Aqui está uma lista de políticas sugeridas que você pode aplicar em seu ambiente para ajudar em sua abordagem de governança.
SKUs de tamanho de máquina virtual permitidos: Esta política permite que você especifique um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Locais permitidos: Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para fazer cumprir seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região 'global'.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Locais permitidos para grupos de recursos: Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Tipos de recursos permitidos: Esta política permite que você especifique os tipos de recursos que sua organização pode implantar. Apenas os tipos de recursos que suportam 'tags' e 'localização' serão afetados por esta política. Para restringir todos os recursos, duplique esta política e altere o 'modo' para 'Todos'.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Auditar se a localização do recurso corresponde à localização do grupo de recursos: Audite se a localização do recurso corresponde à localização do grupo de recursos.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Auditar o uso de regras RBAC personalizadas: Auditar funções integradas, como 'Proprietário, Contribuidor, Leitor' em vez de funções RBAC personalizadas, que são sujeitas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma análise rigorosa e modelagem de ameaças.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
As funções customizadas de proprietário de assinatura não devem existir: Esta política garante que nenhuma função customizada de proprietário de assinatura exista.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Tipos de recursos não permitidos: Restrinja os tipos de recursos que podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente, ao mesmo tempo que ajuda a gerenciar os custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
✔️ Observe que se você decidir habilitar as iniciativas internas da Central de Segurança do Azure, fique atento a conflitos sobrepostos. Veja aqui as definições internas da Política do Azure para a Central de Segurança do Azure
No máximo 3 proprietários devem ser designados para sua assinatura: Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
MFA deve ser habilitado em contas com permissões de proprietário em sua assinatura: Multi-Factor Authentication (MFA) deve ser habilitado para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
As assinaturas devem ter um endereço de e-mail de contato para questões de segurança: Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma de suas assinaturas, defina um contato de segurança para receber notificações por e-mail da Central de Segurança.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Deve haver mais de um proprietário atribuído à sua assinatura: Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Exigir uma tag em grupos de recursos: Impõe a existência de uma tag em grupos de recursos.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
Herdar uma tag do grupo de recursos se ausente: Adiciona a tag especificada com seu valor do grupo de recursos pai quando qualquer recurso sem esta tag é criado ou atualizado. Os recursos existentes podem ser corrigidos acionando uma tarefa de correção. Se a tag existir com um valor diferente, ela não será alterada.
| Clique aqui para ver no portal do Azure | Clique aqui para ver o arquivo JSON |
|---|
| Anterior | Próximo |
|---|---|
| Azure Policy Best Practices | ARM Templates |