你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此页面是 Azure Virtual NetworkAzure Policy内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 虚拟网络
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center已确定某些子网不受下一代防火墙的保护。 通过使用Azure Firewall或受支持的下一代防火墙限制对子网的访问,防止潜在威胁 | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [预览版]:容器注册表应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 | Audit、Disabled | 1.0.0-preview |
| 必须将自定义 IPsec/IKE 策略应用于所有Azure虚拟网络网关连接 | 此策略可确保所有Azure虚拟网络网关连接都使用自定义 Internet 协议安全性(Ipsec)/Internet 密钥Exchange(IKE)策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 | Audit、Disabled | 1.0.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点从Azure虚拟网络中的所选子网限制对应用的访问。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 容器Azure Application Gateway必须具有安全策略 | 确保容器应用网关至少配置了一个安全策略 | AuditIfNotExists、Disabled | 1.0.0 |
| 应使用 WAF 部署 Azure Azure Application Gateway | 需要使用 Azure WAF 部署Azure Application Gateway资源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall经典规则应迁移到防火墙策略 | 从Azure Firewall经典规则迁移到防火墙策略,以利用Azure Firewall Manager等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用Azure Firewall策略分析 | 启用策略分析可增强流量流经Azure Firewall的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
| Azure Firewall策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自Microsoft威胁情报源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的Azure Firewall侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
| 应将 Azure Firewall 部署到多个Availability Zones | 为了提高可用性,我们建议部署Azure Firewall以跨多个Availability Zones。 这可确保在发生区域故障时,Azure Firewall将保持可用状态。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall 标准 - 经典规则应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自Microsoft威胁情报源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Standard 应升级到 Premium,以便进行下一代保护 | 如果要查找下一代保护(如 IDPS 和 TLS 检查),应考虑将Azure Firewall升级到高级 SKU。 | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
| Azure Application GatewayAzure Web Application Firewall应启用请求正文检查 | 确保与Azure Application网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door上的 Azure Web Application Firewall 应启用请求正文检查 | 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为Azure Front Door入口点启用 Azure Web Application Firewall | 在面向公众的 Web 应用程序前部署Azure Web Application Firewall(WAF),以进一步检查传入流量。 Web Application Firewall(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应为 Azure Application Gateway WAF 启用 Bot Protection | 此策略可确保在所有Azure Application Gateway Web Application Firewall(WAF)策略中启用机器人保护 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Front Door WAF 启用 Bot Protection | 此策略可确保在所有Azure Front Door Web Application Firewall (WAF) 策略中启用机器人保护 | Audit、Deny、Disabled | 1.0.0 |
| 将Azure网络安全组的诊断设置配置为Log Analytics工作区 | 将诊断设置部署到Azure网络安全组,以将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
| 配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
| Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
| 在指定的资源组中创建 VNet Flowlog 流量分析的中心Log Analytics工作区 | 在分配的作用域和资源组 nwtarg-<subscriptionID 下创建中央Log Analytics工作区>,默认情况下为 VNet 流日志。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在适用于 VNet Flowlog 的 NetworkWatcherRG 中创建区域 NetworkWatcher | 此策略在指定区域中创建一个Network Watcher,为虚拟网络启用 Flowlog。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 resourceGroupName RG 中创建 VNet Flowlog 的区域存储帐户 | 在分配的范围和资源组 nwtarg-subscriptionID<> 下为 VNet 流日志创建区域存储帐户。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
| 使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
| 创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
| 使用具有区域存储和集中Log Analytics的 VNet 流量分析部署 VNet 流日志。 在修正之前,请确保已部署 resourceGroupName 资源组、存储帐户、Log Analytics工作区Network Watcher。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 启用速率限制规则,以防止 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door Azure Web Application Firewall (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
| 事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
