Condividi tramite

Criteri nell'analisi su scala cloud

  • Articolo

Prima di prendere in considerazione una distribuzione, è importante che l'organizzazione metta in atto delle protezioni. Usando i criteri di Azure è possibile implementare la governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.

Background

Un principio fondamentale dell'analisi su scala cloud consiste nel semplificare la creazione, la lettura, l'aggiornamento e l'eliminazione delle risorse in base alle esigenze. Tuttavia, sebbene offrire agli sviluppatori un accesso illimitato alle risorse garantisca loro la flessibilità, ciò può anche comportare costi imprevisti. La soluzione a questo problema è la governance dell'accesso alle risorse. Questa governance è il processo continuativo di gestione, monitoraggio e controllo dell'uso delle risorse di Azure per soddisfare gli obiettivi e i requisiti dell'organizzazione.

L'articolo Iniziare con le zone di destinazione su scala aziendale di Cloud Adoption Framework usa già questo concetto. L'analisi su scala cloud aggiunge criteri di Azure personalizzati per la compilazione di questi standard. Gli standard vengono quindi applicati alle zone di destinazione della gestione dei dati e alle zone di destinazione dei dati.

Diagram that shows how Azure governance works.Diagramma che illustra il funzionamento della governance di Azure.

Azure Policy è importante quando si garantiscono sicurezza e conformità nelle analisi su scala cloud. Consente di applicare gli standard e di valutare la conformità su larga scala. I criteri possono essere usati per valutare le risorse in Azure e confrontarle con le proprietà ricercate. Diversi criteri, o regole business, possono essere raggruppati in un'iniziativa. È possibile assegnare singoli criteri o iniziative ad ambiti diversi in Azure. Questi ambiti possono essere gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito e gli ambiti secondari possono essere esclusi con eccezioni, se necessario.

Considerazioni relative alla progettazione

I criteri di Azure nell'analisi su scala cloud sono stati sviluppati tenendo presenti le considerazioni di progettazione seguenti:

  • Usare i criteri di Azure per implementare la governance e applicare regole per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione.
  • Usare i criteri predefiniti disponibili per risparmiare tempo.
  • Assegnare i criteri al livello più alto possibile nell'albero del gruppo di gestione per semplificare la gestione dei criteri.
  • Limitare le assegnazioni di Criteri di Azure effettuate nell'ambito del gruppo di gestione radice per evitare la gestione tramite esclusioni negli ambiti ereditati.
  • Usare solo le eccezioni dei criteri, se necessario, e richiedono l'approvazione.

Criteri di Azure per l'analisi su scala cloud

L'implementazione di criteri personalizzati consente di sfruttare al massimo Criteri di Azure. L'analisi su scala cloud include un set di criteri precreati che consentono di implementare eventuali protezioni necessarie nell'ambiente in uso.

Criteri di Azure devono essere lo strumento principale del team della piattaforma Azure (Dati) per garantire la conformità delle risorse all'interno dell'area di gestione dei dati, delle zone di atterraggio dei dati e di altre zone di atterraggio all'interno del tenant dell'organizzazione. Questa funzionalità della piattaforma deve essere usata per introdurre protezioni e applicare la conformità alla configurazione globale del servizio approvata all'interno dell'ambito del rispettivo gruppo di gestione. I team della piattaforma possono usare Criteri di Azure per applicare, ad esempio, endpoint privati per tutti gli account di archiviazione ospitati nell'ambiente della piattaforma dati o applicare la crittografia TLS 1.2 in transito per tutte le connessioni effettuate agli account di archiviazione. Quando eseguito correttamente, questo criterio impedisce ai team dell'applicazione dati di ospitare i servizi in uno stato non conforme all'interno dell'ambito del tenant corrispondente.

I team IT responsabili devono usare questa funzionalità della piattaforma per risolvere i problemi di sicurezza e conformità e aprire un approccio self-service all'interno delle zone di destinazione (dati).

L'analisi su scala cloud contiene criteri personalizzati correlati alla gestione delle risorse e dei costi, all'autenticazione, alla crittografia, all'isolamento della rete, alla registrazione, alla resilienza e altro ancora.

Nota

I criteri devono essere visualizzati solo come indicazioni e possono essere applicati a seconda dei requisiti aziendali. I criteri devono essere sempre applicati al massimo livello possibile e nella maggior parte dei casi si tratta di un gruppo di gestione.

