用连接来强制实施安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | Audit、Disabled | 1.0.0 |
| 应禁用对 Azure IoT 中心进行公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
密钥保管库
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:证书应由指定的非集成证书颁发机构之一颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure 密钥保管库应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.azure.cn/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure Key Vault 应使用 RBAC 权限模型 | 跨 Key Vault 启用 RBAC 权限模型。 了解详细信息:https://docs.azure.cn/key-vault/general/rbac-migration | Audit、Deny、Disabled | 1.0.1 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | [parameters('audit_effect')] | 1.2.1 |
| 证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应由指定的非集成证书颁发机构颁发 | 通过指定一个可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://docs.azure.cn/key-vault/general/azure-policy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 将 Azure 密钥保管库配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为 Azure 密钥保管库配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.azure.cn/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
| 部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.1 |
| 将 Key Vault 的诊断设置部署到事件中心 | 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 | DeployIfNotExists、Disabled | 3.0.1 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织或 Azure 内的任何人都无法在软删除保持期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.0.0 |
| 密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有轮换策略,确保在创建后的指定天数内安排其轮换。 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | Audit、Disabled | 1.0.0 |
| 密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
| 使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
| 使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]: [映像完整性] Kubernetes 群集应仅使用由表示法签名的映像 | 使用由表示法签名的映像来确保映像来自受信任的源,不会受到恶意修改。 | Audit、Disabled | 1.1.0-preview |
| [预览]: 无法编辑单个节点 | 无法编辑单个节点。 用户不应编辑单个节点。 请编辑节点池。 修改单个节点可能会导致设置不一致、操作挑战和潜在的安全风险。 | Audit、Deny、Disabled | 1.3.0-preview |
| [预览版]:在 Azure Kubernetes 服务上部署映像完整性 | 部署映像完整性和策略加载项 Azure Kubernetes 群集。 | DeployIfNotExists、Disabled | 1.0.5-preview |
| [预览]:Kubernetes 群集容器映像必须包含 preStop 挂钩 | 要求容器映像包含 preStop 挂钩,以在 Pod 关闭期间正常终止进程。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]:Kubernetes 群集容器映像不应包含最新的映像标记 | 要求容器映像不使用 Kubernetes 中的最新标记,这是一种最佳做法,通过使用明确和经过版本控制的容器映像确保可重现性,防止意外更新,并简化调试和回退。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]: Kubernetes 群集容器应仅在存在映像拉取机密时拉取映像 | 限制容器的映像拉取以强制 ImagePullSecrets 存在,从而确保对 Kubernetes 群集中的映像进行安全的授权访问 | Audit、Deny、Disabled | 1.2.0-preview |
| [预览版]:Kubernetes 群集服务应使用唯一的选择器 | 确保命名空间中的服务具有唯一的选择器。 唯一的服务选择器可确保命名空间中的每个服务都根据特定条件唯一标识。 此策略通过 Gatekeeper 将入口资源同步到 OPA。 在应用之前,请验证不会超过 Gatekeeper Pod 的内存容量。 参数适用于特定命名空间,但它会跨所有命名空间同步该类型的所有资源。 对于 Kubernetes 服务 (AKS),此策略目前处于预览状态。 | Audit、Deny、Disabled | 1.2.0-preview |
| [预览版]:Kubernetes 群集应实现准确的 Pod 中断预算 | 防止出现故障的 Pod 中断预算,确保操作 Pod 的数量最少。 有关详细信息,请参阅官方 Kubernetes 文档。 此策略依赖于 Gatekeeper 数据复制并将其范围内的所有入口资源同步到 OPA 中。 应用此策略之前,请确保同步的入口资源不会过多占用你的内存容量。 尽管参数可评估特定的命名空间,但跨命名空间的所有此类资源都将同步。注意:对于 Kubernetes 服务 (AKS),此策略目前处于预览状态。 | Audit、Deny、Disabled | 1.2.0-preview |
| [预览版]:Kubernetes 群集应限制创建给定资源类型 | 给定的 Kubernetes 资源类型不应部署在特定命名空间中。 | Audit、Deny、Disabled | 2.3.0-preview |
| [预览]: 必须设置反相关性规则 | 此策略可确保将 Pod 调度到群集内的不同节点上。 通过强制实施反相关性规则,即使其中一个节点不可用,也可维持可用性。 Pod 将继续在其他节点上运行,从而提高复原能力。 | Audit、Deny、Disabled | 1.2.0-preview |
| [预览]:将 K8s 容器变种为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux 容器的所有功能 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 K8s Init 容器变种为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux init 容器的所有功能 | 突变,已禁用 | 1.1.0-preview |
| [预览]: 无 AKS 特定标签 | 阻止客户应用特定于 AKS 的标签。 AKS 使用带有 kubernetes.azure.com 前缀的标签来表示 AKS 拥有的组件。 客户不应使用这些标签。 |
Audit、Deny、Disabled | 1.2.0-preview |
| [预览]:通过将 runAsNotRoot 设置为 true 来防止容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.0.0-preview |
| [预览]:通过将 runAsNotRoot 设置为 true 来防止 init 容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.0.0-preview |
| [预览]: 保留的系统池污点 | 将 CriticalAddonsOnly 排斥限制为仅系统池。 AKS 使用 CriticalAddonsOnly 污点使客户 Pod 远离系统池。 它可确保 AKS 组件和客户 Pod 之间的明确分离,并防止客户 pod 在不容忍 CriticalAddonsOnly 污点的情况下被驱逐。 | Audit、Deny、Disabled | 1.2.0-preview |
| [预览]:将 CriticalAddonsOnly 排斥限制为仅系统池。 | 为避免从用户池中逐出用户应用,并保持用户与系统池之间的关注点分离,“CriticalAddonsOnly”排斥不应应用于用户池。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Kubernetes 群集容器 CPU 限制设置为默认值(如果不存在)。 | 设置容器 CPU 限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Kubernetes 群集容器内存限制设置为默认值(如果不存在)。 | 设置容器内存限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:将 Kubernetes 群集容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为容器设置安全计算模式配置文件类型,以防止用户空间对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 Kubernetes 群集 init 容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为 init 容器设置安全计算模式配置文件类型,以防止用户空间中对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.1.0-preview |
| [预览]:将 podDisruptionBudget 资源的 maxUnavailable pod 设置为 1 | 将最大不可用 Pod 值设置为 1 可确保应用程序或服务在中断期间可用 | 突变,已禁用 | 1.2.0-preview |
| [预览]:如果未设置,请将 Init 容器中 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可以防止容器写入根文件系统,从而提高安全性。 这仅适用于 Linux 容器。 | 突变,已禁用 | 1.2.0-preview |
| [预览]:如果未设置,请将 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可防止容器写入根文件系统,从而提高安全性 | 突变,已禁用 | 1.2.0-preview |
| Azure Kubernetes 群集应禁用 SSH | 禁用 SSH 可以保护群集并减少攻击面。 要了解详细信息,请访问:https://docs.azure.cn/aks/manage-ssh-node-access?tabs=node-shell#disable-ssh-overview | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 群集应启用容器存储接口 (CSI) | 容器存储接口 (CSI) 是有关在 Azure Kubernetes 服务上的容器化工作负载中公开任意块和文件存储系统的一套标准。 若要了解详细信息,请访问以下链接:https://docs.azure.cn/aks/csi-storage-drivers | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 群集应启用密钥管理服务 (KMS) | 使用密钥管理服务 (KMS) 在 etcd 中加密静态机密数据,以实现 Kubernetes 群集安全性。 有关详细信息,请访问:https://docs.azure.cn/aks/use-kms-etcd-encryption。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 群集应使用 Azure CNI | Azure CNI 是一些 Azure Kubernetes 服务功能的先决条件,包括 Azure 网络策略、Windows 节点池和虚拟节点加载项。 了解详细信息:https://docs.azure.cn/aks/configure-azure-cni | Audit、Disabled | 1.0.1 |
| Azure Kubernetes 服务群集应禁用命令调用 | 禁用命令调用可避免绕过受限网络访问或 Kubernetes 基于角色的访问控制,从而增强安全性 | Audit、Disabled | 1.0.1 |
