Použití Azure Policy k auditování dodržování předpisů minimální verze protokolu TLS pro obor názvů Azure Service Bus

  • Článek

Pokud máte velký počet Microsoft Azure Service Bus oborů názvů, můžete provést audit, abyste měli jistotu, že jsou všechny obory názvů nakonfigurované pro minimální verzi protokolu TLS, kterou vaše organizace vyžaduje. Pokud chcete auditovat sadu oborů názvů služby Service Bus z důvodu dodržování předpisů, použijte Azure Policy. Azure Policy je služba, kterou můžete použít k vytváření, přiřazování a správě zásad, které aplikují pravidla na prostředky Azure. Azure Policy vám pomůže udržovat tyto prostředky v souladu s vašimi firemními standardy a smlouvami o úrovni služeb. Další informace najdete v tématu Přehled Azure Policy.

Vytvoření zásady s efektem auditování

Azure Policy podporuje účinky, které určují, co se stane, když se pravidlo zásady vyhodnotí s prostředkem. Efekt auditu vytvoří upozornění, když prostředek nedodržuje předpisy, ale nezastaví požadavek. Další informace o efektech najdete v tématu Principy Azure Policy efektů.

Pokud chcete vytvořit zásadu s efektem auditu pro minimální verzi protokolu TLS s Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.

  2. V části Vytváření obsahu vyberte Definice.

  3. Vyberte Přidat definici zásad a vytvořte novou definici zásad.

  4. V poli Umístění definice vyberte tlačítko Další a určete, kde se nachází prostředek zásad auditu.

  5. Zadejte název zásady. Volitelně můžete zadat popis a kategorii.

  6. V části Pravidlo zásad přidejte do části policyRule následující definici zásad.

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Uložte zásady.

Přiřazení zásady

Dále přiřaďte zásadu k prostředku. Rozsah zásady odpovídá danému prostředku a všem prostředkům pod ním. Další informace o přiřazení zásad najdete v tématu Azure Policy struktura přiřazení.

Chcete-li přiřadit zásadu s Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.
  2. V části Vytváření obsahu vyberte Přiřazení.
  3. Vyberte Přiřadit zásadu a vytvořte nové přiřazení zásad.
  4. V poli Obor vyberte obor přiřazení zásad.
  5. V poli Definice zásad vyberte tlačítko Další a pak ze seznamu vyberte zásadu, kterou jste definovali v předchozí části.
  6. Zadejte název přiřazení zásad. Popis je volitelný.
  7. Vynucování zásad ponechte nastavené na Povoleno. Toto nastavení nemá žádný vliv na zásady auditu.
  8. Vyberte Zkontrolovat a vytvořit a vytvořte zadání.

Zobrazení sestavy dodržování předpisů

Po přiřazení zásad můžete zobrazit sestavu dodržování předpisů. Sestava dodržování předpisů pro zásady auditu poskytuje informace o tom, které obory názvů služby Service Bus nejsou v souladu se zásadou. Další informace najdete v tématu Získání dat dodržování předpisů zásad.

Po vytvoření přiřazení zásad může trvat několik minut, než se sestava dodržování předpisů zpřístupní.

Pokud chcete zobrazit sestavu dodržování předpisů v Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.
  2. Vyberte Dodržování předpisů.
  3. Ve výsledcích vyfiltrujte název přiřazení zásad, které jste vytvořili v předchozím kroku. Sestava ukazuje, kolik prostředků není v souladu se zásadou.
  4. K podrobnostem sestavy můžete přejít k podrobnostem, včetně seznamu oborů názvů služby Service Bus, které nedodržují předpisy.

Použití Azure Policy k vynucení minimální verze protokolu TLS

Azure Policy podporuje zásady správného řízení v cloudu tím, že zajišťuje, aby prostředky Azure dodržovaly požadavky a standardy. Pokud chcete vynutit minimální požadavek na verzi protokolu TLS pro obory názvů služby Service Bus ve vaší organizaci, můžete vytvořit zásadu, která zabrání vytvoření nového oboru názvů služby Service Bus, která nastaví minimální požadavek na protokol TLS na starší verzi protokolu TLS, než je diktovaná zásadami. Tato zásada také zabrání všem změnám konfigurace existujícího oboru názvů, pokud nastavení minimální verze protokolu TLS pro tento obor názvů nevyhovuje zásadám.

Zásady vynucování používají efekt zamítnutí, aby zabránily požadavku, který by vytvořil nebo upravil obor názvů služby Service Bus tak, aby minimální verze protokolu TLS už nedodržovala standardy vaší organizace. Další informace o efektech najdete v tématu Principy Azure Policy efektů.

Pokud chcete vytvořit zásadu s účinkem zamítnutí pro minimální verzi protokolu TLS, která je menší než TLS 1.2, zadejte následující kód JSON v části policyRule definice zásady:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Jakmile vytvoříte zásadu s efektem odepření a přiřadíte ji k oboru, uživatel nemůže vytvořit obor názvů služby Service Bus s minimální verzí protokolu TLS, která je starší než 1.2. Uživatel také nemůže provádět žádné změny konfigurace existujícího oboru názvů služby Service Bus, který aktuálně vyžaduje minimální verzi protokolu TLS starší než 1.2. Pokud se o to pokusíte, dojde k chybě. Aby bylo možné pokračovat ve vytváření nebo konfiguraci oboru názvů, musí být požadovaná minimální verze protokolu TLS pro obor názvů služby Service Bus nastavená na 1.2.

Pokud se pokusíte vytvořit obor názvů služby Service Bus s minimální verzí protokolu TLS nastavenou na TLS 1.0, zobrazí se chyba, pokud zásada s efektem zamítnutí vyžaduje, aby minimální verze protokolu TLS byla nastavena na protokol TLS 1.2.

Další kroky

Další informace najdete v následující dokumentaci.