Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directiva integradas para Azure Storage. Para obtener más Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
Microsoft. Almacenamiento
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: Azure Backup debe estar habilitado para blobs en cuentas de almacenamiento | Asegúrese de proteger las cuentas de almacenamiento habilitando Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Azure Backup debe estar habilitado en recursos compartidos de archivos Azure | Asegúrese de proteger los recursos compartidos de archivos de Azure habilitando Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Configure la copia de seguridad para recursos compartidos de Azure Files con una etiqueta determinada en un nuevo almacén de Recovery Services con una nueva directiva | Aplique la copia de seguridad para todos los Azure Files mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la cuenta de almacenamiento. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir Azure Files en cuentas de almacenamiento que contengan una etiqueta especificada para controlar el ámbito de la asignación. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configure la copia de seguridad para recursos compartidos de Azure Files con una etiqueta determinada en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todos los Azure Files mediante la copia de seguridad en un almacén central de Recovery Services existente en la misma región que la cuenta de almacenamiento. El almacén puede estar en la misma suscripción o en otra. Esto resulta útil cuando un equipo central administra las copias de seguridad entre suscripciones. Opcionalmente, puede incluir Azure Files en cuentas de almacenamiento con una etiqueta especificada para controlar el ámbito de la asignación de directiva. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: Configure la copia de seguridad para recursos compartidos de Azure Files sin una etiqueta determinada en un nuevo almacén de Recovery Services con una nueva directiva | Aplique la copia de seguridad para todos los Azure Files mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la cuenta de almacenamiento. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir Azure Files en cuentas de almacenamiento que contengan una etiqueta especificada para controlar el ámbito de la asignación. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configure la copia de seguridad para recursos compartidos de Azure Files sin una etiqueta determinada en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todos los Azure Files mediante la copia de seguridad en un almacén central de Recovery Services existente en la misma región que la cuenta de almacenamiento. El almacén puede estar en la misma suscripción o en otra. Esto resulta útil cuando un equipo central administra las copias de seguridad entre suscripciones. Opcionalmente, puede excluir Azure Files en cuentas de almacenamiento con una etiqueta especificada para controlar el ámbito de la asignación de directiva. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: Configurar la copia de seguridad de cuentas de almacenamiento de blobs con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región | Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: Configurar la copia de seguridad de blobs para todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén de copia de seguridad de la misma región | Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: las cuentas de almacenamiento deben ser con redundancia de zona | Las cuentas de almacenamiento se pueden configurar para que sean con redundancia de zona o no. Si el nombre de la SKU de una cuenta de almacenamiento no termina en "ZRS" o su tipo es "Storage", no tiene redundancia de zona. Esta directiva garantiza que las cuentas de almacenamiento usen una configuración con redundancia de zona. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| Azure File Sync debe usar private link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Azure File Sync con puntos de conexión privados | Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Configurar la configuración de diagnóstico de Blob Services para Log Analytics área de trabajo | Implementa la configuración de diagnóstico de Blob Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier blob Service que falte esta configuración de diagnóstico. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 4.0.0 |
| Configurar la configuración de diagnóstico de Servicios de archivos para Log Analytics área de trabajo | Implementa la configuración de diagnóstico de Servicios de archivos para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de archivos que falte esta configuración de diagnóstico. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 4.0.0 |
| Configurar la configuración de diagnóstico de Queue Services para Log Analytics área de trabajo | Implementa la configuración de diagnóstico de Queue Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de cola que falte esta configuración de diagnóstico. Nota: Esta directiva no se desencadena tras la creación de la cuenta de almacenamiento y requiere la creación de una tarea de corrección para actualizar la cuenta. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 4.0.1 |
| Configurar la configuración de diagnóstico de cuentas de almacenamiento para Log Analytics área de trabajo | Implementa la configuración de diagnóstico de las cuentas de Almacenamiento para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier cuenta de almacenamiento que falte esta configuración de diagnóstico. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 4.0.0 |
| Configurar la configuración de diagnóstico de Table Services para Log Analytics área de trabajo | Implementa la configuración de diagnóstico de Table Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de tabla que falte esta configuración de diagnóstico. Nota: Esta directiva no se desencadena tras la creación de la cuenta de almacenamiento y requiere la creación de una tarea de corrección para actualizar la cuenta. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 4.0.1 |
| Configuración de la transferencia segura de datos en una cuenta de almacenamiento | La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Modificar, Deshabilitado | 1.0.0 |
