Azure 虚拟网络的 Azure Policy 内置定义

此页是 Azure 虚拟网络的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 虚拟网络

名称
(Azure 门户)
说明 效果 版本
(GitHub)
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://docs.azure.cn/vpn-gateway/vpn-gateway-about-compliance-crypto#what-are-the-algorithms-and-key-strengths-supported-in-the-custom-policy Audit、Disabled 1.0.0
应用服务应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的应用服务。 AuditIfNotExists、Disabled 1.0.0
Azure VPN 网关不应使用“基本”SKU 此策略可确保 VPN 网关不使用“基本”SKU。 Audit、Disabled 1.0.0
[预览]:容器注册表应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 Audit、Disabled 1.0.0-preview
Cosmos DB 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 Audit、Disabled 1.0.0
使用目标网络安全组来部署流日志资源 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 deployIfNotExists 1.0.0
创建虚拟网络时部署网络观察程序 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 DeployIfNotExists 1.0.0
事件中心应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 AuditIfNotExists、Disabled 1.0.0
应为每个网络安全组配置流日志 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.1.0
应为每个网络安全组启用流日志 审核流日志资源以验证是否启用了流日志状态。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.0.0
不应在网关子网中配置网络安全组 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 deny 1.0.0
Key Vault 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 Audit、Disabled 1.0.0
网络接口应禁用 IP 转发 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 deny 1.0.0
网络接口不应使用公共 IP 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 deny 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 AuditIfNotExists、Disabled 2.0.0
应阻止来自 Internet 的 RDP 访问 此策略审核任何允许来自 Internet 的 RDP 访问的网络安全规则 Audit、Disabled 2.0.0
服务总线应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的服务总线。 AuditIfNotExists、Disabled 1.0.0
SQL Server 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 AuditIfNotExists、Disabled 1.0.0
应阻止来自 Internet 的 SSH 访问 此策略审核任何允许来自 Internet 的 SSH 访问的网络安全规则 Audit、Disabled 2.0.0
存储帐户应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 Audit、Disabled 1.0.0
虚拟机应连接到已批准的虚拟网络 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 Audit、Deny、Disabled 1.0.0
虚拟网络应受 Azure DDoS 防护标准保护 使用 Azure DDoS 防护标准来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs Modify、Audit、Disabled 1.0.0
虚拟网络应使用指定的虚拟网络网关 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 AuditIfNotExists、Disabled 1.0.0

Tags

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将标记添加到资源组 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
将标记添加到资源 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 modify 1.0.0
向订阅添加标记 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
在资源组中添加或替换标记 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 modify 1.0.0
在资源中添加或替换标记 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 modify 1.0.0
在订阅上添加或替换标记 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
追加资源组的标记及其值 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 append 1.0.0
将标记及其值追加到资源组 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 append 1.0.0
将标记及其值追加到资源 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 append 1.0.1
从资源组继承标记 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从资源组继承标记(如果缺少此标记) 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
从订阅继承标记 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从订阅继承标记(如果缺少) 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
需要资源组上的标记及其值 强制要求资源组中存在所需的标记及其值。 deny 1.0.0
需要资源上的标记及其值 强制执行所需的标记及其值。 不要应用到资源组。 deny 1.0.1
需要资源组上的标记 强制要求资源组中存在某个标记。 deny 1.0.0
需要资源上的标记 强制要求存在某个标记。 不要应用到资源组。 deny 1.0.1

常规

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的位置 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 deny 1.0.0
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
允许的资源类型 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 deny 1.0.0
审核资源位置是否匹配资源组位置 审核资源位置是否与其资源组位置匹配。 审核 2.0.0
审核自定义 RBAC 规则的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.0
不应存在自定义订阅所有者角色 此策略确保不存在自定义订阅所有者角色。 Audit、Disabled 2.0.0
不允许的资源类型 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 Audit、Deny、Disabled 2.0.0

后续步骤