| Azure Kubernetes 服务群集应启用群集自动升级 | AKS 群集自动升级可以确保群集是最新版本,并且不会错过来自 AKS 和上游 Kubernetes 的最新功能或补丁。 有关详细信息,请访问:https://docs.azure.cn/aks/auto-upgrade-cluster。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 服务群集应启用映像清理器 | 映像清理器可自动识别和移除易受攻击、未使用的映像,从而降低过期映像的风险,并减少清理映像所需的时间。 有关详细信息,请访问:https://docs.azure.cn/aks/image-cleaner。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 服务群集应启用 Microsoft Entra ID 集成 | AKS 托管的 Microsoft Entra ID 集成可以通过基于用户标识或目录组成员身份配置 Kubernetes 基于角色的访问控制 (Kubernetes RBAC) 来管理对群集的访问。 有关详细信息,请访问:https://docs.azure.cn/aks/managed-azure-ad。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes 服务群集应启用节点 os 自动升级 | AKS 节点 OS 自动升级控制节点级 OS 安全更新。 有关详细信息,请访问:https://docs.azure.cn/aks/auto-upgrade-node-image。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 服务群集应启用工作负载标识 | 工作负载标识允许为每个 Kubernetes Pod 分配唯一标识,并将其与 Azure AD 保护的资源(例如 Azure 密钥保管库)相关联,实现从 Pod 内部对这些资源的安全访问。 有关详细信息,请访问:https://docs.azure.cn/aks/workload-identity-deploy-cluster。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes 服务群集应启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 在 https://docs.azure.cn/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中详细了解 Microsoft Defender for Containers | Audit、Disabled | 2.0.1 |
| Azure Kubernetes 服务群集应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Kubernetes 服务群集仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/aks/managed-aad。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Kubernetes 服务群集应使用托管标识 | 使用托管标识包装服务主体、简化群集管理,并避免托管服务主体所需的复杂性。 了解详细信息:https://docs.azure.cn/aks/use-managed-identity | Audit、Disabled | 1.0.1 |
| 应启用 Azure Kubernetes 服务专用群集 | 为 Azure Kubernetes 服务群集启用专用群集功能,确保 API 服务器与节点池之间的网络流量仅存在于专用网络上。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 | 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 | 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 配置 Azure Kubernetes 服务群集以启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.Defender 时,会将代理部署到群集以收集安全事件数据。 详细了解 Microsoft Defender for Containers:https://docs.azure.cn/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists、Disabled | 4.3.0 |
| 使用所需的管理员组访问权限配置已集成 Microsoft Entra ID 的 Azure Kubernetes 服务群集 | 确保通过集中管理对已集成 Microsoft Entra ID 的 AKS 群集的管理员访问来提高群集安全性。 | DeployIfNotExists、Disabled | 2.1.0 |
| 在 Azure Kubernetes 群集上配置节点 OS 自动升级 | 使用节点 OS 自动升级控制 Azure Kubernetes 服务 (AKS) 群集的节点级 OS 安全更新。 有关详细信息,请访问 https://docs.azure.cn/aks/auto-upgrade-node-image。 | DeployIfNotExists、Disabled | 1.0.1 |
| 部署 - 为 Azure Kubernetes 服务配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Kubernetes 服务部署诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将 Azure Policy 加载项部署到 Azure Kubernetes 服务群集 | 使用 Azure Policy 加载项管理和报告 Azure Kubernetes 服务 (AKS) 群集的符合性状态。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | DeployIfNotExists、Disabled | 4.1.0 |
| 在 Azure Kubernetes 服务上部署映像清理器 | 在 Azure Kubernetes 群集上部署映像清理器。 有关详细信息,请访问 https://docs.azure.cn/aks/image-cleaner | DeployIfNotExists、Disabled | 1.0.4 |
| 部署计划内维护,为 Azure Kubernetes 服务 (AKS) 群集安排和控制升级 | 通过使用计划内维护,可以计划每周维护时段来执行更新并最大限度地减少工作负载影响。 安排后,升级将仅在所选时段内进行。 了解详细信息:https://docs.azure.cn/aks/planned-maintenance | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 在 Azure Kubernetes 服务群集上禁用命令调用 | 禁用命令调用可以通过拒绝对群集的 invoke-command 访问来增强安全性 | DeployIfNotExists、Disabled | 1.2.0 |
| 确保群集容器已配置就绪情况或运行情况探测 | 此策略强制所有 Pod 配置就绪情况和/或运行情况探测。 探测类型可以是 tcpSocket、httpGet 和 exec 的任何一种。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 3.3.0 |
| Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 | 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集容器不应使用禁止的 sysctl 接口 | 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes 群集容器只应使用允许的 ProcMountType | Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集容器应仅使用允许的拉取策略 | 限制容器的拉取策略,以强制容器仅在部署上使用允许的映像 | Audit、Deny、Disabled | 3.2.0 |
| Kubernetes 群集容器只应使用允许的 seccomp 配置文件 | Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 | Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集 Pod 和容器只应使用允许的 SELinux 选项 | Pod 和容器只应使用 Kubernetes 群集中允许的 SELinux 选项。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集 Pod 只应使用允许的卷类型 | Pod 只能使用 Kubernetes 群集中允许的卷类型。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 | 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集 Pod 应使用指定的标签 | 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集服务只应使用允许的外部 IP | 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes 群集不应使用裸 Pod | 阻止使用裸 Pod。 如果节点发生故障,将不会重新计划裸 Pod。 Pod 应由 Deployment、Replicset、Daemonset 或 Jobs 进行管理 | Audit、Deny、Disabled | 2.3.0 |
| Kubernetes 群集 Windows 容器不应过度使用 CPU 和内存 | Windows 容器资源请求应小于或等于资源限制,或者不指定以避免过度提交。 如果过度预配了 Windows 内存,则会在磁盘中处理页面(这会降低性能),而不会因内存不足而终止容器 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes 群集 Windows 容器不应按 ContainerAdministrator 运行 | 防止使用 ContainerAdministrator 作为用户来执行 Windows Pod 或容器的容器进程。 此建议旨在提高 Windows 节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/。 | Audit、Deny、Disabled | 1.2.0 |
| Kubernetes 群集 Windows 容器应仅使用已批准的用户和域用户组运行 | 控制 Windows Pod 和容器可用于在 Kubernetes 群集中运行的用户。 此建议是 Windows 节点上 Pod 安全策略的一部分,旨在提高 Kubernetes 环境的安全性。 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集应禁用自动装载 API 凭据 | 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes 群集应确保仅在需要时使用 cluster-admin 角色 | “cluster-admin”角色提供了对环境的广泛权力,只应在需要的位置和时间使用。 | Audit、Disabled | 1.1.0 |
| Kubernetes 群集应尽量减少通配符在角色和群集角色中的使用 | 使用通配符“*”可能存在安全风险,因为它授予特定角色可能不需要的广泛权限。 如果角色拥有太多权限,则可能会被攻击者或遭到入侵的用户滥用以获取对群集中资源的未经授权的访问。 | Audit、Disabled | 1.1.0 |
| Kubernetes 群集不得允许容器特权提升 | 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes 群集不应允许终结点编辑 ClusterRole/system:aggregate-to-edit 的权限 | 由于“CVE-2021-25740:终结点和 EndpointSlice 权限允许跨命名空间转发 https://github.com/kubernetes/kubernetes/issues/103675”问题,ClusterRole/system:aggregate-to-edit 不应允许终结点编辑权限。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Disabled | 3.2.0 |
| Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 | 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes 群集不应使用特定的安全功能 | 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes 群集不应使用默认命名空间 | 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes 群集应使用容器存储接口 (CSI) 驱动程序 StorageClass | 容器存储接口 (CSI) 是有关在 Kubernetes 上的容器化工作负载中公开任意块和文件存储系统的一套标准。 自 AKS 版本 1.21 起,应弃用树内预配器 StorageClass。 若要了解详细信息,请访问以下链接:https://docs.azure.cn/aks/csi-storage-drivers | Audit、Deny、Disabled | 2.3.0 |
| Kubernetes 群集应使用内部负载均衡器 | 使用内部负载均衡可以做到只有 Kubernetes 群集所在的同一虚拟网络中运行的应用程序能够访问 Kubernetes 服务。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 资源应具有所需的注释 | 确保对给定的 Kubernetes 资源类型附加所需的注释,以改进 Kubernetes 资源的资源管理。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://docs.azure.cn/governance/policy/concepts/policy-for-kubernetes。 | Audit、Deny、Disabled | 3.2.0 |
