Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities voor Azure Storage. Zie Azure Policy ingebouwde definities voor aanvullende Azure Policy ingebouwde Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Version om de bron in de Azure Policy GitHub-opslagplaats weer te geven.
Microsoft. Opslag
| Naam (Azure portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: Azure Backup moet zijn ingeschakeld voor blobs in opslagaccounts | Zorg voor beveiliging van uw opslagaccounts door Azure Backup in te schakelen. Azure Backup is een veilige en kosteneffectieve oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Azure Backup moet zijn ingeschakeld voor Azure bestandsshares | Zorg voor beveiliging van uw Azure bestandsshares door Azure Backup in te schakelen. Azure Backup is een veilige en kosteneffectieve oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: back-up configureren voor Azure Files shares met een bepaalde tag naar een nieuwe Recovery Services-kluis met een nieuw beleid | Dwing back-ups af voor alle Azure Files door een Recovery Services-kluis te implementeren op dezelfde locatie en resourcegroep als het opslagaccount. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt desgewenst Azure Files opnemen in opslagaccounts met een opgegeven tag om het bereik van de toewijzing te bepalen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [preview]: back-up configureren voor Azure Files Shares met een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing back-ups af voor alle Azure Files door een back-up te maken van een bestaande centrale Recovery Services-kluis in dezelfde regio als het opslagaccount. De kluis kan zich in hetzelfde of een ander abonnement bevinden. Dit is handig wanneer een centraal team back-ups beheert tussen abonnementen. U kunt desgewenst Azure Files opnemen in opslagaccounts met een opgegeven tag om het bereik van de beleidstoewijzing te beheren. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [preview]: back-up configureren voor Azure Files Shares zonder een bepaalde tag naar een nieuwe Recovery Services-kluis met een nieuw beleid | Dwing back-ups af voor alle Azure Files door een Recovery Services-kluis te implementeren op dezelfde locatie en resourcegroep als het opslagaccount. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt eventueel Azure Files uitsluiten in opslagaccounts met een opgegeven tag om het bereik van de toewijzing te bepalen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [preview]: back-up configureren voor Azure Files Shares zonder een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing back-ups af voor alle Azure Files door een back-up te maken van een bestaande centrale Recovery Services-kluis in dezelfde regio als het opslagaccount. De kluis kan zich in hetzelfde of een ander abonnement bevinden. Dit is handig wanneer een centraal team back-ups beheert tussen abonnementen. U kunt eventueel Azure Files uitsluiten in opslagaccounts met een opgegeven tag om het bereik van de beleidstoewijzing te beheren. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Back-up configureren voor blobs in opslagaccounts met een bepaalde tag naar een bestaande back-upkluis in dezelfde regio | Dwing back-ups af voor blobs op alle opslagaccounts die een bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Blob-back-up configureren voor alle opslagaccounts die geen bepaalde tag bevatten voor een back-upkluis in dezelfde regio | Dwing back-ups af voor blobs in alle opslagaccounts die geen bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Opslagaccounts moeten zone-redundant zijn | Opslagaccounts kunnen worden geconfigureerd als zone-redundant of niet. Als de SKU-naam van een opslagaccount niet eindigt op ZRS of als het type 'Opslag' is, is deze niet zone-redundant. Dit beleid zorgt ervoor dat uw opslagaccounts gebruikmaken van een zone-redundante configuratie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure File Sync moet private link gebruiken | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Azure File Sync with private endpoints | Er wordt een privé-eindpunt geïmplementeerd voor de aangegeven opslagsynchronisatieserviceresource. Hiermee kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Het bestaan van een of meer privé-eindpunten op zichzelf schakelt het openbare eindpunt niet uit. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen voor Blob Services configureren voor Log Analytics werkruimte | Hiermee worden de diagnostische instellingen voor Blob Services geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen wanneer een blobservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen voor Bestandsservices configureren voor Log Analytics werkruimte | Hiermee worden de diagnostische instellingen voor Bestandsservices geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen wanneer een bestandsservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Queue Services om Log Analytics werkruimte te Log Analytics | Hiermee worden de diagnostische instellingen voor Queue Services geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen wanneer een wachtrijservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Diagnostische instellingen voor opslagaccounts configureren voor Log Analytics werkruimte | Hiermee worden de diagnostische instellingen voor opslagaccounts geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen wanneer opslagaccounts waarvoor deze diagnostische instellingen ontbreken, worden gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen voor Table Services configureren voor Log Analytics werkruimte | Hiermee worden de diagnostische instellingen voor Table Services geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen wanneer een tabelservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Veilige overdracht van gegevens in een opslagaccount configureren | Veilige overdracht is een optie waarmee het opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Wijzigen, uitgeschakeld | 1.0.0 |
