Auditar a conformidade dos recursos do Serviço do Azure SignalR usando o Azure Policy
O Azure Policy é um serviço no Azure que você pode usar para criar, atribuir e gerenciar políticas. Essas políticas impõem diferentes regras e efeitos sobre os recursos para que esses recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço.
Este artigo apresenta políticas internas (versão prévia) para o Serviço do Azure SignalR. Use essas políticas para auditar is recursos do SignalR novos e existentes para fins de conformidade.
Não há nenhum custo associado ao uso do Azure Policy.
Definições de políticas internas
As definições das políticas internas a seguir são específicas do Serviço do Azure SignalR:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço do Azure SignalR deverá desabilitar o acesso à rede pública | Para aprimorar a segurança do recurso do Serviço do Azure SignalR, verifique se ele não está exposto à uma Internet pública e pode ser acessado somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/asrs/networkacls. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Audit, Deny, desabilitado | 1.1.0 |
| O serviço do Azure SignalR deve habilitar logs de diagnóstico | Habilitação da auditoria de logs de diagnóstico. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure SignalR Service deve ter os métodos de autenticação local desabilitados | Desabilitar os métodos de autenticação local melhora a segurança, garantindo que o Azure SignalR Service exija identidades do Azure Active Directory exclusivamente para autenticação. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deverá usar um SKU habilitado para Link Privado | O Link Privado do Azure permite conectar sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Isso protegerá seus recursos contra riscos de vazamento público de dados. A política limitará você aos SKUs habilitados para Link Privado para o Serviço do Azure SignalR. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Configurar o Serviço do Azure SignalR para desabilitar a autenticação local | Desabilite os métodos de autenticação locais para que o Serviço do Azure SignalR exija de modo exclusivo as identidades do Azure Active Directory para autenticação. | Modificar, Desabilitado | 1.0.0 |
| Configurar pontos de extremidade privados para o Serviço do Azure SignalR | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para recursos do Serviço do Azure SignalR, poderá reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/asrs/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar – Configurar zonas DNS privadas para que pontos de extremidade privados se conectem ao Serviço do Azure SignalR | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço do Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
| Modificar recursos do Serviço do Azure SignalR para desabilitar o acesso à rede pública | Para aprimorar a segurança do recurso do Serviço do Azure SignalR, verifique se ele não está exposto à uma Internet pública e pode ser acessado somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/asrs/networkacls. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Modificar, Desabilitado | 1.1.0 |
Atribuir definições de políticas
- Atribua definições de políticas usando o portal do Azure, a CLI do Azure, um modelo do Resource Managerou os SDKs do Azure Policy.
- Defina o escopo de uma atribuição de política a um grupo de recursos, uma assinatura ou um grupo de gerenciamento do Azure. As atribuições de políticas do SignalR aplicam-se a recursos do SignalR novos e existentes dentro do escopo.
- Habilite ou desabilite a imposição de políticas a qualquer momento.
Observação
Depois de atribuir ou atualizar uma política, levará algum tempo para que a atribuição seja aplicada aos recursos no escopo definido. Veja informações sobre os gatilhos de avaliação de políticas.
Revisar a conformidade da política
Acesse as informações de conformidade geradas por suas atribuições de políticas usando o portal do Azure, as ferramentas de linha de comando do Azure ou os SDKs do Azure Policy. Para obter mais detalhes, veja Obter dados de conformidade de recursos do Azure.
Quando um recurso não está em conformidade, há muitos motivos possíveis. Para determinar o motivo ou para localizar a alteração responsável, veja Determinar a não conformidade.
Conformidade de política no portal:
Selecione Todos os serviços e procure por Política.
Selecione Conformidade.
Usar os filtros para limitar os estados de conformidade ou para procurar políticas
Selecione uma política para revisar os detalhes e os eventos de conformidade agregada. Se desejar, selecione um SignalR específico para a conformidade de recursos.
Conformidade da política na CLI do Azure
Também é possível usar a CLI do Azure para obter dados de conformidade. Por exemplo, use o comando az policy assignment list na CLI para obter as IDs das políticas do Serviço do Azure SignalR que são aplicadas:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Saída de exemplo:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Em seguida, execute az policy state list para retornar o estado de conformidade formatado em JSON para todos os recursos em um grupo de recursos específico:
az policy state list --g <resourceGroup>
Ou execute az policy state list para retornar o estado de conformidade formatado em JSON de um recurso do SignalR específico:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Próximas etapas
Saiba mais sobre as definições e os efeitos do Azure Policy
Criar uma definição de política personalizada
Saiba mais sobre os recursos de governança no Azure