| 应启用 Azure Kubernetes 服务中的资源日志 | 在调查安全事件时,Azure Kubernetes 服务的资源日志可帮助重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 | 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
逻辑应用
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
机器学习
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 机器学习计算实例应处于空闲关闭状态。 | 使用空闲关闭计划可降低成本,方法是关闭在预先确定活动期后处于空闲状态的计算。 | Audit、Deny、Disabled | 1.0.0 |
| 应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://docs.azure.cn/machine-learning/concept-vulnerability-management?view=azureml-api-2#compute-instance。 | [parameters('effects')] | 1.0.3 |
| Azure 机器学习计算应位于虚拟网络中 | Azure 虚拟网络增强了 Azure 机器学习计算群集和实例的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | Audit、Disabled | 1.0.1 |
| Azure 机器学习计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy?view=azureml-api-2。 | Audit、Deny、Disabled | 2.1.0 |
| 应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-create-workspace-template#deploy-an-encrypted-workspace。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 机器学习工作区应禁用公用网络访问 | 禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 机器学习工作区应使用用户分配的托管标识 | 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Azure 机器学习计算以禁用本地身份验证方法 | 禁用本地身份验证方法,使机器学习计算需要专用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy。 | 修改,已禁用 | 2.1.0 |
| 将 Azure 机器学习工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Azure 机器学习工作区配置为禁用公用网络访问 | 禁用对 Azure 机器学习工作区的公用网络访问,确保无法通过公共 Internet 访问工作区。 这有助于防范工作区的数据泄露风险。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改,已禁用 | 1.0.3 |
| 为 Azure 机器学习工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 机器学习工作区的诊断设置配置为 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Azure 机器学习工作区时,请为 Azure 机器学习工作区部署诊断设置,以便将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用 Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
托管应用程序
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 托管应用程序的应用程序定义应使用客户提供的存储帐户 | 如果这是法规或合规性要求,请使用自己的存储帐户来控制应用程序定义数据。 可以选择将托管应用程序定义存储在创建过程中提供的存储帐户中,以便你能够对其位置和访问权限进行完全管理,以符合法规或合规性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
媒体服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 媒体服务帐户应禁用公用网络访问 | 禁用公用网络访问可确保媒体服务资源不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制媒体服务资源的公开。 了解详细信息:使用 Azure 媒体服务的 Azure 专用终结点。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务帐户应使用支持专用链接的 API | 媒体服务帐户应使用支持专用链接的 API 来创建。 | Audit、Deny、Disabled | 1.0.0 |
| 允许访问旧版 v2 API 的 Azure 媒体服务帐户应被阻止 | 媒体服务旧版 v2 API 允许无法使用 Azure Policy 进行管理的请求。 使用 2020-05-01 API 或更高版本创建的媒体服务资源会阻止访问旧版 v2 API。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务内容密钥策略应使用令牌身份验证 | 内容密钥策略定义访问内容密钥必须满足的条件。 令牌限制确保内容密钥只能由具有来自身份验证服务(例如 Microsoft Entra ID)的有效令牌的用户访问。 | Audit、Deny、Disabled | 1.0.1 |
| 使用 HTTPS 输入的 Azure 媒体服务作业应该将输入 URI 限制在允许的 URI 模式内 | 将媒体服务作业使用的 HTTPS 输入限制为已知的终结点。 可以通过设置允许的作业输入模式的空列表,完全禁用 HTTPS 终结点的输入。 如果作业输入指定“baseUri”,则模式将与此值匹配;如果未设置“baseUri”,则模式与“files”属性匹配。 | 拒绝、已禁用 | 1.0.1 |
| Azure 媒体服务应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理媒体服务帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/mediaservicescmkdocs。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 详细了解专用链接:使用 Azure 媒体服务的 Azure 专用终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 媒体服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到媒体服务帐户。 了解详细信息:使用 Azure 媒体服务的 Azure 专用终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure 媒体服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 详细了解专用链接:使用 Azure 媒体服务的 Azure 专用终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
Migrate
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将 Azure Migrate 资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Migrate 项目。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
监视
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| Application Insights 组件应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Application Insights 组件应阻止并非基于 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 启用专用链接的 Application Insights 组件应当使用适用于探查器和调试程序的“自带存储”帐户。 | 若要支持专用链接和客户管理的密钥策略,请创建你自己的适用于探查器和调试程序的存储帐户。 | 拒绝、审核、禁用 | 1.0.0 |
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| Azure 应用程序网关应启用资源日志 | 为 Azure 应用程序网关(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| 针对 Log Analytics 工作区的 Azure 日志搜索警报应使用客户管理的密钥 | 通过使用存储帐户来存储客户为所查询的 Log Analytics 工作区提供的查询文本,确保 Azure 日志搜索警报实现客户管理的密钥。 有关详细信息,请访问 https://docs.azure.cn/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 此选项在区域支持时会默认启用,详见 /azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 利用 Azure Monitor 中客户管理的密钥,可以更好地控制对数据的访问,详见 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 | 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到一个通过客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此符合性要求,详见 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor 专用链接范围应阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor 专用链接范围应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 2.0.0 |
| 必须部署 Azure Monitor 解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 订阅应有用于活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure Application Insights 组件,以禁用公用网络对日志引入和查询的访问权限 | 禁用组件对日志引入和查询的公用网络访问权限,以提高安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置 Azure Log Analytics 工作区,以禁用公用网络对日志引入和查询的访问权限 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置 Azure Monitor 专用链接范围,以阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure Monitor 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Monitor 专用链接范围。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure Monitor 专用链接范围 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.5.1 |
| 将 Linux 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
| 配置 Linux 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.8.0 |
| 将 Linux 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
| 配置 Linux 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.8.0 |
| 将 Windows 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.5.1 |
| 将 Windows 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
| 配置 Windows 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 将 Windows 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
| 配置 Windows 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 3.2.0 |
| 部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 | DeployIfNotExists、Disabled | 3.2.0 |
