Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Storage. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Microsoft. Speicher
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Backup sollte für Blobs in Speicherkonten aktiviert sein | Stellen Sie den Schutz Ihrer Speicherkonten sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Azure Backup sollte für Azure Dateifreigaben aktiviert sein | Stellen Sie den Schutz Ihrer Azure Dateifreigaben sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Files Freigaben mit einem bestimmten Tag für einen neuen Wiederherstellungsdienstetresor mit einer neuen Richtlinie | Erzwingen Sie die Sicherung für alle Azure Files, indem Sie einen Wiederherstellungsdienstetresor an demselben Speicherort und derselben Ressourcengruppe wie das Speicherkonto bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Optional können Sie Azure Files in Speicherkonten einschließen, die ein angegebenes Tag enthalten, um den Umfang der Zuordnung zu steuern. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Files Freigaben mit einem bestimmten Tag an einem vorhandenen Wiederherstellungsdienstetresor am selben Speicherort | Erzwingen Sie die Sicherung für alle Azure Files, indem Sie sie in derselben Region wie das Speicherkonto in einem vorhandenen zentralen Wiederherstellungsdiensttresor sichern. Der Tresor kann sich in demselben oder einem anderen Abonnement befinden. Dies ist nützlich, wenn ein zentrales Team Sicherungen über Abonnements hinweg verwaltet. Sie können optional Azure Files in Speicherkonten mit einem angegebenen Tag einschließen, um den Umfang der Richtlinienzuweisung zu steuern. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Files Freigaben ohne ein bestimmtes Tag für einen neuen Wiederherstellungsdienstetresor mit einer neuen Richtlinie | Erzwingen Sie die Sicherung für alle Azure Files, indem Sie einen Wiederherstellungsdienstetresor an demselben Speicherort und derselben Ressourcengruppe wie das Speicherkonto bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Optional können Sie Azure Files in Speicherkonten ausschließen, die ein angegebenes Tag enthalten, um den Umfang der Zuweisung zu steuern. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Files Freigaben ohne ein bestimmtes Tag für einen vorhandenen Wiederherstellungsdienstetresor am selben Speicherort | Erzwingen Sie die Sicherung für alle Azure Files, indem Sie sie in derselben Region wie das Speicherkonto in einem vorhandenen zentralen Wiederherstellungsdiensttresor sichern. Der Tresor kann sich in demselben oder einem anderen Abonnement befinden. Dies ist nützlich, wenn ein zentrales Team Sicherungen über Abonnements hinweg verwaltet. Optional können Sie Azure Files in Speicherkonten mit einem angegebenen Tag ausschließen, um den Umfang der Richtlinienzuweisung zu steuern. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Blobs in Speicherkonten, die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die ein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren der Blobsicherung für alle Speicherkonten, die kein bestimmtes Tag für einen Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die kein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Speicherkonten sollten zonenredundant sein | Speicherkonten können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn der SKU-Name eines Speicherkontos nicht mit „ZRS“ endet oder seine Art „Speicher“ lautet, ist er nicht zonenredundant. Diese Richtlinie stellt sicher, dass Ihre Speicherkonten eine zonenredundante Konfiguration verwenden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| Azure File Sync sollte einen privaten Link verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Configure Azure File Sync mit privaten Endpunkten | Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure diagnostic settings for Blob Services to Log Analytics workspace | Stellt die Diagnoseeinstellungen für Blob Services bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen, wenn ein BLOB-Dienst, der diese Diagnoseeinstellungen fehlt, erstellt oder aktualisiert wird. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 4.0.0 |
| Configure diagnostic settings for File Services to Log Analytics workspace | Stellt die Diagnoseeinstellungen für Dateidienste bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen, wenn ein Dateidienst, der diese Diagnoseeinstellungen fehlt, erstellt oder aktualisiert wird. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 4.0.0 |
| Configure diagnostic settings for Queue Services to Log Analytics workspace | Stellt die Diagnoseeinstellungen für Warteschlangendienste bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen, wenn ein Warteschlangendienst, der diese Diagnoseeinstellungen fehlt, erstellt oder aktualisiert wird. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 4.0.1 |
| Configure diagnostic settings for Storage Accounts to Log Analytics workspace | Stellt die Diagnoseeinstellungen für Speicherkonten bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen, wenn Speicherkonten, die diese Diagnoseeinstellungen fehlen, erstellt oder aktualisiert werden. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 4.0.0 |
