Share via

Überwachen der Compliance von Azure Web PubSub-Dienstressourcen mit Azure Policy

  • Artikel

Azure Policy ist ein kostenloser Dienst in Azure, um Richtlinien zu erstellen, zuzuweisen und zu verwalten, die Regeln und Effekte erzwingen, um sicherzustellen, dass Ihre Ressourcen mit Ihren Unternehmensstandards und Vereinbarungen auf Servicelevel konform bleiben. Verwenden Sie diese Richtlinien, um Web PubSub-Ressourcen auf Compliance zu überwachen.

In diesem Artikel werden die integrierten Richtlinien für Azure Web PubSub Service beschrieben.

Integrierte Richtliniendefinitionen

Die folgende Tabelle enthält einen Index der integrierten Azure-Richtliniendefinitionen für Azure Web PubSub. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.

Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.

Name
(Azure-Portal)		 BESCHREIBUNG Auswirkungen Version
(GitHub)
Der Azure Web PubSub-Dienst muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da der Azure Web PubSub-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung des Azure Web PubSub-Diensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/awps/networkacls. Audit, Deny, Disabled 1.0.0
Azure Web PubSub-Dienst sollte Diagnoseprotokolle aktivieren Hiermit wird die Aktivierung von Diagnoseprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 1.0.0
Für den Azure Web PubSub-Dienst müssen lokale Authentifizierungsmethoden deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, indem sichergestellt wird, dass der Azure Web PubSub-Dienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordert. Audit, Deny, Disabled 1.0.0
Der Azure Web PubSub-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zum Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Deny, Disabled 1.0.0
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Azure Web PubSub-Diensts zum Deaktivieren der lokalen Authentifizierung konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, sodass Ihr Azure Web PubSub-Dienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung benötigt. Modify, Disabled 1.0.0
Azure Web PubSub-Dienst zum Deaktivieren des öffentlichen Netzwerkzugriffs konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Web PubSub-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/awps/networkacls. Modify, Disabled 1.0.0
Azure Web PubSub-Dienst für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Web PubSub-Dienst aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0
Azure Web PubSub-Dienst mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zum Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0

Zuweisen von Richtliniendefinitionen

Beim Zuweisen einer Richtliniendefinition:

Hinweis

Nach dem Zuweisen oder Aktualisieren einer Richtlinie dauert es einen Moment, bis die Zuweisung auf die Ressourcen innerhalb des festgelegten Bereichs angewendet wird. Lesen Sie dazu auch die Informationen zu Richtlinienauswertungsauslösern.

Überprüfen der Richtlinienkonformität

Greifen Sie über das Azure-Portal, die Azure-Befehlszeilentools oder die Azure Policy-SDKs auf die Informationen zur Konformität zu, die von Ihren Richtlinienzuweisungen generiert werden. Einzelheiten finden Sie unter Abrufen von Compliancedaten von Azure-Ressourcen.

Wenn eine Ressource nicht konform ist, kann das viele mögliche Ursachen haben. Wie Sie die Ursache bestimmen oder die verantwortliche Änderung finden, ist unter Bestimmen der Nichtkonformität beschrieben.

Richtlinienkonformität im Portal:

  1. Suchen Sie im Azure-Portal nach Policy.
  2. Richtlinie auswählen
  3. Wählen Sie Compliance aus.
  4. Verwenden Sie die Filter, um den Status Bereich, Typ oder Compliance anzuzeigen. Verwenden Sie die Suchliste nach Name oder ID. Screenshot showing policy compliance in portal.
  5. Wählen Sie eine Richtlinie aus, um die Zusammenfassung der Konformitätsdetails und -ereignisse zu überprüfen.
  6. Wählen Sie anschließend einen bestimmten Web PubSub-Dienst für die Ressourcencompliance aus.

Richtlinienkonformität in der Azure CLI

Konformitätsdaten können über die Azure CLI abgerufen werden. Verwenden Sie den Befehl az policy assignment list, um die angewandten Richtlinien-IDs des Azure Web PubSub-Diensts abzurufen:

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

Beispielausgabe:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Führen Sie dann den Befehl az policy state list aus, um den Konformitätszustand aller Ressourcen einer bestimmten Ressourcengruppe im JSON-Format zurückzugeben:

az policy state list --g <resourceGroup>

Sie können auch den Befehl az policy state list ausführen, um den Compliancestatus einer bestimmten Web PubSub-Ressource im JSON-Format zurückzugeben:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Nächste Schritte