Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page est un index de Azure Policy définitions de stratégie intégrées pour Azure Storage. Pour obtenir des Azure Policy supplémentaires intégrées pour d’autres services, consultez Azure Policy définitions intégrées.
Le nom de chaque définition de stratégie intégrée est lié à la définition de stratégie dans le portail Azure. Utilisez le lien dans la colonne Version pour afficher la source sur le dépôt Azure Policy GitHub.
Microsoft. Stockage
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [préversion] : Azure Backup doit être activé pour les objets blob dans les comptes de stockage | Assurez-vous de la protection de vos comptes de stockage en activant Azure Backup. Azure Backup est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Azure Backup doit être activé sur Azure partages de fichiers | Veillez à protéger vos partages de fichiers Azure en activant Azure Backup. Azure Backup est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : configurez la sauvegarde des partages Azure Files avec une balise donnée dans un nouveau coffre Recovery Services avec une nouvelle stratégie | Appliquez la sauvegarde pour toutes les Azure Files en déployant un coffre Recovery Services dans le même emplacement et le même groupe de ressources que le compte de stockage. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure Azure Files dans les comptes de stockage contenant une balise spécifiée pour contrôler l’étendue de l’affectation. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : configurez la sauvegarde des partages Azure Files avec une balise donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde pour toutes les Azure Files en les sauvegardeant dans un coffre Recovery Services central existant dans la même région que le compte de stockage. Le coffre peut se trouver dans le même abonnement ou dans un autre abonnement. Cela est utile lorsqu’une équipe centrale gère les sauvegardes entre les abonnements. Vous pouvez éventuellement inclure des Azure Files dans des comptes de stockage avec une balise spécifiée pour contrôler l’étendue de l’attribution de stratégie. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurez la sauvegarde des partages Azure Files sans balise donnée dans un nouveau coffre Recovery Services avec une nouvelle stratégie | Appliquez la sauvegarde pour toutes les Azure Files en déployant un coffre Recovery Services dans le même emplacement et le même groupe de ressources que le compte de stockage. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure Azure Files dans les comptes de stockage contenant une balise spécifiée pour contrôler l’étendue de l’affectation. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : configurez la sauvegarde des partages Azure Files sans balise donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde pour toutes les Azure Files en les sauvegardeant dans un coffre Recovery Services central existant dans la même région que le compte de stockage. Le coffre peut se trouver dans le même abonnement ou dans un autre abonnement. Cela est utile lorsqu’une équipe centrale gère les sauvegardes entre les abonnements. Vous pouvez éventuellement exclure Azure Files dans les comptes de stockage avec une balise spécifiée pour contrôler l’étendue de l’attribution de stratégie. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blobs sur les comptes de stockage avec une balise donnée dans un coffre de sauvegarde existant dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui contiennent une balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blob pour tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.0-preview |
| [Préversion] : Les comptes de stockage doivent être redondants interzone | Les comptes de stockage peuvent être configurés pour être redondants interzones ou non. Si le nom de la référence SKU d’un compte de stockage ne se termine pas par « ZRS » ou son type est « Stockage », il n’est pas redondant interzone. Cette stratégie garantit que vos comptes de stockage utilisent une configuration redondante interzone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Azure File Sync devez utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configure Azure File Sync avec des points de terminaison privés | Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres de diagnostic des services Blob sur Log Analytics espace de travail | Déploie les paramètres de diagnostic des services Blob pour diffuser en continu les journaux de ressources dans un espace de travail Log Analytics quand un service blob manquant est créé ou mis à jour. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 4.0.0 |
| Configurer les paramètres de diagnostic pour File Services à Log Analytics espace de travail | Déploie les paramètres de diagnostic des services de fichiers pour diffuser en continu les journaux de ressources dans un espace de travail Log Analytics quand un service de fichiers manquant dans ces paramètres de diagnostic est créé ou mis à jour. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 4.0.0 |
| Configurer les paramètres de diagnostic des services de file d’attente pour Log Analytics espace de travail | Déploie les paramètres de diagnostic des services de file d’attente pour diffuser en continu les journaux de ressources dans un espace de travail Log Analytics quand un service de file d’attente manquant est créé ou mis à jour. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 4.0.1 |
| Configurer les paramètres de diagnostic des comptes de stockage pour Log Analytics espace de travail | Déploie les paramètres de diagnostic des comptes de stockage pour diffuser en continu les journaux de ressources dans un espace de travail Log Analytics quand des comptes de stockage manquants sont créés ou mis à jour. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 4.0.0 |
| Configurer les paramètres de diagnostic de Table Services pour Log Analytics espace de travail | Déploie les paramètres de diagnostic des services de table pour diffuser en continu les journaux de ressources dans un espace de travail Log Analytics quand un service de table qui ne dispose pas de ces paramètres de diagnostic est créé ou mis à jour. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 4.0.1 |
| Configurer le transfert sécurisé de données sur un compte de stockage | L’option de sécurisation du transfert oblige le compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Modifier, Désactivé | 1.0.0 |
| Configurer la suppression réversible pour les objets blob et les conteneurs sur les comptes de stockage | Déploie la suppression réversible pour les objets blob et les conteneurs sur les comptes de stockage s’il n’est pas déjà activé. Cela garantit la protection des données avec une période de rétention personnalisable. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le compte de stockage pour utiliser une connexion de liaison privée | Les points de terminaison privés connectent votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. En mappant des points de terminaison privés à votre compte de stockage, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes de stockage pour désactiver l’accès réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Modifier, Désactivé | 1.0.1 |
| Configurez des comptes de stockage pour limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Modifier, Désactivé | 1.0.0 |
| Configurer l’accès public de votre compte de stockage pour qu’il ne soit pas autorisé | L’accès en lecture publique anonyme aux conteneurs et aux objets blob dans Azure Storage est un moyen pratique de partager des données, mais peut présenter des risques de sécurité. Pour éviter les violations de données provoquées par l’accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | Modifier, Désactivé | 1.0.0 |
| Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. | Audit, Refuser, Désactivé | 1.0.0 |