| 部署 - 配置 Log Analytics 扩展,以在 Windows 虚拟机规模集上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机规模集部署 Log Analytics 扩展。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
| 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 5.1.0 |
| 使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | DeployIfNotExists、Disabled | 3.2.0 |
| 为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | deployIfNotExists | 5.1.0 |
| 使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 3.2.0 |
| 使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机规模集中启用的 Dependency Agent | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机规模集部署 Dependency Agent。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 1.3.0 |
| 使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机中启用的 Dependency Agen | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 1.3.0 |
| 将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Data Lake Analytics 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.1.0 |
| 将事件中心的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将逻辑应用的诊断设置部署到事件中心 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将逻辑应用的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 2.0.1 |
| 将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将服务总线的诊断设置部署到事件中心 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将服务总线的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.1.0 |
| 将流分析的诊断设置部署到事件中心 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将流分析的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Linux 虚拟机规模集部署 Log Analytics 扩展。 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux 虚拟机规模集部署 Log Analytics 扩展。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 弃用通知:Log Analytics 代理在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
| 为 Linux VM 部署 Log Analytics 扩展 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux VM 部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1 |
| Log Analytics 工作区应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Log Analytics 工作区应阻止基于非 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的详细信息,请参阅 /azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 不应在已启用 Azure Arc 的 Windows 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Windows 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 应在虚拟机规模集上安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
| 虚拟机应连接到指定的工作区 | 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 1.1.0 |
| 虚拟机应安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
网络
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:容器注册表应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 | Audit、Disabled | 1.0.0-preview |
| 必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://docs.azure.cn/vpn-gateway/vpn-gateway-about-compliance-crypto#what-are-the-algorithms-and-key-strengths-supported-in-the-custom-policy | Audit、Disabled | 1.0.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的选定子网访问应用的情况。 | AuditIfNotExists、Disabled | 2.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应使用 Azure WAF 部署 Azure 应用程序网关 | 要求使用 Azure WAF 来部署 Azure 应用程序网关资源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙经典版规则应迁移到防火墙策略 | 从 Azure 防火墙经典版规则迁移到防火墙策略,以利用 Azure 防火墙管理器等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用 Azure 防火墙策略分析 | 启用策略分析可增强流量流经 Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
| Azure 防火墙策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的 Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
| 应将 Azure 防火墙部署为跨多个可用性区域 | 建议将 Azure 防火墙部署为跨越多个可用性区域以提高可用性。 这可确保 Azure 防火墙在发生区域故障时仍可用。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙标准版 - 经典版规则应启用威胁智能 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙标准版应升级到高级版,以获得新一代保护 | 如果要查找新一代保护(如 IDPS 和 TLS 检查),应考虑将 Azure 防火墙升级到高级版 SKU。 | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
| Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure 应用程序网关 WAF 启用机器人防护 | 此策略可确保在所有 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 策略中启用机器人防护 | Audit、Deny、Disabled | 1.0.0 |
| 将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 | 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
| 配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
| Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
| 使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
| 使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
| 创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
| 事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
| Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络观察程序流日志应启用流量分析 | 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 | Audit、Disabled | 1.0.1 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.0.0 |
| SQL Server 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://docs.azure.cn/virtual-network/ip-services/default-outbound-access | Audit、Deny、Disabled | 1.0.0 |
| 应使用 Azure 防火墙保护虚拟中心 | 将 Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.azure.cn/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 | Audit、Deny、Disabled | 1.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
门户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 共享仪表板不应包含具有内联内容的 Markdown 磁贴 | 禁止创建 Markdown 磁贴中包含内联内容的共享仪表板,并强制将内容存储为在线托管的 Markdown 文件。 如果在 Markdown 磁贴中使用内联内容,你无法管理该内容的加密。 通过配置自己的存储,可以实现加密、双重加密甚至创建自己的密钥。 如果启用此策略,会将用户限制为使用 2020-09-01-preview 或更高版本的共享仪表板 REST API。 | Audit、Deny、Disabled | 1.0.0 |
PostgreSQL
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为 PostgreSQL 灵活服务器预配 Microsoft Entra 管理员 | 对 PostgreSQL 灵活服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用 PgAudit 审核 | 此策略有助于审核环境中任何未启用使用 pgaudit 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 灵活服务器。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 PostgreSQL 灵活服务器的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少此诊断设置的任何 PostgreSQL 灵活服务器时,将 PostgreSQL 灵活服务器的诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器记录断开连接。 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL 支持使用安全套接字层 (SSL) 将 Azure Database for PostgreSQL 灵活服务器连接到客户端应用程序。 通过在数据库灵活服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Azure Database for PostgreSQL 灵活服务器启用异地冗余备份 | 通过 Azure Database for PostgreSQL 灵活服务器,可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录连接” | 此策略可帮助审核环境中的 PostgreSQL 灵活服务器,而无需启用 log_connections 设置。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器应运行 TLS 版本 1.2 或更高版本 | 此策略有助于审核环境中运行低于 1.2 的 TLS 版本的任何 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 灵活服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 PostgreSQL 灵活服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.0 |