| Voorlopig verwijderen configureren voor blobs en containers in opslagaccounts | Hiermee wordt voorlopig verwijderen geïmplementeerd voor zowel blobs als containers in opslagaccounts als deze nog niet zijn ingeschakeld. Dit zorgt voor gegevensbeveiliging met een aanpasbare bewaarperiode. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccount configureren voor het gebruik van een private link-verbinding | Privé-eindpunten verbinden uw virtuele netwerk met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw opslagaccount, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts configureren om openbare netwerktoegang uit te schakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met ip- of virtuele netwerkfirewallregels. Dit vermindert risico's voor gegevenslekken. | Wijzigen, uitgeschakeld | 1.0.1 |
| Configureer opslagaccounts om de netwerktoegang te beperken via de configuratie van de netwerk-ACL. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Wijzigen, uitgeschakeld | 1.0.0 |
| Openbare toegang tot uw opslagaccount configureren zodat deze niet is toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Als u gegevensschendingen wilt voorkomen die worden veroorzaakt door ongewenste anonieme toegang, raadt Microsoft aan om openbare toegang tot een opslagaccount te voorkomen, tenzij dit in uw scenario is vereist. | Wijzigen, uitgeschakeld | 1.0.0 |
| Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Een regionaal opslagaccount maken voor VNet-stroomlogboeken in resourceGroupName RG | Hiermee maakt u een regionaal opslagaccount in het toegewezen bereik en onder resourcegroep nwtarg-subscriptionID< standaard voor VNet-stroomlogboeken>. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics werkruimte voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor opslagverplaatsers (microsoft.storagemover/storagemovers) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Enable logging by category group for Storage movers (microsoft.storagemover/storagemovers) to Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics werkruimte voor opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor opslagverplaatsers (microsoft.storagemover/storagemovers) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor opslagverplaatsers (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
| HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling in rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Modify - Configureer Azure File Sync om openbare netwerktoegang uit te schakelen | Het openbare eindpunt van de Azure File Sync is uitgeschakeld door uw organisatiebeleid. U hebt nog steeds toegang tot de opslagsynchronisatieservice via de bijbehorende privé-eindpunten. | Wijzigen, uitgeschakeld | 1.0.0 |
| Wijzigen - Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. Bestaande opslagaccounts worden niet gewijzigd om Blob Storage-versiebeheer in te schakelen. Alleen nieuw gemaakte opslagaccounts hebben Blob Storage-versiebeheer ingeschakeld | Wijzigen, uitgeschakeld | 1.0.0 |
| Toegang tot openbare netwerken moet zijn uitgeschakeld voor Azure File Sync | Als u het openbare eindpunt uitschakelt, kunt u de toegang tot uw opslagsynchronisatieserviceresource beperken tot aanvragen die zijn bestemd voor goedgekeurde privé-eindpunten in het netwerk van uw organisatie. Er is niets inherent onveilig over het toestaan van aanvragen voor het openbare eindpunt, maar u kunt het uitschakelen om te voldoen aan wettelijke, juridische of organisatiebeleidsvereisten. U kunt het openbare eindpunt voor een opslagsynchronisatieservice uitschakelen door de inkomendeTrafficPolicy van de resource in te stellen op AllowVirtualNetworksOnly. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Queue Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw wachtrijopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK | Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage versleuteling-at-rest vindt u hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Versleutelingsbereiken voor opslagaccounts moeten dubbele versleuteling gebruiken voor data-at-rest | Schakel infrastructuurversleuteling in voor versleuteling in rest van de versleutelingsbereiken van uw opslagaccount voor extra beveiliging. Infrastructuurversleuteling zorgt ervoor dat uw gegevens tweemaal worden versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccountsleutels mogen niet verlopen zijn | Zorg ervoor dat de sleutels van het gebruikersopslagaccount niet zijn verlopen wanneer het verloopbeleid voor sleutels is ingesteld, om de beveiliging van accountsleutels te verbeteren door actie te ondernemen wanneer de sleutels zijn verlopen. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Openbare toegang tot een opslagaccount moet niet worden toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Als u gegevensschendingen wilt voorkomen die worden veroorzaakt door ongewenste anonieme toegang, raadt Microsoft aan om openbare toegang tot een opslagaccount te voorkomen, tenzij dit in uw scenario is vereist. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.1 |
