Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas incorporadas Azure Policy para Azure Storage. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Microsoft. Armazenamento
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Azure Backup deve estar ativado para Blobs em Contas de Armazenamento | Garanta a proteção das suas Contas de Armazenamento ativando o Azure Backup. O Azure Backup é uma solução segura e económica de proteção de dados para Azure. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Azure Backup deve estar ativado em Azure partilhas de ficheiros | Garanta a proteção das suas partilhas de ficheiros Azure ativando o Azure Backup. O Azure Backup é uma solução segura e económica de proteção de dados para Azure. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar backup para Azure Files Partilhas com uma dada etiqueta para um novo cofre de serviços de recuperação com uma nova política | Imponha backup para todos os Azure Files implementando um cofre de serviços de recuperação na mesma localização e grupo de recursos da conta de armazenamento. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Pode, opcionalmente, incluir o Azure Files em contas de armazenamento que contenham uma etiqueta específica para controlar o âmbito da atribuição. | AuditarSeNãoExistir, ImplementarSeNãoExistir, Desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar backup para Azure Files Partilhas com uma dada etiqueta para um cofre de serviços de recuperação existente no mesmo local | Imponha a cópia de segurança de todos os Azure Files fazendo backup para um cofre central de Serviços de Recuperação existente na mesma região da conta de armazenamento. O cofre pode estar na mesma assinatura ou em uma assinatura diferente. Isso é útil quando uma equipe central gerencia backups entre assinaturas. Pode opcionalmente incluir o Azure Files em contas de armazenamento com uma etiqueta específica para controlar o âmbito da atribuição da política. | AuditarSeNãoExistir, ImplementarSeNãoExistir, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar backup para Azure Files Partilhas sem uma dada etiqueta para um novo cofre de serviços de recuperação com uma nova política | Imponha backup para todos os Azure Files implementando um cofre de serviços de recuperação na mesma localização e grupo de recursos da conta de armazenamento. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Pode, opcionalmente, excluir o Azure Files em contas de armazenamento que contenham uma etiqueta específica para controlar o âmbito da atribuição. | AuditarSeNãoExistir, ImplementarSeNãoExistir, Desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar backup para Azure Files Partilhas sem uma dada etiqueta para um cofre de serviços de recuperação existente no mesmo local | Imponha a cópia de segurança de todos os Azure Files fazendo backup para um cofre central de Serviços de Recuperação existente na mesma região da conta de armazenamento. O cofre pode estar na mesma assinatura ou em uma assinatura diferente. Isso é útil quando uma equipe central gerencia backups entre assinaturas. Pode, opcionalmente, excluir o Azure Files em contas de armazenamento com uma etiqueta específica para controlar o âmbito da atribuição da política. | AuditarSeNãoExistir, ImplementarSeNãoExistir, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure o backup para blobs em contas de armazenamento com uma determinada tag para um cofre de backup existente na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure o backup de blob para todas as contas de armazenamento que não contêm uma determinada tag para um cofre de backup na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que não contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: As contas de armazenamento devem ser redundantes de zona | As Contas de Armazenamento podem ser configuradas para serem Redundantes de Zona ou não. Se o nome SKU de uma conta de armazenamento não terminar com 'ZRS' ou seu tipo for 'Armazenamento', ele não será redundante de zona. Essa política garante que suas contas de armazenamento usem a configuração redundante de zona ae. | Auditoria, Negar, Desativado | 1.0.0-preview |
| Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar Azure File Sync com endpoints privados | Um ponto de extremidade privado é implantado para o recurso do Serviço de Sincronização de Armazenamento indicado. Isso permite que você aborde seu recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados por si só não desativa o ponto de extremidade público. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar as definições de diagnóstico para Blob Services para Log Analytics workspace | Implementa as definições de diagnóstico dos Serviços de Blob para transmitir registos de recursos para um espaço de trabalho de Log Analytics quando qualquer Serviço de Blob que não tenha estas definições de diagnóstico for criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Configurar definições de diagnóstico para os Serviços de Ficheiros para Log Analytics espaço de trabalho | Implementa as definições de diagnóstico dos Serviços de Ficheiros para transmitir os registos de recursos para um espaço de trabalho do Log Analytics quando qualquer Serviço de Ficheiros que não tenha estas definições de diagnóstico for criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Configure as definições de diagnóstico para os Serviços de Fila para Log Analytics espaço de trabalho | Implementa as definições de diagnóstico dos Serviços de Fila para transmitir registos de recursos para um espaço de trabalho de Log Analytics quando qualquer Serviço de Fila que não tenha estas definições de diagnóstico for criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Configure as definições de diagnóstico para Contas de Armazenamento para Log Analytics espaço de trabalho | Implementa as definições de diagnóstico para contas de armazenamento para transmitir registos de recursos para um espaço de trabalho de Log Analytics quando qualquer conta de armazenamento que não tenha estas definições de diagnóstico for criada ou atualizada. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Configurar as definições de diagnóstico dos Serviços de Tabela para Log Analytics espaço de trabalho | Implementa as definições de diagnóstico dos Serviços de Tabela para transmitir registos de recursos para um espaço de trabalho do Log Analytics quando qualquer Serviço de Tabela que não tenha estas definições de diagnóstico for criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Configurar a transferência segura de dados em uma conta de armazenamento | A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Modificar, Desativado | 1.0.0 |