复原能力
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:API 管理服务应为区域冗余 | API 管理服务可以配置为区域冗余或非区域冗余。 如果 API 管理服务的 SKU 名称为“高级”,并且其区域数组中至少有两个条目,则 API 管理服务为区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 API 管理服务。 | Audit、Deny、Disabled | 1.0.1-preview |
| [预览]:应用服务计划应为区域冗余 | 应用服务计划可配置为区域冗余或非区域冗余。 当应用服务计划的“zoneRedundant”属性设置为“false”时,不会为其配置区域冗余。 此策略标识并强制实施应用服务计划的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应用程序网关应为区域可复原 | 应用程序网关可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的应用程序网关被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的应用程序网关被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure AI 搜索服务应为区域冗余 | Azure AI 搜索服务可以配置为区域冗余或非区域冗余。 将两个或更多个副本添加到搜索服务时,将使用可用性区域。 每个副本将放置在该地区内不同的可用性区域中。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: Azure Cache for Redis 应为区域冗余 | Azure Cache for Redis 可以配置为区域冗余或非区域冗余。 区域数组中条目少于 2 个的 Azure Cache for Redis 实例不是区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 Azure Cache for Redis 实例。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure 数据资源管理器群集应为区域冗余 | Azure 数据资源管理器群集可以配置为区域冗余或非区域冗余。 如果 Azure 数据资源管理器群集在其区域数组中至少有两个条目,则被视为区域冗余。 此策略有助于确保 Azure 数据资源管理器群集是区域冗余。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Database for MySQL 灵活服务器应为区域可复原 | Azure Database for MySQL 灵活服务器可以配置为区域对齐、区域冗余或两者都不是。 选择同一区域中的备用服务器以实现高可用性的 MySQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 MySQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Database for PostgreSQL 灵活服务器应为区域可复原 | Azure Database for PostgreSQL 灵活服务器可以配置为区域对齐、区域冗余或两者都不是。 选择同一区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure HDInsight 应为区域对齐 | Azure HDInsight 可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 Azure HDInsight 被视为区域对齐。 此策略可确保 Azure HDInsight 群集配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Kubernetes 服务托管群集应为区域冗余 | 可将 Azure Kubernetes 服务托管群集配置为区域冗余或非区域冗余。 该策略会检查群集中的节点池,并确保为所有节点池设置了可用性区域。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:备份和 Site Recovery 应为区域冗余 | 备份和 Site Recovery 可以配置为区域冗余或非区域冗余。 如果“standardTierStorageRedundancy”属性设置为“ZoneRedundant”,则备份和 Site Recovery 是区域冗余。 强制实施此策略有助于确保适当配置备份和 Site Recovery 来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:备份保管库应为区域冗余 | 备份保管库可配置为区域冗余或非区域冗余。 如果备份保管库的存储设置类型设置为“ZoneRedundant”,则备份保管库为区域冗余,并且被视为可复原。 异地冗余或本地冗余备份保管库不被视为可复原。 强制实施此策略有助于确保为备份保管库配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:容器应用应为区域冗余 | 容器应用可以配置为区域冗余或非区域冗余。 如果容器应用托管环境的“ZoneRedundant”属性设置为 true,则该容器应用为区域冗余。 此策略会标识缺少承受区域中断所需冗余的容器应用。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:容器实例应为区域对齐 | 容器实例可以配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:容器注册表应为区域冗余 | 容器注册表可以配置为区域冗余或非区域冗余。 如果容器注册表的 zoneRedundancy 属性设置为“Disabled”,则表示注册表不是区域冗余的。 强制实施此策略有助于确保适当配置容器注册表来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: Cosmos 数据库帐户应为区域冗余 | 可以将 Cosmos 数据库帐户配置为区域冗余或非区域冗余。 如果“enableMultipleWriteLocations”设置为“true”,则所有位置都必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 如果“enableMultipleWriteLocations”设置为“false”,则主位置(将“failoverPriority”设置为 0)必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 强制执行此策略可确保为区域冗余正确配置 Cosmos 数据库帐户。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:事件中心应为区域冗余 | 可将事件中心配置为区域冗余或非区域冗余。 如果事件中心的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:防火墙应为区域可复原 | 防火墙可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的防火墙被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的防火墙被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:负载均衡器应为区域可复原 | 具有非基本 sku 的负载均衡器继承其前端中公共 IP 地址的复原能力。 当与“公共 IP 地址应为区域可复原”策略相结合时,此方法可确保必要的冗余来承受区域中断。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:托管磁盘应具有区域复原能力 | 托管磁盘可配置为区域对齐、区域冗余或两者均不。 只有一个区域分配的托管磁盘是区域对齐的。 SKU 名称以 ZRS 结尾的托管磁盘是区域冗余的。 此策略有助于为托管磁盘标识和强制执行这些复原配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:NAT 网关应为区域对齐 | NAT 网关可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 NAT 网关被视为区域对齐。 此策略可确保 NAT 网关配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:公共 IP 地址应为区域可复原 | 可将公共 IP 地址配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中恰好只有一个条目的区域性公共 IP 地址被视为区域对齐。 相比之下,拥有 3 个或更多条目的区域性公共 IP 地址在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]:公共 IP 前缀应为可复原区域 | 公共 IP 前缀可配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中只有一个条目的公共 IP 前缀被视为区域对齐。 相比之下,拥有 3 个或更多条目的公共 IP 前缀在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: 服务总线应该是区域冗余的 | 服务总线可配置为区域冗余或非区域冗余。 当服务总线的“zoneRedundant”属性设置为“false”时,表示未配置该属性来实现区域冗余。 此策略标识并强制执行服务总线实例的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Service Fabric 群集应为区域冗余 | Service Fabric 群集可配置为区域冗余或非区域冗余。 nodeType 的 multipleAvailabilityZones 未设置为 true 的 Servicefabric 群集不是区域冗余的。 此策略会标识缺少承受区域中断所需冗余的 Servicefabric 群集。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 数据库应为区域冗余 | 可将 SQL 数据库配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的数据库未配置区域冗余。 此策略可帮助识别需要区域冗余配置的 SQL 数据库,以增强 Azure 中的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 弹性数据库池应为区域冗余 | SQL 弹性数据库池可配置为区域冗余或非区域冗余。 如果 SQL 弹性数据库池的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:SQL 托管实例应为区域冗余 | SQL 托管实例可配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的实例未配置区域冗余。 此策略可帮助识别需要区域冗余配置的 SQL 托管实例,以增强 Azure 中的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:存储帐户应为区域冗余 | 可以将存储帐户配置为区域冗余或非区域冗余。 如果存储帐户的 SKU 名称不以“ZRS”结尾,或者其类型为“存储”,则它不是区域冗余的。 此策略可确保存储帐户使用区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: 虚拟机规模集应为区域复原 | 虚拟机规模集可以配置为区域对齐、区域冗余或两者都不是。 在其区域数组中恰好有一个条目的虚拟机规模集将被视为区域对齐。 与之对比的是,如果虚拟机规模集在其区域数组中有 3 个或更多条目,且至少有 3 个容量,则它们将被识别为“区域冗余”。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: 虚拟机应为区域对齐 | 虚拟机可以配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:虚拟网络网关应为区域冗余 | 可将虚拟网络网关配置为区域冗余或不配置。 SKU 名称或层不以“AZ”结尾的虚拟网络网关不是区域冗余。 此策略标识缺少承受区域中断所需冗余的虚拟网络网关。 | Audit、Deny、Disabled | 1.0.0-preview |
搜索
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/search/search-security-rbac。 请注意,虽然禁用本地身份验证参数仍处于预览阶段,但此策略的拒绝效果可能会导致 Azure 认知搜索门户功能受限,因为门户的某些功能使用不支持此参数的 GA API。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用客户管理的密钥来加密静态数据 | 对 Azure 认知搜索使用客户管理的密钥启用静态加密,可对用于静态加密数据的密钥进行额外控制。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | Audit、Deny、Disabled | 1.0.0 |
| 将 Azure 认知搜索服务配置为禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://docs.azure.cn/search/search-security-rbac。 | 修改,已禁用 | 1.0.0 |