| Créer un compte de stockage régional pour les flux de réseau virtuel dans resourceGroupName RG | Crée un compte de stockage régional dans l’étendue affectée et sous le groupe de ressources nwtarg-subscriptionID<> par défaut pour les flux de réseau virtuel. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Enable journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Stockage Movers (microsoft.storagemover/storagemovers) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour Stockage Movers (microsoft.storagemover/storagemovers). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Enable logging by category group for Storage movers (microsoft.storagemover/storagemovers) to Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les movers de stockage (microsoft.storagemover/storagemovers). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Stockage Movers (microsoft.storagemover/storagemovers) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour Stockage Movers (microsoft.storagemover/storagemovers). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| HPC Cache comptes doivent utiliser la clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos de Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
| Modify - Configurer Azure File Sync pour désactiver l’accès réseau public | Le point de terminaison public accessible par Internet du Azure File Sync est désactivé par votre stratégie organisationnelle. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Modifier – Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. Notez que les comptes de stockage existants ne seront pas modifiés pour activer le contrôle de version du stockage Blob. Seuls les comptes de stockage nouvellement créés disposeront du contrôle de version du stockage Blob activé | Modifier, Désactivé | 1.0.0 |
| Un accès réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. | Audit, Refuser, Désactivé | 1.0.0 |
| Le stockage file d’attente doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de file d’attente avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur Azure Storage chiffrement au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé de coffre de clés Azure créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
| Les étendues de chiffrement de compte de stockage doivent utiliser le chiffrement double pour les données au repos | Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte de stockage afin de renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clés de compte de stockage ne doivent pas être expirées | Assurez-vous que les clés de compte de stockage utilisateur ne sont pas expirées quand la stratégie d’expiration de clé est définie pour améliorer la sécurité des clés de compte en intervenant quand les clés sont expirées. | Audit, Refuser, Désactivé | 3.0.0 |
| L’accès public au compte de stockage doit être interdit | L’accès en lecture publique anonyme aux conteneurs et aux objets blob dans Azure Storage est un moyen pratique de partager des données, mais peut présenter des risques de sécurité. Pour éviter les violations de données provoquées par l’accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.1 |
| Certains Microsoft services qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas être autorisés à accéder par le biais de règles de réseau. Pour aider ce type de service comme prévu, autorisez l’ensemble de Microsoft services approuvés à contourner les règles réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 | |
| Les comptes de stockage doivent être limités en fonction des références SKU autorisées | Limitez l’ensemble des références SKU de compte de stockage que votre organisation peut déployer. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos comptes de stockage pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent désactiver l’accès au réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir des stratégies de signature d’accès partagé (SAP) configurées | Vérifiez que la stratégie d’expiration des signatures d’accès partagé (SAP) est activée pour les comptes de stockage. Les utilisateurs utilisent une SAP pour déléguer l’accès aux ressources dans Azure Storage compte. Et la stratégie d’expiration de signature d’accès partagé recommande une limite d’expiration supérieure quand un utilisateur crée un jeton SAP. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir la version TLS minimale spécifiée | Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte de stockage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher la réplication d’objets inter-locataires | Auditez la restriction de la réplication d’objets pour votre compte de stockage. Par défaut, les utilisateurs peuvent configurer la réplication d’objets avec un compte de stockage source dans un client AD Azure et un compte de destination dans un autre locataire. Il s’agit d’un problème de sécurité, car les données du client peuvent être répliquées vers un compte de stockage détenu par le client. En définissant allowCrossTenantReplication sur false, la réplication d’objets peut être configurée uniquement si les comptes source et de destination se trouvent dans le même locataire AZURE AD. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent empêcher l’accès à clé partagée (à l’exclusion des comptes de stockage créés par Databricks) | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions à partir de clients Internet ou locaux spécifiques, l’accès peut être accordé au trafic à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent restreindre l’accès réseau à l’aide de règles de réseau virtuel (à l’exception des comptes de stockage créés par Databricks) | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| Les comptes de stockage doivent utiliser une liaison privée (à l’exclusion des comptes de stockage créés par Databricks) | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 1.0.0 |
| Les jetons SAP de stockage doivent respecter la validité maximale de 7 jours | Cette stratégie garantit que les jetons de signature d’accès partagé (SAP) pour les comptes de stockage sont configurés avec une période de validité maximale de 7 jours ou moins. Il refuse ou audite les comptes de stockage qui autorisent des durées de vie de jeton SAS plus longues ou n’ont pas d’actions d’expiration appropriées configurées. | Audit, Refuser, Désactivé | 1.0.0 |
| Le stockage table doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de table avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
Microsoft. StorageCache
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Enable journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les caches HPC (microsoft.storagecache/caches) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les caches HPC (microsoft.storagecache/caches). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| HPC Cache comptes doivent utiliser la clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos de Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
Microsoft. StorageSync
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure File Sync devez utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configure Azure File Sync avec des points de terminaison privés | Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. | DeployIfNotExists, Désactivé | 1.0.0 |
| Modify - Configurer Azure File Sync pour désactiver l’accès réseau public | Le point de terminaison public accessible par Internet du Azure File Sync est désactivé par votre stratégie organisationnelle. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Un accès réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. | Audit, Refuser, Désactivé | 1.0.0 |
Microsoft. ClassicStorage
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos comptes de stockage pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les compléments intégrés sur le dépôt Azure Policy GitHub.
- Passez en revue la structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.