Tutti i servizi

Nome del criterio Area criteri Descrizione
Deny-PublicIp Isolamento della rete Limitare la distribuzione di IP pubblici.
Deny-PrivateEndpoint-PrivateLinkServiceConnections Isolamento della rete Negare gli endpoint privati alle risorse all'esterno del tenant e della sottoscrizione di Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint Isolamento della rete Distribuisce le configurazioni di un gruppo zona DNS privato in base a un parametro per l'endpoint privato del servizio. Consente di applicare la configurazione a una singola zona DNS privato.
DiagnosticSettings-{Service}-LogAnalytics Registrazione Inviare le impostazioni di diagnostica per Azure Cosmos DB all'area di lavoro Log Analytics.

Storage

Nome del criterio Area criteri Descrizione
Append-Storage-Encryption Crittografia Applica la crittografia per gli account di archiviazione.
Deny-Storage-AllowBlobPublicAccess Isolamento della rete Non impone l'accesso pubblico a tutti i BLOB o contenitori nell'account di archiviazione.
Deny-Storage-ContainerDeleteRetentionPolicy Resilienza Applica criteri di conservazione per l'eliminazione dei contenitori superiori a sette giorni per l'account di archiviazione.
Deny-Storage-CorsRules Isolamento della rete Nega le regole cors per l'account di archiviazione.
Deny-Storage-InfrastructureEncryption Crittografia Applica la crittografia dell'infrastruttura (doppia) per gli account di archiviazione.
Deny-Storage-MinimumTlsVersion Crittografia Applica la versione minima di TLS 1.2 per l'account di archiviazione.
Deny-Storage-NetworkAclsBypass Isolamento della rete Applica il bypass di rete a nessuno per l'account di archiviazione.
Deny-Storage-NetworkAclsIpRules Isolamento della rete Applica le regole IP di rete per l'account di archiviazione.
Deny-Storage-NetworkAclsVirtualNetworkRules Isolamento della rete Nega le regole di rete virtuale per l'account di archiviazione.
Deny-Storage-Sku Gestione risorse Applica SKU degli account di archiviazione consentiti.
Deny-Storage-SupportsHttpsTrafficOnly Crittografia Applica il traffico HTTPS per l'account di archiviazione.
Deploy-Storage-BlobServices Gestione risorse Distribuisce le impostazioni predefinite dei servizi BLOB per l'account di archiviazione.
Deny-Storage-RoutingPreference Isolamento della rete
Deny-Storage-Kind Gestione risorse
Deny-Storage-NetworkAclsDefaultAction Isolamento della rete

Key Vault

Nome del criterio Area criteri Descrizione
Audit-KeyVault-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per l'insieme di credenziali delle chiavi.
Deny-KeyVault-NetworkAclsBypass Isolamento della rete Applica regole a livello di rete di bypass per l'insieme di credenziali delle chiavi.
Deny-KeyVault-NetworkAclsDefaultAction Isolamento della rete Applica l'azione predefinita a livello di acl di rete per l'insieme di credenziali delle chiavi.
Deny-KeyVault-NetworkAclsIpRules Isolamento della rete Applica le regole IP di rete per l'insieme di credenziali delle chiavi.
Deny-KeyVault-NetworkAclsVirtualNetworkRules Isolamento della rete Nega le regole di rete virtuale per l'insieme di credenziali delle chiavi.
Deny-KeyVault-PurgeProtection Resilienza Applica la protezione di ripulitura per l'insieme di credenziali delle chiavi.
Deny-KeyVault-SoftDelete Resilienza Applica l'eliminazione temporanea con un numero minimo di giorni di conservazione per l'insieme di credenziali delle chiavi.
Deny-KeyVault-TenantId Gestione risorse Applica l'ID tenant per l'insieme di credenziali delle chiavi.