| 将 Azure 认知搜索服务配置为禁用公用网络访问 | 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | 修改,已禁用 | 1.0.0 |
| 将 Azure 认知搜索服务配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 认知搜索服务。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置具有专用终结点的 Azure 认知搜索服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
安全中心
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 | 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 5.0.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 | 配置受支持的 Linux 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [预览版]:配置支持的虚拟机以自动启用 vTPM | 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览版]:配置支持的 Windows 虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的 Windows 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [预览版]:配置支持的 Windows 虚拟机以自动启用安全启动 | 配置受支持的 Windows 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [预览版]:配置支持的 Windows 虚拟机以自动安装来宾证明扩展 | 配置受支持的 Windows 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [预览版]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 | 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览版]:配置使用共享映像库映像创建的 VMSS 以安装来宾证明扩展 | 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 在受支持的虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 在受支持的虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [预览版]:Linux 虚拟机应使用安全启动 | 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任启动和机密 Windows 虚拟机。 | Audit、Disabled | 4.0.0-preview |
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置已启用 Arc 的 SQL Server 以自动安装 Azure Monitor 代理 | 在启用 Windows Arc 的 SQL Server 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.3.0 |
| 配置已启用 Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL | 配置已启用 Windows Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL 代理。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置已启用 Arc 的 SQL Server 以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
| 配置已启用 Arc 的 SQL Server 以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.7.0 |
| 使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
| 使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL 用户定义的 DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL 用户定义的 DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
| 配置 SQL 虚拟机以自动安装 Azure Monitor 代理 | 在 Windows SQL 虚拟机上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 配置 SQL 虚拟机以自动安装 Microsoft Defender for SQL | 配置 Windows SQL 虚拟机以自动安装 Microsoft Defender for SQL 扩展。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.5.0 |
| 配置 SQL 虚拟机以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.7.0 |
| 配置 SQL 虚拟机以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.8.0 |
| 配置 Microsoft Defender for SQL Log Analytics 工作区 | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.4.0 |
| 创建和分配内置用户分配的托管标识 | 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.7.0 |
| 为 Microsoft Defender for Cloud 数据将“导出到事件中心”部署为受信任的服务 | 将“导出到事件中心”作为 Microsoft Defender for Cloud 数据受信任的服务启用。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 Microsoft Defender for Cloud 数据的“导出到事件中心” | 启用 Microsoft Defender for Cloud 数据的“导出到事件中心”。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.2.0 |
| 部署 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区” | 启用 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区”。 此策略会在分配的作用域上使用所设定的条件和目标工作区来部署“导出到 Log Analytics 工作区”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.1.0 |
| 为 Microsoft Defender for Cloud 警报部署工作流自动化 | 启用 Microsoft Defender for Cloud 警报的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 为 Microsoft Defender for Cloud 建议部署工作流自动化 | 启用 Microsoft Defender for Cloud 建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 为 Microsoft Defender for Cloud 合规性部署工作流自动化 | 启用 Microsoft Defender for Cloud 法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 在订阅上启用 Microsoft Defender for Cloud | 标识不受 Microsoft Defender for Cloud 监视的现有订阅,并使用 Defender for Cloud 的免费功能保护它们。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | deployIfNotExists | 1.0.1 |
| 允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
| 允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.azure.cn/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.azure.cn/security-center/security-center-endpoint-protection。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://docs.azure.cn/governance/policy/concepts/guest-configuration。 | AuditIfNotExists、Disabled | 1.0.3 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://docs.azure.cn/virtual-network/network-security-groups-overview | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 | 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 | Audit、Disabled | 1.0.2 |
| 应在云服务(外延支持)角色实例上安装 Log Analytics 代理 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://docs.azure.cn/virtual-network/network-security-groups-overview | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) | 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 | Audit、Disabled | 1.0.4 |
| 应选择安全中心标准定价层 | 标准定价层为网络和虚拟机启用威胁检测,在 Azure 安全中心提供威胁情报、异常检测和行为分析 | Audit、Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://docs.azure.cn/governance/policy/concepts/guest-configuration | AuditIfNotExists、Disabled | 1.0.1 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
服务总线
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| Azure 服务总线命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/service-bus-sas。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 服务总线命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/service-bus-sas。 | 修改,已禁用 | 1.0.1 |
| 将服务总线命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到服务总线命名空间。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为服务总线命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 服务总线命名空间应禁用公用网络访问 | Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/service-bus-messaging/private-link-service | Audit、Deny、Disabled | 1.1.0 |
| 服务总线命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| 服务总线高级命名空间应使用客户管理的密钥进行加密 | Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 | Audit、Disabled | 1.0.0 |
Service Fabric
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
SignalR
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure SignalR 服务应禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://docs.azure.cn/azure-signalr/howto-network-access-control 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.1.0 |