| Configure diagnostic settings for Table Services to Log Analytics workspace | Stellt die Diagnoseeinstellungen für Tabellendienste bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen, wenn tabellendienst, der diese Diagnoseeinstellungen fehlt, erstellt oder aktualisiert wird. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 4.0.1 |
| Konfigurieren der sicheren Datenübertragung in einem Speicherkonto | Sichere Übertragung ist eine Option, die erzwingt, dass das Speicherkonto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Bearbeiten, Deaktivieren | 1.0.0 |
| Konfigurieren des vorläufigen Löschens für Blobs und Container in Speicherkonten | Stellt vorläufiges Löschen für Blobs und Container für Speicherkonten bereit, wenn sie noch nicht aktiviert sind. Dadurch wird der Datenschutz mit einem anpassbaren Aufbewahrungszeitraum sichergestellt. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Speicherkonto zum Verwenden einer Private Link-Verbindung konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren von Speicherkonten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Mit dieser Option wird der Zugriff von jedem öffentlichen Adressbereich außerhalb des IP-Bereichs Azure deaktiviert und alle Anmeldungen verweigert, die ip- oder netzwerkbasierte Firewallregeln entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Bearbeiten, Deaktivieren | 1.0.1 |
| Konfigurieren von Speicherkonten, um den Netzwerkzugriff nur über die Netzwerk-ACL-Umgehungskonfiguration einzuschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Bearbeiten, Deaktivieren | 1.0.0 |
| Öffentlichen Zugriff auf Ihr Speicherkonto so konfigurieren, dass er nicht zulässig ist | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine bequeme Möglichkeit zum Freigeben von Daten, kann aber Sicherheitsrisiken darstellen. Um Datenschutzverletzungen zu verhindern, die durch unerwünschten anonymen Zugriff verursacht werden, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, es sei denn, Ihr Szenario erfordert es. | Bearbeiten, Deaktivieren | 1.0.0 |
| Konfigurieren Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Erstellen eines regionalen Speicherkontos für VNet-Flusslogs in resourceGroupName RG | Erstellt ein regionales Speicherkonto im zugewiesenen Bereich und unter ressourcengruppe nwtarg-subscriptionID< standardmäßig für VNet-Flusslogs>. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics Arbeitsbereich für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) zum Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Speicherverschiebungen (microsoft.storagemover/storagemovers) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Enable logging by category group for Storage movers (microsoft.storagemover/storagemovers) to Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics Arbeitsbereich für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Speicherverschiebungen (microsoft.storagemover/storagemovers) im Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Speicherverschiebungen (microsoft.storagemover/storagemovers) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Überwachung, deaktiviert | 1.0.0 |
| HPC Cache-Konten sollten den vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden | Verwalten Sie die Verschlüsselung im ruhenden Azure HPC Cache mit vom Kunden verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Verweigern | 2.0.0 |
| Modify – Konfigurieren von Azure File Sync zum Deaktivieren des öffentlichen Netzwerkzugriffs | Der öffentliche Endpunkt des Azure File Sync für das Internet ist durch Ihre Organisationsrichtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. | Bearbeiten, Deaktivieren | 1.0.0 |
| Ändern: Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. Beachten Sie, dass vorhandene Speicherkonten nicht geändert werden, um die Blob Storage-Versionsverwaltung zu aktivieren. Nur bei neu erstellten Speicherkonten ist die Blob Storage-Versionsverwaltung aktiviert. | Bearbeiten, Deaktivieren | 1.0.0 |
| Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Queue Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Warteschlangenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur ruhenden Azure Storage Verschlüsselung finden Sie hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten und von Ihnen erstellten Azure Schlüsseltresorschlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonto-Verschlüsselungsbereiche müssen die doppelte Verschlüsselung für ruhende Daten verwenden | Hiermit wird zur zusätzlichen Sicherheit die Infrastrukturverschlüsselung für die Verschlüsselung ruhender Daten in Ihren Speicherkonto-Verschlüsselungsbereichen aktiviert. Durch die Infrastrukturverschlüsselung wird eine zweimalige Verschlüsselung Ihrer Daten sichergestellt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkontoschlüssel sollten nicht abgelaufen sein | Stellen Sie sicher, dass die Schlüssel für Benutzerspeicherkonten nicht abgelaufen sind, wenn die Schlüsselablaufrichtlinie festgelegt ist. Sie verbessern die Sicherheit von Kontoschlüsseln, wenn bei abgelaufenen Schlüsseln Maßnahmen ergriffen werden. | Überprüfen, Verweigern, Deaktiviert | 3.0.0 |
| Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine bequeme Möglichkeit zum Freigeben von Daten, kann aber Sicherheitsrisiken darstellen. Um Datenschutzverletzungen zu verhindern, die durch unerwünschten anonymen Zugriff verursacht werden, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, es sei denn, Ihr Szenario erfordert es. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.1 |
