Azure 网络服务的 Azure Policy 内置定义
此页是 Azure 网络服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 网络服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应用程序网关应为区域可复原 | 应用程序网关可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的应用程序网关被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的应用程序网关被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| 预览版:配置 Azure 恢复服务保管库以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:防火墙应为区域可复原 | 防火墙可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的防火墙被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的防火墙被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:负载均衡器应为区域可复原 | 具有非基本 sku 的负载均衡器继承其前端中公共 IP 地址的复原能力。 当与“公共 IP 地址应为区域可复原”策略相结合时,此方法可确保必要的冗余来承受区域中断。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:NAT 网关应为区域对齐 | NAT 网关可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 NAT 网关被视为区域对齐。 此策略可确保 NAT 网关配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:公共 IP 地址应为区域可复原 | 可将公共 IP 地址配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中恰好只有一个条目的区域性公共 IP 地址被视为区域对齐。 相比之下,拥有 3 个或更多条目的区域性公共 IP 地址在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]:公共 IP 前缀应为可复原区域 | 公共 IP 前缀可配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中只有一个条目的公共 IP 前缀被视为区域对齐。 相比之下,拥有 3 个或更多条目的公共 IP 前缀在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:虚拟网络网关应为区域冗余 | 可将虚拟网络网关配置为区域冗余或不配置。 SKU 名称或层不以“AZ”结尾的虚拟网络网关不是区域冗余。 此策略标识缺少承受区域中断所需冗余的虚拟网络网关。 | Audit、Deny、Disabled | 1.0.0-preview |
| 必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 | Audit、Disabled | 1.0.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应使用 Azure WAF 部署 Azure 应用程序网关 | 要求使用 Azure WAF 来部署 Azure 应用程序网关资源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 应用程序网关应启用资源日志 | 为 Azure 应用程序网关(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 防火墙经典版规则应迁移到防火墙策略 | 从 Azure 防火墙经典版规则迁移到防火墙策略,以利用 Azure 防火墙管理器等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用 Azure 防火墙策略分析 | 启用策略分析可增强流量流经 Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
| Azure 防火墙策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的 Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
| 应将 Azure 防火墙部署为跨多个可用性区域 | 建议将 Azure 防火墙部署为跨越多个可用性区域以提高可用性。 这可确保 Azure 防火墙在发生区域故障时仍可用。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙标准版 - 经典版规则应启用威胁智能 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙标准版应升级到高级版,以获得新一代保护 | 如果要查找新一代保护(如 IDPS 和 TLS 检查),应考虑将 Azure 防火墙升级到高级版 SKU。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
| Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure 应用程序网关 WAF 启用机器人防护 | 此策略可确保在所有 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 策略中启用机器人防护 | Audit、Deny、Disabled | 1.0.0 |
| 为 Blob groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 blob_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为文件 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为队列 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 queue_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为表 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 table_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将应用服务应用配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为 Azure 自动化帐户配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过 Azure 专用链接来连接到 Azure 自动化帐户。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Cache for Redis 配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析到 Azure Cache for Redis。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 认知搜索服务配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 认知搜索服务。 有关详细信息,请访问:https://docs.azure.cn/search/service-create-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Databricks 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Databricks 工作区。 有关详细信息,请访问:https://docs.azure.cn/databricks/administration-guide/cloud-configurations/azure/private-link-standard#create-the-workspace-and-private-endpoints-in-the-azure-portal-ui。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将 Azure 文件同步配置为使用专用 DNS 区域 | 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略将为存储同步服务专用终结点的接口创建必要的 Azure 专用 DNS 区域和 A 记录。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Azure HDInsight 群集配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure HDInsight 群集。 有关详细信息,请访问:https://docs.azure.cn/hdinsight/hdinsight-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 密钥保管库配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://docs.azure.cn/key-vault/general/private-link-service。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将 Azure 机器学习工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置 Azure 媒体服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到媒体服务帐户。 有关详细信息,请访问:https://docs.azure.cn/media-services/latest/security-private-endpoint-concept。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure 媒体服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/media-services/latest/security-private-endpoint-concept。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Migrate 资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Migrate 项目。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Azure Monitor 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Monitor 专用链接范围。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Synapse 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Synapse 工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Azure 虚拟桌面主机池资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 虚拟桌面工作区资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将认知服务帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://docs.azure.cn/cognitive-services/cognitive-services-virtual-networks。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将容器注册表配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://docs.azure.cn/private-link/private-endpoint-dns 和 https://docs.azure.cn/container-registry/container-registry-private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将 CosmosDB 帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 | 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将磁盘访问资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://docs.azure.cn/virtual-machines/disks-enable-private-links-for-import-export-portal。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将事件中心命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 IoT 中心设备预配实例配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以便对 IoT 中心设备预配服务实例进行解析。 有关详细信息,请访问:https://docs.azure.cn/iot-dps/virtual-network-support。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 为连接到应用配置的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://docs.azure.cn/azure-app-configuration/concept-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为连接到 Azure 数据工厂的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 数据工厂建立专用连接,从而实现安全通信。 有关 Azure 数据工厂中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Azure AD 配置专用链接以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到你的虚拟网络,以解析到 Azure AD。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-link-overview。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将服务总线命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到服务总线命名空间。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
| 配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
| 部署 - 配置 Azure 事件网格域以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| 部署 - 配置 Azure 事件网格主题以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://docs.azure.cn/private-link/private-endpoint-dns。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| 部署 - 将 Azure IoT 中心配置为使用专用 DNS 区域 | Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 IoT 中心专用终结点部署专用 DNS 区域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 部署 - 为连接到 Azure SignalR 服务的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到要解析为 Azure SignalR 服务资源的虚拟网络。 有关详细信息,请访问:https://docs.azure.cn/azure-signalr/howto-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 有关 Batch 中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.azure.cn/batch/private-connectivity。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
| 使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 2.0.1 |
| 创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络观察程序流日志应启用流量分析 | 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 | Audit、Disabled | 1.0.1 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| 子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://docs.azure.cn/virtual-network/ip-services/default-outbound-access | Audit、Deny、Disabled | 1.0.0 |
| 应使用 Azure 防火墙保护虚拟中心 | 将 Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.azure.cn/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 | Audit、Deny、Disabled | 1.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
| Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。