Azure Data Factory

Nome del criterio Area criteri Descrizione
Append-DataFactory-IdentityType Autenticazione Impone l'uso dell'identità assegnata dal sistema per data factory.
Deny-DataFactory-ApiVersion Gestione risorse Nega la versione precedente dell'API per data factory V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork Isolamento della rete Nega i runtime di integrazione non connessi alla rete virtuale gestita.
Deny-DataFactory-LinkedServicesConnectionStringType Autenticazione Nega i segreti non Key Vault archiviati per i servizi collegati.
Deny-DataFactory-ManagedPrivateEndpoints Isolamento della rete Nega gli endpoint privati esterni per i servizi collegati.
Deny-DataFactory-PublicNetworkAccess Isolamento della rete Nega l'accesso pubblico a data factory.
Deploy-DataFactory-ManagedVirtualNetwork Isolamento della rete Distribuisce una rete virtuale gestita per data factory.
Deploy-SelfHostedIntegrationRuntime-Sharing Resilienza Condivide il runtime di integrazione self-hosted ospitato nell'hub dati con data factory nei nodi dati.

Azure Synapse Analytics

Nome del criterio Area criteri Descrizione
Append-Synapse-LinkedAccessCheckOnTargetResource Isolamento della rete Applicare LinkedAccessCheckOnTargetResource nelle impostazioni della rete virtuale gestita quando viene creata l'area di lavoro di Synapse.
Append-Synapse-Purview Isolamento della rete Impone la connessione tra l'istanza di purview centrale e l'area di lavoro Synapse.
Append-SynapseSpark-ComputeIsolation Gestione risorse Quando viene creato un pool di Spark Synapse senza isolamento di calcolo, questo lo aggiunge.
Append-SynapseSpark-DefaultSparkLogFolder Registrazione Quando viene creato un pool Synapse Spark senza registrazione, in questo modo viene aggiunto.
Append-SynapseSpark-SessionLevelPackages Gestione risorse Quando viene creato un pool di Spark Synapse senza pacchetti a livello di sessione, questi vengono quindi aggiunti.
Audit-Synapse-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking Isolamento della rete
Deny-Synapse-Firewall Isolamento della rete Configurare il firewall di Synapse.
Deny-Synapse-ManagedVirtualNetwork Isolamento della rete Quando viene creata un'area di lavoro Synapse senza rete virtuale gestita, essa viene aggiunta.
Deny-Synapse-PreventDataExfiltration Isolamento della rete Prevenzione applicata dell'esfiltrazione dei dati per la rete virtuale gestita di Synapse.
Deny-SynapsePrivateLinkHub Isolamento della rete Nega l'hub di collegamento privato di Azure Synapse.
Deny-SynapseSpark-AutoPause Gestione risorse Applica la sospensione automatica per i pool Synapse Spark.
Deny-SynapseSpark-AutoScale Gestione risorse Applica la scalabilità automatica per i pool Synapse Spark.
Deny-SynapseSql-Sku Gestione risorse Nega determinati SKU del pool SQL Synapse.
Deploy-SynapseSql-AuditingSettings Registrazione Invia i log di controllo per i pool SQL Synapse a Log Analytics.
Deploy-SynapseSql-MetadataSynch Gestione risorse Configurare la sincronizzazione dei metadati per i pool Synapse SQL.
Deploy-SynapseSql-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso di sicurezza del pool SQL di Synapse.
Deploy-SynapseSql-TransparentDataEncryption Crittografia Distribuisce la crittografia dei dati trasparente di Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment Registrazione Distribuisce le valutazioni delle vulnerabilità del pool Synapse SQL.

Azure Databricks

Nome del criterio Area criteri Descrizione
Append-Databricks-PublicIp Isolamento della rete Non impone l'accesso pubblico alle aree di lavoro di Databricks.
Deny-Databricks-Sku Gestione risorse Negare lo SKU non-premium di Databricks.
Deny-Databricks-VirtualNetwork Isolamento della rete Impedisci la distribuzione della rete non virtuale per Databricks.

Altri criteri applicati nell'area di lavoro di Databricks tramite i criteri del cluster:

Nome dei criteri cluster Area criteri
Limitare la versione di Spark Gestione risorse
Limitare le dimensioni del cluster e i tipi di VM Gestione risorse
Applicare l'assegnazione di tag ai costi Gestione risorse
Applicare la scalabilità automatica Gestione risorse
Imponi sospensione automatica Gestione risorse
Limitare le unità Databricks all'ora Gestione risorse
Negare SSH pubblico Autenticazione
Controllare se il pass-through delle credenziali è abilitato Autenticazione
Consentire l'isolamento del processo Isolamento della rete
Applicare il monitoraggio Spark Registrazione
Applicare i log del cluster Registrazione
Consentire solo SQL, Python Gestione delle risorse
Rifiutare script di installazione aggiuntivi Gestione delle risorse

Hub IoT di Azure

Nome del criterio Area criteri Descrizione
Append-IotHub-MinimalTlsVersion Crittografia Applica la versione minima di TLS per l'hub iot.
Audit-IotHub-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli hub iot.
Deny-IotHub-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per l'hub iot.
Deny-IotHub-Sku Gestione risorse Applica gli SKU dell'hub iot.
Deploy-IotHub-IoTSecuritySolutions Sicurezza Distribuisce Microsoft Defender per IoT per gli hub IoT.