| Azure SignalR 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应已禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure SignalR 服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR 服务应使用支持专用链接的 SKU | Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务,从而使你的资源免遭公共数据泄露风险。 此策略将你限制为对 Azure SignalR 服务使用支持专用链接的 SKU。 请访问 https://docs.azure.cn/azure-signalr/howto-private-endpoints,详细了解专用链接。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 配置 Azure SignalR 服务以禁用本地身份验证 | 禁用本地身份验证方法,以便 Azure SignalR 服务仅需要 Azure Active Directory 标识进行身份验证。 | 修改,已禁用 | 1.0.0 |
| 将专用终结点配置到 Azure SignalR 服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 服务资源,可以降低数据泄露风险。 更多信息请访问 https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 为连接到 Azure SignalR 服务的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到要解析为 Azure SignalR 服务资源的虚拟网络。 有关详细信息,请访问:https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| 修改 Azure SignalR 服务资源以禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://docs.azure.cn/azure-signalr/howto-network-access-control 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.1.0 |
Site Recovery
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 预览版:配置 Azure 恢复服务保管库以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:在 Azure 恢复服务保管库上配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 有关专用链接的详细信息,请访问:https://docs.azure.cn/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:恢复服务保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 在以下位置详细了解 Azure Site Recovery 的专用链接:https://docs.azure.cn/site-recovery/hybrid-how-to-enable-replication-private-endpoints 和 https://docs.azure.cn/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | Audit、Disabled | 1.0.0-preview |
SQL
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure PostgreSQL 灵活服务器应启用“仅限 Microsoft Entra 身份验证” | 通过禁用本地身份验证方法并允许“仅限 Microsoft Entra 身份验证”,可确保 Azure PostgreSQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | Audit、Disabled | 1.0.0-preview |
| 应为 MySQL 服务器预配 Microsoft Entra 管理员 | 对 MySQL 服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.1.1 |
| 应为 PostgreSQL 服务器预配 Microsoft Entra 管理员 | 对 PostgreSQL 服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.1 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure MySQL 灵活服务器应启用仅 Microsoft Entra 身份验证 | 通过禁用本地身份验证方法并仅允许 Microsoft Entra 身份验证,可确保 Azure MySQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审核、已禁用、拒绝 | 2.0.0 |
| Azure SQL 数据库应启用仅 Microsoft Entra 身份验证 | 要求 Azure SQL 逻辑服务器使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的服务器。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL 数据库应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 逻辑服务器。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SQL 托管实例应启用仅 Microsoft Entra 身份验证 | 要求 Azure SQL 托管实例使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的 Azure SQL 托管实例。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL 托管实例应禁用公用网络访问 | 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 若要了解有关公共网络访问的详细信息,请访问 https://docs.azure.cn/azure-sql/managed-instance/public-endpoint-configure。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL 托管实例应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 托管实例。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://docs.azure.cn/azure-sql/database/authentication-azure-ad-only-authentication-create-server。 | Audit、Deny、Disabled | 1.2.0 |
| 将 Azure Defender 配置为在 SQL 托管实例上启用 | 在 Azure SQL 托管实例上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Azure Defender 配置为在 SQL 服务器上启用 | 在 Azure SQL 服务器上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists | 2.1.0 |
| 对 Log Analytics 工作区配置 Azure SQL 数据库服务器诊断设置 | 为 Azure SQL 数据库服务器启用审核日志,并在创建或更新缺少此审核的任何 SQL 服务器时,将日志流式传输到 Log Analytics 工作区 | DeployIfNotExists、Disabled | 1.0.2 |
| 将 Azure SQL Server 配置为禁用公用网络访问 | “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure SQL Server。 此配置会禁止通过公用网络访问 Azure SQL Server 下的所有数据库。 | 修改,已禁用 | 1.0.0 |
| 将 Azure SQL Server 配置为启用专用终结点连接 | 使用专用终结点连接,可以通过虚拟网络中的专用 IP 地址与 Azure SQL 数据库建立专用连接。 此配置可改善安全态势,并且支持 Azure 网络工具和方案。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 SQL 服务器配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将 SQL Server 配置为对 Log Analytics 工作区启用审核 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
| 部署 - 配置 SQL 数据库的诊断设置,以部署到 Log Analytics 工作区 | 为 SQL 数据库部署诊断设置,以便在创建或更新缺少此诊断设置的任何 SQL 数据库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 4.0.0 |
| 在 SQL 服务器上部署高级数据安全 | 此策略在 SQL 服务器上启用高级数据安全性。 这包括启用威胁检测和漏洞评估。 它自动在 SQL 服务器所在的同一区域和资源组中,创建一个带有“sqlva”前缀存储帐户用于存储扫描结果。 | DeployIfNotExists | 1.3.0 |
| 将 Azure SQL 数据库的诊断设置部署到事件中心 | 在创建或更新缺少 Azure SQL 数据库的诊断设置的 Azure SQL 数据库时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists | 1.2.0 |
| 部署 SQL DB 透明数据加密 | 在 SQL 数据库上启用透明数据加密 | DeployIfNotExists、Disabled | 2.2.0 |
| 应为 PostgreSQL 数据库服务器记录断开连接 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用“记录连接” | 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 数据库服务器启用“记录持续时间” | 此策略帮助审核环境中任何未启用 log_duration 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
| MariaDB 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MariaDB 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MariaDB 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MySQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MySQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for PostgreSQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for PostgreSQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.1.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与基于 IP 的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 3.1.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
| SQL 审核设置中应包含配置为捕获关键活动的操作组 | AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 托管实例的最低 TLS 版本应为 1.2 | 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 SQL 托管实例,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Disabled | 1.0.1 |
| SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.0 |
| SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.1 |
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure SQL 数据库的流量,同时确保流量停留在 Azure 边界内。 | AuditIfNotExists | 1.0.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
存储
