功能
写入台账的内容。
-
Azure Policy 漂移
辅助收集器将分配与豁免与上一基线进行差异对比,让您看清哪些内容发生了变动、何时变动以及在哪个范围变动。
-
例外台账
每个被接受的偏差都会记录所有者、审批人、到期日期和留档原因——映射到 CIS Azure 与 ISO 27001:2022 A.8.9。
-
Defender for Cloud 映射
推荐项会附带其所影响的控制项名称(而非原始推荐 ID),并加上落地区域的偏差标记。
-
RBAC 与标签漂移
每个订阅每日对比角色分配和资源标签变更,使访问与标签的漂移集中浮现。
-
暴露模式检测
面向互联网的公共 IP、存储账户以及放大的 Key Vault 访问都会依据 ISO 27001:2022 A.8.20 进行标记。
-
月度审计包
签名后的导出文件存放在 Cloudflare R2,并附限时下载链接——一份文件记录漂移内容及签核人。
产品内
Guardrail Ledger 内部。
产品界面截图——仪表板与登录页。
工作原理。
-
连接您的订阅
协助式收集器设置授予对 Azure Policy、豁免、RBAC 和标记的只读访问权限。不会向您的环境写入任何内容。
-
检测到偏差并进行路由
每次扫描都会将当前状态与上一个基线进行比较。新的偏差和 Defender 发现会映射到控制项,偏差摘要会打开 ITSM 工单。
-
异常与审计记录归位
已接受的偏差将连同所有者、审批人和到期时间一并录入异常分类账。月末,一份已签署的审计包将准备就绪,以供您的审计师使用。
价格。
包含在 Cloud Horizons Growth 和 Business 中。只读收集器——不按资源计费。
Guardrail Ledger 作为 Cloud Horizons 模块提供——包含在 Cloud Horizons Growth 和 Business 计划中,不单独出售。 查看 Cloud Horizons 价格
常见问题。
-
收集器数据存储在哪里?
只读扫描结果和分类账记录在欧盟地区处理。每月审计包写入 Cloudflare R2,并提供已签名、有时限的下载 URL。收集器永远不会向您的 Azure 订阅写回数据。
-
登录是如何工作的?
Guardrail Ledger 通过 Spot Suite OIDC 使用 Microsoft Entra SSO。您的团队使用工作帐户登录并进入您的客户环境——无需单独的用户名数据库。
-
它映射到哪些合规框架?
偏差和异常映射到 CIS Azure Foundations、ISO 27001:2022、NIS2 第 21 条以及 DORA RTS 变更管理条款。Defender 建议和登陆区域偏差包含控制项名称,而不仅仅是 Azure 资源 ID。
-
30 天试用包含哪些内容?
Guardrail Ledger 包含在 Cloud Horizons Growth 和 Business 中——这些计划的 30 天试用无需信用卡,涵盖偏差监控、异常分类账和每月审计包。Starter 计划不包含治理模块。