Hub eventi di Azure

Nome del criterio Area criteri Descrizione
Deny-EventHub-Ipfilterrules Isolamento della rete Nega l'aggiunta di regole di filtro IP per gli hub eventi di Azure.
Deny-EventHub-MaximumThroughputUnits Isolamento della rete Nega l'accesso alla rete pubblica per i server SQL.
Deny-EventHub-NetworkRuleSet Isolamento della rete Applica le regole di rete virtuale predefinite per Hub eventi di Azure.
Deny-EventHub-Sku Gestione risorse Nega determinati AKU per gli Hub eventi di Azure.
Deny-EventHub-Virtualnetworkrules Isolamento della rete Nega l'applicazione delle regole di rete virtuale predefinite per gli Hub eventi di Azure.

Analisi di flusso di Azure

Nome del criterio Area criteri Descrizione
Append-StreamAnalytics-IdentityType Autenticazione Impone l'uso dell'identità assegnata dal sistema per l'analisi del flusso dei dati.
Deny-StreamAnalytics-ClusterId Gestione risorse Impone l'uso del cluster di analisi di flusso.
Deny-StreamAnalytics-StreamingUnits Gestione risorse Applica il numero di unità di streaming di Analisi di flusso.

Esplora dati di Azure

Nome del criterio Area criteri Descrizione
Deny-DataExplorer-DiskEncryption Crittografia Impone l'uso della crittografia del disco per Esplora dati.
Deny-DataExplorer-DoubleEncryption Crittografia Impone l'uso della crittografia doppia per Esplora dati.
Deny-DataExplorer-Identity Autenticazione Impone l'uso dell'identità assegnata dal sistema o dall'utente per Esplora dati.
Deny-DataExplorer-Sku Gestione risorse Applica gli SKU di Esplora dati.
Deny-DataExplorer-TrustedExternalTenants Isolamento della rete Nega i tenant esterni per Esplora dati.
Deny-DataExplorer-VirtualNetworkConfiguration Isolamento della rete Applica l'inserimento della rete virtuale per Esplora dati.

Azure Cosmos DB

Nome del criterio Area criteri Descrizione
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess Autenticazione Negare l'accesso in scrittura ai metadati basati su chiavi per gli account Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess Isolamento della rete Non applica l'accesso alla rete pubblica per gli account Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId Isolamento della rete Controllare gli endpoint pubblici creati in altre sottoscrizioni per Azure Cosmos DB.
Deny-Cosmos-Cors Isolamento della rete Nega le regole CORS per gli account Azure Cosmos DB."
Deny-Cosmos-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per gli account Azure Cosmos DB.

Registro Azure Container

Nome del criterio Area criteri Descrizione
Audit-ContainerRegistry-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi.
Deny-ContainerRegistry-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per il registro contenitori.
Deny-ContainerRegistry-Sku Gestione risorse Applica lo SKU Premium per il registro contenitori.

Servizi cognitivi di Azure

Nome del criterio Area criteri Descrizione
Append-CognitiveServices-IdentityType Autenticazione Impone l'uso dell'identità assegnata dal sistema per i servizi cognitivi.
Audit-CognitiveServices-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per i servizi cognitivi.
Deny-CognitiveServices-Encryption Crittografia Applica l'uso della crittografia per i servizi cognitivi.
Deny-CognitiveServices-PublicNetworkAccess Isolamento della rete Non impone l'accesso alla rete pubblica per i servizi cognitivi.
Deny-CognitiveServices-Sku Gestione risorse Nega lo SKU gratuito dei servizi cognitivi.
Deny-CognitiveServices-UserOwnedStorage Isolamento della rete Applica l'archiviazione di proprietà dell'utente per i servizi cognitivi.