| Configurar a eliminação suave para blobs e contentores nas Contas de Armazenamento | Implementa a eliminação suave tanto para blobs como para contentores nas Contas de Armazenamento, se ainda não estiverem ativadas. Isto garante a proteção dos dados com um período de retenção personalizável. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a conta de armazenamento para usar uma conexão de link privado | Os endpoints privados ligam a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. Ao mapear endpoints privados para sua conta de armazenamento, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de armazenamento para desabilitar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso a partir de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logins que correspondam a regras de firewall baseada em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Modificar, Desativado | 1.0.1 |
| Configure Contas de Armazenamento para restringir o acesso à rede apenas por meio da configuração de desvio de ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Modificar, Desativado | 1.0.0 |
| Configurar o acesso público da sua conta de armazenamento para não ser permitido | O acesso público anónimo de leitura a containers e blobs no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar fugas de dados causadas por acessos anónimos indesejados, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário assim o exja. | Modificar, Desativado | 1.0.0 |
| Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. | Auditoria, Negar, Desativado | 1.0.0 |
| Criar Conta Regional de Armazenamento para Fluxos VNet em resourceGroupName RG | Cria uma Conta de Armazenamento regional no Âmbito atribuído e no grupo de recursos nwtarg-subscriptionID<> por defeito para fluxos VNet. | DeployIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para caches HPC (microsoft.storagecache/caches) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categoria para movimentadores de armazenamento (microsoft.storagemover/storagemovers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para Storage movers (microsoft.storagemover/storagemovers) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para movers de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro por grupo de categoria para Movimentadores de armazenamento (microsoft.storagemover/storagemovers) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| As contas HPC Cache devem usar a chave gerida pelo cliente para encriptação | Gerir encriptação no resto do Azure HPC Cache com chaves geridas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
| Modify - Configurar Azure File Sync para desativar o acesso à rede pública | Os endpoints públicos acessíveis à internet do Azure File Sync são desativados pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| Modificar - Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. Observe que as contas de armazenamento existentes não serão modificadas para habilitar o controle de versão de armazenamento de Blob. Somente contas de armazenamento recém-criadas terão o controle de versão de armazenamento de Blob habilitado | Modificar, Desativado | 1.0.0 |
| O acesso à rede pública deve estar desativado para Azure File Sync | A desativação do ponto de extremidade público permite restringir o acesso ao recurso do Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente inseguro em permitir solicitações para o ponto de extremidade público, no entanto, você pode desativá-lo para atender aos requisitos de política regulamentar, legal ou organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização de Armazenamento definindo incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria, Negar, Desativado | 1.0.0 |
| O armazenamento em fila deve usar a chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento em fila com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre encriptação Azure Storage em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do cofre de chaves Azure criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Auditoria, Negar, Desativado | 1.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para dados em repouso | Habilite a criptografia de infraestrutura para criptografia em repouso dos escopos de criptografia da conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As chaves de conta de armazenamento não devem ter expirado | Certifique-se de que as chaves da conta de armazenamento do usuário não tenham expirado quando a política de expiração de chaves for definida, para melhorar a segurança das chaves de conta tomando medidas quando as chaves expirarem. | Auditoria, Negar, Desativado | 3.0.0 |
| O acesso público da conta de armazenamento não deve ser permitido | O acesso público anónimo de leitura a containers e blobs no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar fugas de dados causadas por acessos anónimos indesejados, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário assim o exja. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.1 |
| As contas de armazenamento |
