Ingebouwde Azure Policy-definities voor Azure Container Registry
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Container Registry. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Container Registry
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Container Registry moet zone-redundant zijn | Container Registry kan worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundancy voor een Container Registry is ingesteld op Uitgeschakeld, betekent dit dat het register niet zoneredundant is. Door dit beleid af te dwingen, zorgt u ervoor dat uw Container Registry op de juiste wijze is geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Container Registry moet een service-eindpunt voor een virtueel netwerk gebruiken | Met dit beleid worden alle exemplaren van Container Registry gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0-preview |
| Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Configureer containerregisters om anonieme verificatie uit te schakelen. | Schakel anonieme pull uit voor uw register, zodat gegevens niet toegankelijk zijn voor niet-geverifieerde gebruikers. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om verificatie van ARM-doelgroeptoken uit te schakelen. | Schakel Azure Active Directory ARM-doelgroeptokens uit voor verificatie bij uw register. Alleen ACR-doelgroeptokens (Azure Container Registry) worden gebruikt voor verificatie. Dit zorgt ervoor dat alleen tokens die zijn bedoeld voor gebruik in het register, kunnen worden gebruikt voor verificatie. Het uitschakelen van ARM-doelgroeptokens heeft geen invloed op de verificatie van de gebruiker of het bereik van toegangstokens van de beheerder. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om het lokale beheerdersaccount uit te schakelen. | Schakel het beheerdersaccount voor uw register uit, zodat het niet toegankelijk is voor de lokale beheerder. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.1 |
| Containerregisters configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Container Registry-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Meer informatie op https://aka.ms/acr/portal/public-network en https://aka.ms/acr/private-link. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om het bereiktoken voor opslagplaatsen uit te schakelen. | Schakel toegangstokens voor het bereik van de opslagplaats uit voor uw register, zodat opslagplaatsen niet toegankelijk zijn voor tokens. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Containerregisters configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw premium containerregisterbronnen, kunt u risico's voor gegevenslekken verminderen. Meer informatie vindt u op: https://aka.ms/privateendpoints en https://aka.ms/acr/private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
| Voor containerregisters moet anonieme verificatie zijn uitgeschakeld. | Schakel anonieme pull uit voor uw register, zodat gegevens niet toegankelijk zijn voor niet-geverifieerde gebruikers. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten arm-doelgroeptokenverificatie hebben uitgeschakeld. | Schakel Azure Active Directory ARM-doelgroeptokens uit voor verificatie bij uw register. Alleen ACR-doelgroeptokens (Azure Container Registry) worden gebruikt voor verificatie. Dit zorgt ervoor dat alleen tokens die zijn bedoeld voor gebruik in het register, kunnen worden gebruikt voor verificatie. Het uitschakelen van ARM-doelgroeptokens heeft geen invloed op de verificatie van de gebruiker of het bereik van toegangstokens van de beheerder. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor containerregisters moeten exports zijn uitgeschakeld | Het uitschakelen van exports verbetert de beveiliging door ervoor te zorgen dat gegevens in een register alleen toegankelijk zijn via het dataplane ('docker pull'). Gegevens kunnen niet uit het register worden verplaatst via 'acr import' of via 'acr transfer'. Als u exports wilt uitschakelen, moet openbare netwerktoegang worden uitgeschakeld. Zie voor meer informatie: https://aka.ms/acr/export-policy. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten het lokale beheerdersaccount hebben uitgeschakeld. | Schakel het beheerdersaccount voor uw register uit, zodat het niet toegankelijk is voor de lokale beheerder. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Containerregisters moeten het bereiktoken voor opslagplaatsen hebben uitgeschakeld. | Schakel toegangstokens voor het bereik van de opslagplaats uit voor uw register, zodat opslagplaatsen niet toegankelijk zijn voor tokens. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten SKU's hebben die ondersteuning bieden voor Privékoppelingen | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten voorkomen dat cacheregels worden gemaakt | Schakel het maken van cacheregels voor uw Azure Container Registry uit om te voorkomen dat er pull-gegevens worden opgehaald uit de cache. Zie voor meer informatie: https://aka.ms/acr/cache. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/registries) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/-registers) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/registries) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor containerregisters | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat containerregisters niet worden weergegeven op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van containerregisterbronnen beperken. Meer informatie vindt u op: https://aka.ms/acr/portal/public-network en https://aka.ms/acr/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Volgende stappen
- Zie richtlijnen voor het toewijzen van beleidsregels en het controleren van naleving.
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.