| Key Vault应使用虚拟网络服务终结点 | 此策略会审核未配置为使用虚拟网络服务终结点的任何Key Vault。 | Audit、Disabled | 1.0.0 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置禁用Azure网络接口的源和目标检查。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源将入站通信到Azure资源,并Azure资源与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| Network Watcher流日志应启用流量分析 | 流量分析分析流日志,以便深入了解Azure云中的流量流。 它可用于可视化跨Azure订阅的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络配置错误等。 | Audit、Disabled | 1.0.1 |
| 应启用 Network Watcher | Network Watcher是一项区域服务,可用于监视和诊断网络方案级别的条件,以及从Azure进行监视和诊断。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.1.0 |
| SQL Server应使用虚拟网络服务终结点 | 此策略审核未配置为使用虚拟网络服务终结点的任何SQL Server。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://aka.ms/defaultoutboundaccessretirement | Audit、Deny、Disabled | 1.1.0 |
| 将Azure Firewall部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 | |
| 虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
| 应通过 Azure DDoS 防护来保护虚拟网络 | 使用 Azure DDoS 防护来保护虚拟网络免受卷和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs。 | Modify、Audit、Disabled | 1.0.1 |
| 虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN 网关应仅对点到站点用户使用Azure Active Directory(Azure AD)身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用Azure Active Directory标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 了解有关 Azure AD 身份验证的详细信息 | Audit、Deny、Disabled | 1.0.0 |
| 应为应用程序网关启用 Web Application Firewall (WAF | 在面向公众的 Web 应用程序前部署Azure Web Application Firewall(WAF),以进一步检查传入流量。 Web Application Firewall(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) 应为应用程序网关使用指定的模式 | 要求对应用程序网关的所有Web Application Firewall策略使用“检测”或“预防”模式处于活动状态。 | Audit、Deny、Disabled | 1.0.0 |
| Web Application Firewall (WAF) 应将指定的模式用于 Azure Front Door Service | 要求对所有Web Application Firewall策略使用“检测”或“预防”模式来激活Azure Front Door Service。 | Audit、Deny、Disabled | 1.0.0 |
Tags
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 将标记添加到资源 | 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 | modify | 1.0.0 |
| 向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | modify | 1.0.0 |
| 在资源中添加或替换标记 | 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 | modify | 1.0.0 |
| 在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 追加资源组的标记及其值 | 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | 追加 | 1.0.0 |
| 将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | 追加 | 1.0.0 |
| 将标记及其值追加到资源 | 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | 追加 | 1.0.1 |
| 从资源组继承标记 | 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
| 从资源组继承标记(如果缺少此标记) | 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 从订阅继承标记 | 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
| 从订阅继承标记(如果缺少) | 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | deny | 1.0.0 |
| 需要资源上的标记及其值 | 强制执行所需的标记及其值。 不要应用到资源组。 | deny | 1.0.1 |
| 需要资源组上的标记 | 强制要求资源组中存在某个标记。 | deny | 1.0.0 |
| 需要资源上的标记 | 强制要求存在某个标记。 不要应用到资源组。 | deny | 1.0.1 |
General
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组,Microsoft。AzureActiveDirectory/b2cDirectories 以及使用“global”区域的资源。 | Audit、Deny、Disabled | 1.1.0 |
| 允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | Audit、Deny、Disabled | 1.1.0 |
| 允许的资源类型 | 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 | Audit、Deny、Disabled | 1.1.0 |
| 审核资源位置是否匹配资源组位置 | 审核资源位置是否与其资源组位置匹配。 | Audit、Deny、Disabled | 2.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 配置订阅以设置预览功能 | 此策略评估现有订阅的预览功能。 可以修复订阅以将其注册到新的预览功能。 新订阅不会自动注册。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 不允许删除资源类型 | 此策略让你可以通过使用拒绝操作效果来阻止删除调用,从而指定组织可以防止被意外删除的资源类型。 | DenyAction、Disabled | 1.0.1 |
| 不允许 M365 资源 | 阻止创建 M365 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许 MCPP 资源 | 阻止创建 MCPP 资源。 | Audit、Deny、Disabled | 1.0.0 |
| 排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和Azure资源,这些资源是根据使用情况计费的。 | Audit、Deny、Disabled | 1.0.0 |
| 不允许的资源类型 | 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 | Audit、Deny、Disabled | 2.0.0 |
| 用户必须使用多重身份验证进行身份验证才能创建或更新资源 | 当调用方未通过 MFA 进行身份验证时,此策略定义会阻止资源创建和更新作。 有关详细信息,请访问 https://aka.ms/mfaforazure。 | Audit、Deny、Disabled | 1.1.0 |
| 用户必须使用多重身份验证进行身份验证才能删除资源 | 当调用方未通过 MFA 进行身份验证时,此策略定义会阻止资源删除作。 有关详细信息,请访问 https://aka.ms/mfaforazure。 | AuditAction、DenyAction、已禁用 | 1.1.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。