Azure Machine Learning

Nome del criterio Area criteri Descrizione
Append-MachineLearning-PublicAccessWhenBehindVnet Isolamento della rete Negare l'accesso pubblico tramite la rete virtuale per le aree di lavoro di Machine Learning.
Audit-MachineLearning-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per l'apprendimento automatico.
Deny-MachineLearning-HbiWorkspace Isolamento della rete Applica aree di lavoro di apprendimento automatico ad alto impatto aziendale in tutto l'ambiente.
Deny-MachineLearningAks Gestione risorse Nega la creazione del servizio AKS (non il collegamento) nell'apprendimento automatico.
Deny-MachineLearningCompute-SubnetId Isolamento della rete Nega l'indirizzo IP pubblico per le istanze e i cluster di elaborazione dell'apprendimento automatico.
Deny-MachineLearningCompute-VmSize Gestione risorse Limita le dimensioni delle VM consentite per le istanze e i cluster di elaborazione dell'apprendimento automatico.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess Isolamento della rete Nega l'accesso pubblico ai cluster tramite SSH.
Deny-MachineLearningComputeCluster-Scale Gestione risorse Applica le impostazioni di scalabilità per i cluster di elaborazione dell'apprendimento automatico.

Istanza gestita di SQL di Azure

Nome del criterio Area criteri Descrizione
Append-SqlManagedInstance-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i server dell'istanza gestita di SQL.
Deny-SqlManagedInstance-PublicDataEndpoint Isolamento della rete Nega l'endpoint dati pubblico per le istanze gestite di SQL.
Deny-SqlManagedInstance-Sku Gestione risorse
Deny-SqlManagedInstance-SubnetId Isolamento della rete Applica le distribuzioni alle subnet delle istanze gestite di SQL.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications Autenticazione Applica l'autenticazione solo Entra di Microsoft per Istanza gestita di SQL.
Deploy-SqlManagedInstance-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso dell'istanza gestita di SQL.
Deploy-SqlManagedInstance-VulnerabilityAssessment Registrazione Distribuisce le valutazioni della vulnerabilità dell'istanza gestita di SQL.

Database SQL di Azure

Nome del criterio Area criteri Descrizione
Append-Sql-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i server SQL.
Audit-Sql-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per gli Azure SQL.
Deny-Sql-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per i server SQL.
Deny-Sql-StorageAccountType Resilienza Applica il backup del database con ridondanza geografica.
Deploy-Sql-AuditingSettings Registrazione Distribuisce le impostazioni di controllo SQL.
Deploy-Sql-AzureAdOnlyAuthentications Autenticazione Applica l'autenticazione solo Entra di Microsoft per SQL Server.
Deploy-Sql-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso di sicurezza SQL.
Deploy-Sql-TransparentDataEncryption Crittografia Distribuisce la crittografia dei dati trasparente di SQL.
Deploy-Sql-VulnerabilityAssessment Registrazione Distribuisce le valutazioni della vulnerabilità di SQL.
Deploy-SqlDw-AuditingSettings Registrazione Distribuisce le impostazioni di controllo DW SQL.

Database di Azure per MariaDB

Nome del criterio Area criteri Descrizione
Append-MariaDb-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i server MariaDB.
Audit-MariaDb-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per MariaDB.
Deny-MariaDb-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per i server MariaDB.
Deny-MariaDb-StorageProfile Resilienza Applica il backup del database con ridondanza geografica con tempo di conservazione minimo in giorni.
Deploy-MariaDb-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso di sicurezza SQL per MariaDB

Database di Azure per MySQL

Nome del criterio Area criteri Descrizione
Append-MySQL-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i server MySQL.
Audit-MySql-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per MySQL.
Deny-MySQL-InfrastructureEncryption Crittografia Applica la crittografia dell'infrastruttura per i server MySQL.
Deny-MySQL-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per i server MySQL.
Deny-MySql-StorageProfile Resilienza Applica il backup del database con ridondanza geografica con tempo di conservazione minimo in giorni.
Deploy-MySql-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso di sicurezza SQL per MySQL.

