Sdílet prostřednictvím


Předdefinované definice služby Azure Policy pro Azure IoT Hub

Ukázkový kód ioT Hubu, který ukazuje, jak implementovat běžné scénáře IoT, najdete v rychlých startech pro IoT Hub. K dispozici jsou rychlé starty pro více programovacích jazyků, včetně jazyka C, Node.js a Pythonu.

Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure IoT Hub. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.

Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.

Azure IoT Hub

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Azure IoT Hub by měl k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem. Šifrování neaktivních uložených dat ve službě IoT Hub pomocí klíče spravovaného zákazníkem přidá druhou vrstvu šifrování nad výchozími klíči spravovanými službami, umožňuje zákazníkům řídit klíče, vlastní zásady obměny a schopnost spravovat přístup k datům prostřednictvím řízení přístupu ke klíči. Klíče spravované zákazníkem musí být nakonfigurované při vytváření služby IoT Hub. Další informace o konfiguraci klíčů spravovaných zákazníkem najdete v tématu https://aka.ms/iotcmk. Audit, Odepřít, Zakázáno 1.0.0-preview
[Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. Audit, Odepřít, Zakázáno 1.0.0-preview
Azure IoT Hub by měl mít pro rozhraní APIS služby zakázané místní metody ověřování. Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure IoT Hub pro ověřování rozhraní API služby vyžadovala výhradně identity Azure Active Directory. Další informace najdete tady: https://aka.ms/iothubdisablelocalauth. Audit, Odepřít, Zakázáno 1.0.0
Konfigurace služby Azure IoT Hub pro zakázání místního ověřování Zakažte místní metody ověřování, aby služba Azure IoT Hub k ověřování vyžadovala výhradně identity Azure Active Directory. Další informace najdete tady: https://aka.ms/iothubdisablelocalauth. Upravit, zakázáno 1.0.0
Konfigurace instancí služby Zřizování zařízení ve službě IoT Hub tak, aby zakázala přístup k veřejné síti Zakažte přístup k veřejné síti pro instanci zřizování zařízení IoT Hubu, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/iotdpsvnet. Upravit, zakázáno 1.0.0
Konfigurace instancí služby Zřizování zařízení ioT Hubu s privátními koncovými body Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na službu zřizování zařízení ioT Hubu můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. DeployIfNotExists, zakázáno 1.0.0
Nasazení – Konfigurace azure IoT Hubs s privátními koncovými body Privátní koncový bod je privátní IP adresa přidělená uvnitř virtuální sítě vlastněné zákazníkem, přes kterou je prostředek Azure dostupný. Tato zásada nasadí privátní koncový bod pro centrum IoT, aby umožňovala službám ve vaší virtuální síti přístup ke službě IoT Hub, aniž by se musel odesílat provoz do veřejného koncového bodu služby IoT Hub. DeployIfNotExists, zakázáno 1.0.0
Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do centra událostí Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do Log Analytics Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Povolení protokolování podle skupiny kategorií pro IoT Hub (microsoft.devices/iothubs) do služby Storage Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Povolení protokolování podle skupiny kategorií pro microsoft.devices/provisioningservices do centra událostí Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Povolení protokolování podle skupiny kategorií pro microsoft.devices/provisioningservices do Log Analytics Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Povolení protokolování podle skupiny kategorií pro microsoft.devices/provisioningservices do úložiště Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Instance služby Zřizování zařízení služby IoT Hub by měly zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby instance služby Zřizování zařízení služby IoT Hub nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení instancí zřizování zařízení ioT Hubu. Další informace najdete tady: https://aka.ms/iotdpsvnet. Audit, Odepřít, Zakázáno 1.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Úprava – Konfigurace služby Azure IoT Hubs tak, aby zakázala přístup k veřejné síti Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k Azure IoT Hubu bylo možné přistupovat pouze z privátního koncového bodu. Tato zásada zakáže přístup k veřejné síti u prostředků ioT Hubu. Upravit, zakázáno 1.0.0
Privátní koncový bod by měl být povolený pro IoT Hub. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě IoT Hub. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. Audit, zakázáno 1.0.0
Přístup k veřejné síti ve službě Azure IoT Hub by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k Azure IoT Hubu bylo možné přistupovat pouze z privátního koncového bodu. Audit, Odepřít, Zakázáno 1.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0

Další kroky