| Configuración de la eliminación temporal para blobs y contenedores en cuentas de almacenamiento | Implementa la eliminación temporal para blobs y contenedores en cuentas de almacenamiento si aún no está habilitada. Esto garantiza la protección de datos con un período de retención personalizable. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Configurar la cuenta de almacenamiento para usar una conexión de vínculo privado | Los puntos de conexión privados conectan la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Configuración de las cuentas de almacenamiento para deshabilitar el acceso desde la red pública | Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en ip o red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.0.1 |
| Configurar cuentas de almacenamiento para restringir el acceso a la red únicamente mediante la configuración de omisión de ACL de red | Para mejorar la seguridad de las cuentas de almacenamiento, habilita el acceso solo mediante la omisión de ACL de red. Esta directiva debe usarse en combinación con un punto de conexión privado para el acceso a la cuenta de almacenamiento. | Modificar, Deshabilitado | 1.0.0 |
| Configurar el acceso público de la cuenta de almacenamiento para que no esté permitido | El acceso de lectura público anónimo a contenedores y blobs en Azure Storage es una manera cómoda de compartir datos, pero podría presentar riesgos de seguridad. Para evitar infracciones de datos causadas por el acceso anónimo no deseado, Microsoft recomienda evitar el acceso público a una cuenta de almacenamiento a menos que el escenario lo requiera. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de la cuenta de Storage para habilitar el control de versiones de blobs | Puede habilitar el control de versiones de almacenamiento de blobs para conservar automáticamente las versiones anteriores de un objeto. Cuando el control de versiones de blobs está habilitado, puede acceder a una versión anterior de un blob para recuperar los datos si se modifican o eliminan. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Creación de una cuenta de almacenamiento regional para los flujos de red virtual en resourceGroupName RG | Crea una cuenta de almacenamiento regional en el ámbito asignado y, de forma predeterminada, en el grupo de recursos nwtarg-subscriptionID<> para los flujos de red virtual. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cachés HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Enable registro por grupo de categorías para cachés de HPC (microsoft.storagecache/caches) para Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para las cachés de HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cachés HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para los motores de Storage (microsoft.storagemover/storagemovers) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los motores de Storage (microsoft.storagemover/storagemovers). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| registro Enable por grupo de categorías para movers de almacenamiento (microsoft.storagemover/storagemovers) a Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los movers de storage (microsoft.storagemover/storagemovers). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para los motores de Storage (microsoft.storagemover/storagemovers) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los motores de Storage (microsoft.storagemover/storagemovers). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Auditar, Deshabilitado | 1.0.0 |
| HPC Cache las cuentas deben usar la clave administrada por el cliente para el cifrado | Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Auditar, Deshabilitado, Denegar | 2.0.0 |
| Modify: configure Azure File Sync para deshabilitar el acceso a la red pública | La directiva de la organización deshabilita el punto de conexión público accesible para Internet del Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. | Modificar, Deshabilitado | 1.0.0 |
| Modificar: Configuración de la cuenta de Storage para habilitar el control de versiones de blobs | Puede habilitar el control de versiones de almacenamiento de blobs para conservar automáticamente las versiones anteriores de un objeto. Cuando el control de versiones de blobs está habilitado, puede acceder a una versión anterior de un blob para recuperar los datos si se modifican o eliminan. Tenga en cuenta que las cuentas de almacenamiento existentes no se modificarán para habilitar el control de versiones de Blob Storage. Solo las cuentas de almacenamiento recién creadas tendrán habilitado el control de versiones de Blob Storage | Modificar, Deshabilitado | 1.0.0 |
| Se debe deshabilitar el acceso a la redpublic para Azure File Sync | Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Queue Storage debería usar la clave administrada por el cliente para el cifrado | Proteja su instancia de Queue Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 2.0.0 |
| La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Puede encontrar más información sobre Azure Storage cifrado en reposo aquí https://aka.ms/azurestoragebyok. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente permiten cifrar los datos con una clave de almacén de claves Azure creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar el cifrado doble para los datos en reposo. | Habilite el cifrado de infraestructura para el cifrado en reposo de los ámbitos de cifrado de la cuenta de almacenamiento para mayor seguridad. El cifrado de infraestructura garantiza que los datos se cifren dos veces. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las claves de la cuenta de almacenamiento no deben haber expirado | Asegúrese de que las claves de la cuenta de almacenamiento del usuario no hayan expirado cuando la directiva de expiración de claves esté establecida; con el fin de mejorar la seguridad de las claves de cuenta, adopte medidas cuando estas expiren. | Auditar, Denegar, Deshabilitado | 3.0.0 |
| No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs en Azure Storage es una manera cómoda de compartir datos, pero podría presentar riesgos de seguridad. Para evitar infracciones de datos causadas por el acceso anónimo no deseado, Microsoft recomienda evitar el acceso público a una cuenta de almacenamiento a menos que el escenario lo requiera. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 3.1.1 |
| las cuentas de |
