Azure 虚拟网络的 Azure Policy 内置定义
此页是 Azure 虚拟网络的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:容器注册表应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 | Audit、Disabled | 1.0.0-preview |
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://docs.azure.cn/vpn-gateway/vpn-gateway-about-compliance-crypto#what-are-the-algorithms-and-key-strengths-supported-in-the-custom-policy | Audit、Disabled | 1.0.0 |
所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的选定子网访问应用的情况。 | AuditIfNotExists、Disabled | 2.0.1 |
审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
应使用 Azure WAF 部署 Azure 应用程序网关 | 要求使用 Azure WAF 来部署 Azure 应用程序网关资源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙经典版规则应迁移到防火墙策略 | 从 Azure 防火墙经典版规则迁移到防火墙策略,以利用 Azure 防火墙管理器等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
应启用 Azure 防火墙策略分析 | 启用策略分析可增强流量流经 Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
Azure 防火墙策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的 Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
应将 Azure 防火墙部署为跨多个可用性区域 | 建议将 Azure 防火墙部署为跨越多个可用性区域以提高可用性。 这可确保 Azure 防火墙在发生区域故障时仍可用。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙标准版 - 经典版规则应启用威胁智能 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙标准版应升级到高级版,以获得新一代保护 | 如果要查找新一代保护(如 IDPS 和 TLS 检查),应考虑将 Azure 防火墙升级到高级版 SKU。 | Audit、Deny、Disabled | 1.0.0 |
Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
应为 Azure 应用程序网关 WAF 启用机器人防护 | 此策略可确保在所有 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 策略中启用机器人防护 | Audit、Deny、Disabled | 1.0.0 |
将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 | 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 | deny | 1.0.0 |
网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
网络观察程序流日志应启用流量分析 | 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 | Audit、Disabled | 1.0.1 |
应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.0.0 |
SQL Server 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 | AuditIfNotExists、Disabled | 1.0.0 |
存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://docs.azure.cn/virtual-network/ip-services/default-outbound-access | Audit、Deny、Disabled | 1.0.0 |
应使用 Azure 防火墙保护虚拟中心 | 将 Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 |
虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.azure.cn/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 | Audit、Deny、Disabled | 1.0.0 |
应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
将标记添加到资源 | 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 | modify | 1.0.0 |
向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/governance/policy/how-to/remediate-resources。 | modify | 1.0.0 |
在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | modify | 1.0.0 |
在资源中添加或替换标记 | 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 | modify | 1.0.0 |
在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://docs.azure.cn/zh-cn/governance/policy/how-to/remediate-resources。 | modify | 1.0.0 |
追加资源组的标记及其值 | 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.0 |
将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.0 |
将标记及其值追加到资源 | 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://docs.azure.cn/governance/policy/concepts/effects#modify)。 | append | 1.0.1 |
从资源组继承标记 | 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
从资源组继承标记(如果缺少此标记) | 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
从订阅继承标记 | 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
从订阅继承标记(如果缺少) | 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | deny | 1.0.0 |
需要资源上的标记及其值 | 强制执行所需的标记及其值。 不要应用到资源组。 | deny | 1.0.1 |
需要资源组上的标记 | 强制要求资源组中存在某个标记。 | deny | 1.0.0 |
需要资源上的标记 | 强制要求存在某个标记。 不要应用到资源组。 | deny | 1.0.1 |
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 | deny | 1.0.0 |
允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | deny | 1.0.0 |
允许的资源类型 | 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 | deny | 1.0.0 |
审核资源位置是否匹配资源组位置 | 审核资源位置是否与其资源组位置匹配。 | 审核 | 2.0.0 |
审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.0 |
不允许 M365 资源 | 阻止创建 M365 资源。 | Audit、Deny、Disabled | 1.0.0 |
不允许 MCPP 资源 | 阻止创建 MCPP 资源。 | Audit、Deny、Disabled | 1.0.0 |
排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和根据使用情况计费的 Azure 资源等。 | Audit、Deny、Disabled | 1.0.0 |
不允许的资源类型 | 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 | Audit、Deny、Disabled | 2.0.0 |
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。