| Sommige Microsoft services die communiceren met opslagaccounts werken vanuit netwerken die geen toegang kunnen krijgen via netwerkregels. Om dit type service naar behoren te laten werken, staat u de set vertrouwde Microsoft services toe om de netwerkregels te omzeilen. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 | |
| Opslagaccounts moeten worden beperkt door toegestane SKU's | Beperk de set opslagaccount-SKU's die uw organisatie kan implementeren. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw opslagaccounts om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten openbare netwerktoegang uitschakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met ip- of virtuele netwerkfirewallregels. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor opslagaccounts moet sas-beleid (Shared Access Signature) zijn geconfigureerd | Zorg ervoor dat voor opslagaccounts het verloopbeleid voor Shared Access Signature (SAS) is ingeschakeld. Gebruikers gebruiken een SAS om toegang tot resources in Azure Storage account te delegeren. Het sas-verloopbeleid raadt een hogere verlooplimiet aan wanneer een gebruiker een SAS-token maakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten de opgegeven minimale TLS-versie hebben | Configureer een minimale TLS-versie voor beveiligde communicatie tussen de clienttoepassing en het opslagaccount. Om het beveiligingsrisico te minimaliseren, is de aanbevolen minimale TLS-versie de meest recente versie, die momenteel TLS 1.2 is. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten replicatie van meerdere tenantobjecten voorkomen | Controleer de beperking van objectreplicatie voor uw opslagaccount. Standaard kunnen gebruikers objectreplicatie configureren met een bronopslagaccount in één Azure AD-tenant en een doelaccount in een andere tenant. Het is een beveiligingsprobleem omdat de gegevens van de klant kunnen worden gerepliceerd naar een opslagaccount dat eigendom is van de klant. Door allowCrossTenantReplication in te stellen op false, kan de replicatie van objecten alleen worden geconfigureerd als beide bron- en doelaccounts zich in dezelfde Azure AD-tenant bevinden. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen | Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke Azure virtuele netwerken of tot ip-adresbereiken voor openbaar internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten alleen netwerktoegang beperken via de netwerk-ACL-bypassconfiguratie. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle opslagaccounts gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
| Opslagaccounts moeten gebruikmaken van private link | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Opslagaccounts moeten gebruikmaken van private link (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Sas-tokens voor opslag moeten voldoen aan de maximale geldigheid van 7 dagen | Dit beleid zorgt ervoor dat SAS-tokens (Shared Access Signature) voor opslagaccounts worden geconfigureerd met een maximale geldigheidsperiode van 7 dagen of minder. Het weigert of controleert opslagaccounts die langere levensduur van SAS-tokens toestaan of waarvoor de juiste verloopacties niet zijn geconfigureerd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Table Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw tabelopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Microsoft. StorageCache
| Naam (Azure portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics werkruimte voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor HPC-caches (microsoft.storagecache/caches) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor HPC-caches (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling in rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Microsoft. StorageSync
| Naam (Azure portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure File Sync moet private link gebruiken | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Azure File Sync with private endpoints | Er wordt een privé-eindpunt geïmplementeerd voor de aangegeven opslagsynchronisatieserviceresource. Hiermee kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Het bestaan van een of meer privé-eindpunten op zichzelf schakelt het openbare eindpunt niet uit. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Modify - Configureer Azure File Sync om openbare netwerktoegang uit te schakelen | Het openbare eindpunt van de Azure File Sync is uitgeschakeld door uw organisatiebeleid. U hebt nog steeds toegang tot de opslagsynchronisatieservice via de bijbehorende privé-eindpunten. | Wijzigen, uitgeschakeld | 1.0.0 |
| Toegang tot openbare netwerken moet zijn uitgeschakeld voor Azure File Sync | Als u het openbare eindpunt uitschakelt, kunt u de toegang tot uw opslagsynchronisatieserviceresource beperken tot aanvragen die zijn bestemd voor goedgekeurde privé-eindpunten in het netwerk van uw organisatie. Er is niets inherent onveilig over het toestaan van aanvragen voor het openbare eindpunt, maar u kunt het uitschakelen om te voldoen aan wettelijke, juridische of organisatiebeleidsvereisten. U kunt het openbare eindpunt voor een opslagsynchronisatieservice uitschakelen door de inkomendeTrafficPolicy van de resource in te stellen op AllowVirtualNetworksOnly. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Microsoft. ClassicStorage
| Naam (Azure portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw opslagaccounts om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Volgende stappen
- Zie de ingebouwde Azure Policy GitHub opslagplaats.
- Bekijk de definitiestructuur Azure Policy.
- Lees Informatie over de effecten van het beleid.