Algunos Microsoft services que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se les puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de Microsoft services de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento se deben limitar por SKU permitidas | Restrinja el conjunto de SKU de cuenta de almacenamiento que la organización puede implementar. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| las cuentas de Storage deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las cuentas de almacenamiento para proporcionar mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben deshabilitar el acceso desde la red pública | Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en ip o red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben tener configuradas directivas de firma de acceso compartido (SAS) | Asegúrese de que las cuentas de almacenamiento tengan habilitada la directiva de expiración de firma de acceso compartido (SAS). Los usuarios usan una SAS para delegar el acceso a los recursos de Azure Storage cuenta. Además, la directiva de expiración de SAS recomienda un límite de expiración superior cuando un usuario crea un token de SAS. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben tener la versión mínima de TLS especificada | Configure una versión mínima de TLS para la comunicación segura entre la aplicación cliente y la cuenta de almacenamiento. Para minimizar el riesgo de seguridad, la versión mínima recomendada de TLS es la versión más reciente publicada, que actualmente es TLS 1.2. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben evitar la replicación de objetos entre inquilinos | Realice una auditoría de la restricción de replicación de objetos de la cuenta de almacenamiento. De forma predeterminada, los usuarios pueden configurar la replicación de objetos con una cuenta de almacenamiento de origen en un inquilino de AD Azure y una cuenta de destino en otro inquilino. Se trata de un problema de seguridad porque los datos del cliente se pueden replicar en una cuenta de almacenamiento propiedad del cliente. Al establecer allowCrossTenantReplication en false, la replicación de objetos solo se puede configurar si las cuentas de origen y de destino están en el mismo inquilino de Azure AD. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben evitar el acceso a claves compartidas | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización de clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso en clave compartida, y se recomienda mediante Microsoft. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Las cuentas de almacenamiento deben impedir el acceso a claves compartidas (excepto las cuentas de almacenamiento creadas por Databricks) | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización de clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso en clave compartida, y se recomienda mediante Microsoft. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos de Internet o locales, se puede conceder acceso al tráfico desde redes virtuales específicas Azure o a intervalos de direcciones IP de Internet públicas. | Auditar, Denegar, Deshabilitado | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red únicamente mediante la configuración de omisión de ACL de red | Para mejorar la seguridad de las cuentas de almacenamiento, habilita el acceso solo mediante la omisión de ACL de red. Esta directiva debe usarse en combinación con un punto de conexión privado para el acceso a la cuenta de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual (excepto las cuentas de almacenamiento creadas por Databricks). | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Auditar, Deshabilitado | 1.0.3 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las cuentas de almacenamiento deben usar un vínculo privado (excepto las cuentas de almacenamiento creadas por Databricks) | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los tokens de SAS de almacenamiento deben cumplir la validez máxima de 7 días. | Esta directiva garantiza que los tokens de firma de acceso compartido (SAS) para las cuentas de almacenamiento estén configurados con un período de validez máximo de 7 días o menos. Deniega o audita las cuentas de almacenamiento que permiten duraciones de tokens saS más largas o no tienen configuradas las acciones de expiración adecuadas. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Table Storage debería usar una clave administrada por el cliente para el cifrado | Proteja su instancia de Table Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Auditar, Denegar, Deshabilitado | 1.0.0 |
Microsoft. StorageCache
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cachés HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Enable registro por grupo de categorías para cachés de HPC (microsoft.storagecache/caches) para Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para las cachés de HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cachés HPC (microsoft.storagecache/caches). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| HPC Cache las cuentas deben usar la clave administrada por el cliente para el cifrado | Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Auditar, Deshabilitado, Denegar | 2.0.0 |
Microsoft. StorageSync
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure File Sync debe usar private link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Azure File Sync con puntos de conexión privados | Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Modify: configure Azure File Sync para deshabilitar el acceso a la red pública | La directiva de la organización deshabilita el punto de conexión público accesible para Internet del Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. | Modificar, Deshabilitado | 1.0.0 |
| Se debe deshabilitar el acceso a la redpublic para Azure File Sync | Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. | Auditar, Denegar, Deshabilitado | 1.0.0 |
Microsoft. ClassicStorage
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| las cuentas de Storage deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las cuentas de almacenamiento para proporcionar mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
Pasos siguientes
- Consulte los componentes integrados en el repositorio Azure Policy GitHub.
- Revise la estructura de definición Azure Policy.
- Vea la Descripción de los efectos de directivas.