| Einige Microsoft services, die mit Speicherkonten interagieren, funktionieren über Netzwerke, denen kein Zugriff über Netzwerkregeln gewährt werden kann. Damit diese Art von Dienst wie beabsichtigt funktioniert, können Sie den Satz vertrauenswürdiger Microsoft services die Netzwerkregeln umgehen. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Speicherkonten müssen auf zugelassene SKUs eingeschränkt werden | Schränken Sie die Speicherkonto-SKUs ein, die Ihre Organisation bereitstellen kann. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Storage-Konten sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre Speicherkonten, um Sicherheitsverbesserungen bereitzustellen, z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Mit dieser Option wird der Zugriff von jedem öffentlichen Adressbereich außerhalb des IP-Bereichs Azure deaktiviert und alle Anmeldungen verweigert, die ip- oder netzwerkbasierte Firewallregeln entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Für Speicherkonten müssen SAS-(Shared Access Signature-)Richtlinien konfiguriert sein | Stellen Sie sicher, dass für Speicherkonten die Ablaufrichtlinie für SAS (Shared Access Signature) aktiviert ist. Benutzer verwenden eine SAS, um den Zugriff auf Ressourcen in Azure Storage Konto zu delegieren. Außerdem empfiehlt die SAS-Ablaufrichtlinie eine Obergrenze für den Ablauf, wenn ein Benutzer ein SAS-Token erstellt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten müssen die angegebene TLS-Mindestversion aufweisen | Konfigurieren Sie eine TLS-Mindestversion für die sichere Kommunikation zwischen der Clientanwendung und dem Speicherkonto. Um Sicherheitsrisiken zu minimieren, ist die empfohlene TLS-Mindestversion die neueste veröffentlichte Version, derzeit TLS 1.2. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten sollten eine mandantenübergreifende Objektreplikation verhindern | Überwachen Sie die Einschränkung der Objektreplikation für Ihr Speicherkonto. Standardmäßig können Benutzer die Objektreplikation mit einem Quellspeicherkonto in einem Azure AD-Mandanten und einem Zielkonto in einem anderen Mandanten konfigurieren. Dies ist ein Sicherheitsproblem, da Kundendaten in ein Speicherkonto repliziert werden können, das im Besitz des Kunden ist. Durch Festlegen von allowCrossTenantReplication auf "false" kann die Objektreplikation nur konfiguriert werden, wenn sich sowohl Quell- als auch Zielkonten im selben Azure AD-Mandanten befinden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern | Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internet- oder lokalen Clients zuzulassen, kann der Zugriff auf den Datenverkehr von bestimmten Azure virtuellen Netzwerken oder öffentlichen Internet-IP-Adressbereichen gewährt werden. | Überprüfen, Verweigern, Deaktiviert | 1.1.1 |
| Speicherkonten sollten den Netzwerkzugriff nur über die Konfiguration der Netzwerk-ACL-Umgehung einschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Speicherkonten sollten den Netzwerkzugriff mithilfe von Regeln für virtuelle Netzwerke einschränken (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Überwachung, deaktiviert | 1.0.0 |
| Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Überwachung, deaktiviert | 1.0.3 |
| Speicherkonten müssen Private Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Speicherkonten sollten einen privaten Link verwenden (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Speicher-SAS-Token sollten die maximale Gültigkeitsdauer von 7 Tagen einhalten | Diese Richtlinie stellt sicher, dass SAS-Token (Shared Access Signature) für Speicherkonten mit einer maximalen Gültigkeitsdauer von 7 Tagen oder weniger konfiguriert sind. Es verweigert oder überwacht Speicherkonten, die längere SAS-Tokenlebensdauern zulassen oder keine geeigneten Ablaufaktionen konfiguriert haben. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Table Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Tabellenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Microsoft. StorageCache
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics Arbeitsbereich für HPC-Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) zum Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| HPC Cache-Konten sollten den vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden | Verwalten Sie die Verschlüsselung im ruhenden Azure HPC Cache mit vom Kunden verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Verweigern | 2.0.0 |
Microsoft. StorageSync
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure File Sync sollte einen privaten Link verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Configure Azure File Sync mit privaten Endpunkten | Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Modify – Konfigurieren von Azure File Sync zum Deaktivieren des öffentlichen Netzwerkzugriffs | Der öffentliche Endpunkt des Azure File Sync für das Internet ist durch Ihre Organisationsrichtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. | Bearbeiten, Deaktivieren | 1.0.0 |
| Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Microsoft. ClassicStorage
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Storage-Konten sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre Speicherkonten, um Sicherheitsverbesserungen bereitzustellen, z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.