Conformidade de auditoria de recursos do serviço Azure Web PubSub usando a Azure Policy
Azure Policy é um serviço gratuito do Azure para criar, atribuir e gerenciar políticas que impõem regras e efeitos para garantir que seus recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço. Use essas políticas para auditar a conformidade dos recursos do Web PubSub.
Este artigo descreve as políticas internas do serviço Azure Web PubSub.
Definições de políticas internas
A tabela a seguir contém um índice de definições de políticas internas do Azure Policy para o Azure Web PubSub. Para saber mais sobre as políticas internas do Azure Policy para outros serviços, consulte Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub do Azure Policy .
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço Web PubSub do Azure deve desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o serviço Azure Web PubSub não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/networkacls. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço Azure Web PubSub deve habilitar logs de diagnóstico | Habilitação da auditoria de logs de diagnóstico. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço Azure Web PubSub deve ter os métodos de autenticação locais desativados | A desativação dos métodos de autenticação locais melhora a segurança, garantindo que o Serviço Azure Web PubSub exija exclusivamente identidades do Microsoft Azure AD para autenticação. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço Web PubSub do Azure deve usar uma SKU que dá suporte a links privados | Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Se você mapear os pontos de extremidade privados para o serviço Azure Web PubSub, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Configurar o Serviço Azure Web PubSub para desativar a autenticação local | Desative os métodos de autenticação locais para que o Serviço Azure Web PubSub exija exclusivamente identidades do Microsoft Azure AD para autenticação. | Modificar, Desabilitado | 1.0.0 |
| Configurar o serviço Azure Web PubSub para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso do Azure Web PubSub para Redis para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/awps/networkacls. | Modificar, Desabilitado | 1.0.0 |
| Configurar o serviço Azure Web PubSub para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o serviço Azure Web PubSub com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para o serviço Azure Web PubSub, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
Atribuir definições de políticas
Ao atribuir uma definição de política:
- Você pode atribuir definições de política usando o portal do Microsoft Azure, CLI do Azure, um modelo do Resource Manager ou os SDKs do Azure Policy.
- As atribuições de políticas podem ter escopo para um grupo de recursos, uma assinatura ou um grupo de gerenciamento do Azure.
- Você pode habilitar ou desabilitar a imposição de política a qualquer momento.
- As atribuições de política do Azure Web PubSub se aplicam a recursos existentes e novos do Azure Web PubSub dentro do escopo.
Observação
Depois de atribuir ou atualizar uma política, levará algum tempo para que a atribuição seja aplicada aos recursos no escopo definido. Veja informações sobre os gatilhos de avaliação de políticas.
Revisar a conformidade da política
Acesse as informações de conformidade geradas por suas atribuições de políticas usando o portal do Azure, as ferramentas de linha de comando do Azure ou os SDKs do Azure Policy. Para obter mais detalhes, veja Obter dados de conformidade de recursos do Azure.
Quando um recurso não está em conformidade, há muitos motivos possíveis. Para determinar o motivo ou para localizar a alteração responsável, veja Determinar a não conformidade.
Conformidade de política no portal:
- Abra o portal do Microsoft Azure e pesquisa por Policy.
- Selecione Policy.
- Selecione Conformidade.
- Use os filtros para exibir por Escopo, Tipo ou Estado de Conformidade. Use a lista de pesquisa por nome ou ID.
- Selecione uma política para revisar os detalhes e os eventos de conformidade agregada.
- Selecione um Web PubSub específico para conformidade de recursos.
Conformidade da política na CLI do Azure
Você pode usar a CLI do Azure para obter dados de conformidade. Use o comando az policy assignment list para obter os IDs de política das políticas do Serviço do Azure Web PubSub que são aplicadas:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Exemplo de saída:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Execute o comando az policy state list para retornar o estado de conformidade formatado em JSON para todos os recursos em um grupo de recursos específico:
az policy state list --g <resourceGroup>
Execute o comando az policy state list para retornar o estado de conformidade formatado em JSON de um recurso específico do Web PubSub:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Próximas etapas
Saiba mais sobre as definições e os efeitos do Azure Policy
Criar uma definição de política personalizada
Saiba mais sobre os recursos de governança no Azure