Alguns serviços Microsoft services que interagem com contas de armazenamento operam a partir de redes que não podem ter acesso através de regras de rede. Para ajudar este tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft Services contorne as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ser limitadas por SKUs permitidos | Restrinja o conjunto de SKUs de conta de armazenamento que sua organização pode implantar. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas contas de armazenamento para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem desativar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso a partir de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logins que correspondam a regras de firewall baseada em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter políticas de assinatura de acesso compartilhado (SAS) configuradas | Verifique se as contas de armazenamento têm a política de expiração de assinatura de acesso compartilhado (SAS) habilitada. Os utilizadores usam um SAS para delegar acesso a recursos na conta Azure Storage. E a política de expiração SAS recomenda um limite superior de expiração quando um usuário cria um token SAS. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter a versão TLS mínima especificada | Configure uma versão mínima do TLS para comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a versão mais recente, que atualmente é o TLS 1.2. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir a replicação de objetos entre locatários | Restrição de auditoria da replicação de objetos para sua conta de armazenamento. Por defeito, os utilizadores podem configurar a replicação de objetos com uma conta de armazenamento de origem num tenant do Azure AD e uma conta de destino num tenant diferente. É uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que é de propriedade do cliente. Ao definir o allowCrossTenantReplication como falso, a replicação de objetos só pode ser configurada se ambas as contas de origem e destino estiverem no mesmo tenant do Azure AD. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir o acesso à chave compartilhada | Requisito de auditoria do Azure Active Directory (Azure AD) para autorizar pedidos para a sua conta de armazenamento. Por defeito, os pedidos podem ser autorizados com credenciais do Azure Active Directory ou utilizando a chave de acesso à conta para autorização da Chave Partilhada. Destes dois tipos de autorização, o Azure AD oferece uma segurança superior e facilidade de utilização em relação ao Shared Key, sendo recomendado pela Microsoft. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas de armazenamento devem impedir o acesso de chave compartilhada (excluindo contas de armazenamento criadas pelo Databricks) | Requisito de auditoria do Azure Active Directory (Azure AD) para autorizar pedidos para a sua conta de armazenamento. Por defeito, os pedidos podem ser autorizados com credenciais do Azure Active Directory ou utilizando a chave de acesso à conta para autorização da Chave Partilhada. Destes dois tipos de autorização, o Azure AD oferece uma segurança superior e facilidade de utilização em relação ao Shared Key, sendo recomendado pela Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir ligações a partir de clientes específicos da internet ou on-premises, pode ser concedido acesso ao tráfego proveniente de redes virtuais específicas do Azure ou a intervalos públicos de endereços IP da internet | Auditoria, Negar, Desativado | 1.1.1 |
| As Contas de Armazenamento devem restringir o acesso à rede apenas através da configuração de bypass da ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual (excluindo contas de armazenamento criadas pelo Databricks) | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| As contas de armazenamento devem usar link privado (excluindo contas de armazenamento criadas pelo Databricks) | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 1.0.0 |
| Os tokens SAS de armazenamento devem respeitar a validade máxima de 7 dias | Esta política garante que os tokens SAS (Assinatura de Acesso Compartilhado) para contas de armazenamento sejam configurados com um período máximo de validade de 7 dias ou menos. Ele nega ou audita contas de armazenamento que permitem tempos de vida mais longos do token SAS ou não têm ações de expiração apropriadas configuradas. | Auditoria, Negar, Desativado | 1.0.0 |
| O armazenamento de tabela deve usar a chave gerenciada pelo cliente para criptografia | Proteja o armazenamento da sua mesa com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
Microsoft. StorageCache
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para caches HPC (microsoft.storagecache/caches) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| As contas HPC Cache devem usar a chave gerida pelo cliente para encriptação | Gerir encriptação no resto do Azure HPC Cache com chaves geridas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
Microsoft. StorageSync
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar Azure File Sync com endpoints privados | Um ponto de extremidade privado é implantado para o recurso do Serviço de Sincronização de Armazenamento indicado. Isso permite que você aborde seu recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados por si só não desativa o ponto de extremidade público. | DeployIfNotExists, desativado | 1.0.0 |
| Modify - Configurar Azure File Sync para desativar o acesso à rede pública | Os endpoints públicos acessíveis à internet do Azure File Sync são desativados pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| O acesso à rede pública deve estar desativado para Azure File Sync | A desativação do ponto de extremidade público permite restringir o acesso ao recurso do Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente inseguro em permitir solicitações para o ponto de extremidade público, no entanto, você pode desativá-lo para atender aos requisitos de política regulamentar, legal ou organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização de Armazenamento definindo incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria, Negar, Desativado | 1.0.0 |
Microsoft. ClassicStorage
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas de armazenamento devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas contas de armazenamento para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.