Database di Azure per PostgreSQL

Nome del criterio Area criteri Descrizione
Append-PostgreSQL-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i server PostgreSQL.
Audit-PostgreSql-PrivateEndpointId Isolamento della rete Controlla gli endpoint pubblici creati in altre sottoscrizioni per PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption Crittografia Applica la crittografia dell'infrastruttura per i server PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per i server PostgreSQL.
Deny-PostgreSql-StorageProfile Resilienza Applica il backup del database con ridondanza geografica con tempo di conservazione minimo in giorni.
Deploy-PostgreSql-SecurityAlertPolicies Registrazione Distribuisce i criteri di avviso di sicurezza SQL per PostgreSQL.
Nome del criterio Area criteri Descrizione
Append-Search-IdentityType Autenticazione Applica l'uso dell'identità assegnata dal sistema per Ricerca di intelligenza artificiale di Azure.
Audit-Search-PrivateEndpointId Isolamento della rete Controllare gli endpoint pubblici creati in altre sottoscrizioni per Ricerca di intelligenza artificiale di Azure.
Deny-Search-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per Ricerca di intelligenza artificiale di Azure.
Deny-Search-Sku Gestione risorse Applica gli SKU di Ricerca intelligenza artificiale di Azure.

DNS Azure

Nome del criterio Area criteri Descrizione
Deny-PrivateDnsZones Gestione risorse Limita la distribuzione di zone DNS private per evitare la proliferazione.

Gruppo di sicurezza di rete

Nome del criterio Area criteri Descrizione
Deploy-Nsg-FlowLogs Registrazione Distribuisce i log dei flussi NSG e l'analisi del traffico.

Batch

Nome del criterio Area criteri Descrizione
Deny-Batch-InboundNatPools Isolamento della rete Nega i pool NAT in ingresso per i pool di macchine virtuali dell'account batch.
Deny-Batch-NetworkConfiguration Isolamento della rete Nega gli indirizzi IP pubblici per i pool di macchine virtuali dell'account batch.
Deny-Batch-PublicNetworkAccess Isolamento della rete Nega l'accesso alla rete pubblica per gli account batch.
Deny-Batch-Scale Gestione risorse Nega determinate configurazioni di scalabilità per i pool di macchine virtuali dell'account batch.
Deny-Batch-VmSize Gestione risorse Nega determinate dimensioni di macchina virtuale per i pool di macchine virtuali dell'account batch.

Cache Redis di Azure

Nome del criterio Area criteri Descrizione
Deny-Cache-Enterprise Gestione risorse Nega l'accesso alla cache Redis Enterprise.
Deny-Cache-FirewallRules Isolamento della rete Nega le regole del firewall per Cache Redis.
Deny-Cache-MinimumTlsVersion Crittografia Applica la versione minima di TLS per Cache Redis.
Deny-Cache-NonSslPort Isolamento della rete Impone la disattivazione della porta non SSL per Cache Redis.
Deny-Cache-PublicNetworkAccess Isolamento della rete Non impone l'accesso alla rete pubblica per Cache Redis.
Deny-Cache-Sku Gestione risorse Applica alcuni SKU per Cache Redis.
Deny-Cache-VnetInjection Isolamento della rete Impone l'uso di endpoint privati e nega la connessione di rete virtuale per Cache Redis.

Istanze di Container

Nome del criterio Area criteri Descrizione
Deny-ContainerInstance-PublicIpAddress Isolamento della rete Nega le istanze del contenitore pubbliche create da Azure Machine Learning.

Firewall di Azure

Nome del criterio Area criteri Descrizione
Deny-Firewall Gestione risorse Limita la distribuzione di Firewall di Azure per evitare la proliferazione.

HDInsight

Nome del criterio Area criteri Descrizione
Deny-HdInsight-EncryptionAtHost Crittografia Applica la crittografia nell'host per i cluster HDInsight.
Deny-HdInsight-EncryptionInTransit Crittografia Applica la crittografia in transito per i cluster HDInsight.
Deny-HdInsight-MinimalTlsVersion Crittografia Applica la versione minima di TLS per i cluster HDInsight.
Deny-HdInsight-NetworkProperties Isolamento della rete Applica l'abilitazione del collegamento privato per i cluster HDInsight.
Deny-HdInsight-Sku Applica alcuni SKU per i cluster HDInsight.
Deny-HdInsight-VirtualNetworkProfile Isolamento della rete Applica l'inserimento di reti virtuali per i cluster HDInsight.

Power BI

Nome del criterio Area criteri Descrizione
Deny-PrivateLinkServicesForPowerBI Gestione risorse Limita la distribuzione dei servizi di collegamento privato Power BI evitare la proliferazione.

Passaggi successivi