Share via

Použití Azure Policy k auditování dodržování předpisů minimální verze protokolu TLS pro obor názvů Azure Event Hubs

  • Článek

Pokud máte velký počet oborů názvů Microsoft Azure Event Hubs, můžete provést audit a ujistit se, že jsou všechny obory názvů nakonfigurované pro minimální verzi protokolu TLS, kterou vaše organizace vyžaduje. Pokud chcete auditovat dodržování předpisů u sady oborů názvů služby Event Hubs, použijte Azure Policy. Azure Policy je služba, kterou můžete použít k vytváření, přiřazování a správě zásad, které aplikují pravidla na prostředky Azure. Azure Policy pomáhá udržovat tyto prostředky v souladu s vašimi firemními standardy a smlouvami o úrovni služeb. Další informace najdete v tématu Přehled Azure Policy.

Vytvoření zásady s efektem auditování

Azure Policy podporuje efekty, které určují, co se stane, když se pravidlo zásady vyhodnotí vůči prostředku. Efekt auditu vytvoří upozornění v případě, že prostředek nedodržuje předpisy, ale nezastaví požadavek. Další informace o efektech najdete v tématu Vysvětlení efektů Azure Policy.

Pokud chcete vytvořit zásadu s efektem auditu pro minimální verzi protokolu TLS s Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.

  2. V části Vytváření obsahu vyberte Definice.

  3. Vyberte Přidat definici zásady a vytvořte novou definici zásady.

  4. V poli Umístění definice vyberte tlačítko Další a určete, kde se nachází prostředek zásad auditu.

  5. Zadejte název zásady. Volitelně můžete zadat popis a kategorii.

  6. V části Pravidlo zásad přidejte do oddílu policyRule následující definici zásady.

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Uložte zásady.

Přiřazení zásady

Dále přiřaďte zásadu k prostředku. Rozsah zásady odpovídá danému prostředku a prostředkům, které jsou pod ním. Další informace o přiřazení zásad najdete v tématu Azure Policy struktura přiřazení.

Pokud chcete přiřadit zásadu s Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.
  2. V části Vytváření obsahu vyberte Přiřazení.
  3. Vyberte Přiřadit zásadu a vytvořte nové přiřazení zásad.
  4. V poli Obor vyberte obor přiřazení zásad.
  5. V poli Definice zásady vyberte tlačítko Další a pak v seznamu vyberte zásadu, kterou jste definovali v předchozí části.
  6. Zadejte název přiřazení zásady. Popis je volitelný.
  7. Vynucování zásad nechte nastavené na Povoleno. Toto nastavení nemá žádný vliv na zásady auditu.
  8. Vyberte Zkontrolovat a vytvořit a vytvořte zadání.

Zobrazení sestavy dodržování předpisů

Po přiřazení zásady můžete zobrazit sestavu dodržování předpisů. Sestava dodržování předpisů pro zásady auditu poskytuje informace o tom, které obory názvů služby Event Hubs nejsou v souladu se zásadami. Další informace najdete v tématu Získání dat dodržování zásad.

Po vytvoření přiřazení zásady může trvat několik minut, než se sestava dodržování předpisů zpřístupní.

Pokud chcete zobrazit sestavu dodržování předpisů v Azure Portal, postupujte takto:

  1. V Azure Portal přejděte ke službě Azure Policy.
  2. Vyberte Dodržování předpisů.
  3. Ve výsledcích vyfiltrujte název přiřazení zásad, které jste vytvořili v předchozím kroku. Sestava ukazuje, kolik prostředků není v souladu se zásadou.
  4. Můžete přejít k podrobnostem sestavy a získat další podrobnosti, včetně seznamu oborů názvů služby Event Hubs, které nedodržují předpisy.

Použití Azure Policy k vynucení minimální verze protokolu TLS

Azure Policy podporuje zásady správného řízení v cloudu tím, že zajišťuje, aby prostředky Azure dodržovaly požadavky a standardy. Pokud chcete vynutit minimální požadavek na verzi protokolu TLS pro obory názvů služby Event Hubs ve vaší organizaci, můžete vytvořit zásadu, která brání vytvoření nového oboru názvů služby Event Hubs, která nastaví minimální požadavek na protokol TLS na starší verzi protokolu TLS, než je verze diktovaná zásadou. Tato zásada také zabrání všem změnám konfigurace existujícího oboru názvů v případě, že nastavení minimální verze protokolu TLS pro tento obor názvů nevyhovuje zásadám.

Zásady vynucování používají účinek zamítnutí k tomu, aby zabránily požadavku, který by vytvořil nebo upravil obor názvů služby Event Hubs tak, aby minimální verze protokolu TLS už nedodržovala standardy vaší organizace. Další informace o efektech najdete v tématu Vysvětlení efektů Azure Policy.

Pokud chcete vytvořit zásadu s účinkem zamítnutí pro minimální verzi protokolu TLS, která je menší než TLS 1.2, zadejte následující kód JSON v části policyRule definice zásady:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Po vytvoření zásady s efektem odepření a jejím přiřazení k oboru nemůže uživatel vytvořit obor názvů služby Event Hubs s minimální verzí protokolu TLS, která je starší než 1.2. Uživatel nemůže ani provést žádné změny konfigurace existujícího oboru názvů služby Event Hubs, který aktuálně vyžaduje minimální verzi protokolu TLS starší než 1.2. Pokud se o to pokusíte, dojde k chybě. Aby bylo možné pokračovat ve vytváření nebo konfiguraci oboru názvů, musí být požadovaná minimální verze protokolu TLS pro obor názvů služby Event Hubs nastavená na 1.2.

Pokud se pokusíte vytvořit obor názvů služby Event Hubs s minimální verzí protokolu TLS nastavenou na tls 1.0, zobrazí se chyba, pokud zásada s účinkem zamítnutí vyžaduje, aby byla minimální verze protokolu TLS nastavená na tls 1.2.

Další kroky

Další informace najdete v následující dokumentaci.