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Blob groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 blob_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为文件 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为队列 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 queue_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为表 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 table_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 文件同步配置为使用专用 DNS 区域 | 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略将为存储同步服务专用终结点的接口创建必要的 Azure 专用 DNS 区域和 A 记录。 | DeployIfNotExists、Disabled | 1.1.0 |
| 为 Azure 文件同步配置专用终结点 | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Blob 服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为 Blob 服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何 Blob 服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为文件服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为文件服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何文件服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为队列服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为队列服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何队列服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 为存储帐户配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为存储帐户部署诊断设置,以便在创建或更新缺少此诊断设置的任何存储帐户时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为表服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为表服务部署诊断设置,以便在创建或更新缺少此诊断设置的表服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 在存储帐户上配置数据的安全传输 | 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 将存储帐户配置为使用专用链接连接 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
| 将存储帐户公共访问配置为不允许 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止意外的匿名访问导致数据泄露,Azure 建议禁止对存储帐户的公共访问,除非方案需要。 | 修改,已禁用 | 1.0.0 |
| 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| 修改 - 将 Azure 文件同步配置为禁用公用网络访问 | 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 修改 - 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 请注意,不会修改现有存储帐户来启用 Blob 存储版本控制。 只有新创建的存储帐户才会启用 Blob 存储版本控制 | 修改,已禁用 | 1.0.0 |
| 应禁用对 Azure 文件同步进行公用网络访问 | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | Audit、Deny、Disabled | 3.0.0 |
| 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应受到允许的 SKU 的限制 | 限制组织可以部署的存储帐户 SKU 集。 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户配置共享访问签名 (SAS) 策略 | 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 来委托对 Azure 存储帐户中的资源的访问权限。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://docs.azure.cn/private-link/private-link-overview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
流分析
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 流分析作业应使用客户管理的密钥来加密数据 | 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 流分析作业应连接到受信任的输入和输出 | 确保流分析作业不具有未在允许列表中定义的任意输入或输出连接。 这将检查流分析作业是否会通过连接到组织外部的任意接收器来外泄数据。 | 拒绝、已禁用、审核 | 1.1.0 |
| 流分析作业应使用托管标识对终结点进行身份验证 | 确保流分析作业仅使用托管标识身份验证连接到终结点。 | 拒绝、已禁用、审核 | 1.0.0 |
Synapse
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 Synapse 工作区上的审核 | 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse 工作区 SQL Server 应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure Synapse 工作区 SQL server,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Synapse 工作区应该只允许传送到已批准目标的出站数据流量 | 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Synapse 工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| 配置 Azure Synapse 工作区专用 SQL 最低 TLS 版本 | 对于新的 Synapse 工作区或现有的工作区,客户可以使用 API 提高或降低最低 TLS 版本。 因此,需要在工作区中使用较低客户端版本的用户可以连接,而具有安全要求的用户可以提高最低 TLS 版本。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.1.0 |
| 将 Azure Synapse 工作区配置为禁用公用网络访问 | 禁用对 Synapse 工作区的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.0.0 |
| 将 Azure Synapse 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Synapse 工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
| 为 Azure Synapse 工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Synapse 工作区配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Synapse 工作区配置为对 Log Analytics 工作区启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Synapse 工作区配置为仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它会阻止启用本地身份验证,并在创建资源后重新启用纯 Microsoft Entra 身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | 修改,已禁用 | 1.0.0 |
| 配置 Synapse 工作区在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | 修改,已禁用 | 1.2.0 |
| 应删除 Azure Synapse 工作区上的 IP 防火墙规则 | 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 | Audit、Disabled | 1.0.0 |
| 应启用 Azure Synapse 工作区上的托管工作区虚拟网络 | 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 托管专用终结点应仅连接到已批准的 Azure Active Directory 租户中的资源 | 仅允许连接到已批准的 Azure Active Directory (Azure AD) 租户中的资源,以保护 Synapse 工作区。 可以在策略分配过程中定义已批准的 Azure AD 租户。 | 审核、已禁用、拒绝 | 1.0.0 |
| Synapse 工作区审核设置应配置操作组来捕获关键活动 | 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse 工作区应该启用纯 Microsoft Entra 身份验证 | 要求 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 工作区应在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | Audit、Deny、Disabled | 1.2.0 |
| 对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 | 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
标记
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 将标记添加到资源 | 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 | modify | 1.0.0 |
| 向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/governance/policy/how-to/remediate-resources。 | modify | 1.0.0 |
| 在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | modify | 1.0.0 |
| 在资源中添加或替换标记 | 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 | modify | 1.0.0 |
| 在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/zh-cn/governance/policy/how-to/remediate-resources。 | modify | 1.0.0 |
| 追加资源组的标记及其值 | 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.0 |
| 将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.0 |
| 将标记及其值追加到资源 | 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.1 |
| 从资源组继承标记 | 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
| 从资源组继承标记(如果缺少此标记) | 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 从订阅继承标记 | 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
| 从订阅继承标记(如果缺少) | 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | deny | 1.0.0 |
| 需要资源上的标记及其值 | 强制执行所需的标记及其值。 不要应用到资源组。 | deny | 1.0.1 |
| 需要资源组上的标记 | 强制要求资源组中存在某个标记。 | deny | 1.0.0 |
| 需要资源上的标记 | 强制要求存在某个标记。 不要应用到资源组。 | deny | 1.0.1 |
受信任启动
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 磁盘和 OS 映像应支持 TrustedLaunch | TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://docs.azure.cn/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
| 虚拟机应已启用 TrustedLaunch | 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://docs.azure.cn/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。