Verwenden von Azure Policy zur Compliance-Prüfung bezüglich der TLS-Mindestversion für einen Azure Event Hubs-Namespace

Wenn Sie eine große Anzahl von Microsoft Azure Event Hubs-Namespaces besitzen, möchten Sie vielleicht Überprüfen, ob alle Namespaces für die für Ihre Organisation erforderliche TLS-Mindestversion konfiguriert sind. Verwenden Sie Azure Policy, um einen Satz von Event Hubs-Namespaces auf Compliance zu überprüfen. Azure Policy ist ein Dienst, mit dem Sie Richtlinien zum Anwenden von Regeln auf Azure-Ressourcen erstellen, zuweisen und verwalten können. Azure Policy hilft Ihnen, die Konformität dieser Ressourcen mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel sicherzustellen. Weitere Informationen finden Sie in der Übersicht über Azure Policy.

Erstellen einer Richtlinie mit der Audit-Auswirkung

Azure Policy unterstützt Auswirkungen, die bestimmen, was passiert, wenn eine Richtlinie anhand einer Ressource ausgewertet wird. Die Audit-Auswirkung erzeugt eine Warnung, wenn eine Ressource nicht konform ist, beendet aber die Anforderung nicht. Weitere Informationen zu Auswirkungen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

Führen Sie die folgenden Schritte aus, um eine Richtlinie mit Audit-Auswirkung für die TLS-Mindestversion mit dem Azure-Portal zu erstellen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.

2. Wählen Sie unter dem Abschnitt Autorisierung die Option Definitionen aus.

3. Wählen Sie Richtliniendefinition hinzufügen aus, um eine neue Richtliniendefinition zu erstellen.

4. Wählen Sie für das Feld Definitionsspeicherort die Schaltfläche Mehr aus, um anzugeben, wo sich die Ressource für die Überwachungsrichtlinie befindet.

5. Geben Sie einen Namen für die Richtlinie an. Sie können optional eine Beschreibung und eine Kategorie angeben.

6. Fügen Sie unter Richtlinienregel die folgende Richtliniendefinition zum Abschnitt policyRule hinzu.

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.EventHub/namespaces"
           },
           {
             "not": {
               "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Speichern Sie die Richtlinie.

Zuweisen der Richtlinie

Anschließend weisen Sie die Richtlinie einer Ressource zu. Der Umfang der Richtlinie entspricht der Ressource und den darunter liegenden Ressourcen. Weitere Informationen zur Zuweisung von Richtlinien finden Sie unter Azure Policy-Zuweisungsstruktur.

Führen Sie die folgenden Schritte aus, um die Richtlinie dem Azure-Portal zuzuweisen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.
2. Wählen Sie unter dem Abschnitt Autorisierung die Option Zuweisungen aus.
3. Wählen Sie Richtlinie zuweisen aus, um eine neue Richtlinienzuweisung zu erstellen.
4. Wählen Sie für das Feld Umfang den Umfang der Richtlinienzuweisung aus.
5. Wählen Sie für das Feld Richtliniendefinition die Schaltfläche Mehr und dann die im vorherigen Abschnitt definierte Richtlinie aus der Liste aus.
6. Geben Sie einen Namen für die Richtlinienzuweisung an. Die Angabe einer Beschreibung ist optional.
7. Behalten Sie für Richtlinienerzwingung die Einstellung Aktiviert bei. Diese Einstellung hat keine Auswirkung auf die Überwachungsrichtlinie.
8. Klicken Sie zum Erstellen der Zuweisung auf Überprüfen + erstellen.

Anzeigen des Konformitätsberichts

Nachdem Sie die Richtlinie zugewiesen haben, können Sie den Konformitätsbericht anzeigen. Der Konformitätsbericht für eine Überwachungsrichtlinie gibt Auskunft darüber, welche Event Hubs-Namespaces nicht mit der Richtlinie konform sind. Weitere Informationen finden Sie unter Abrufen von Daten zur Richtlinienkonformität.

Es kann einige Minuten dauern, bis der Konformitätsbericht nach Erstellung der Richtlinienzuweisung verfügbar ist.

Führen Sie die folgenden Schritte aus, um den Konformitätsbericht im Azure-Portal anzuzeigen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.
2. Wählen Sie Compliance aus.
3. Filtern Sie die Ergebnisse nach dem Namen der Richtlinienzuweisung, die Sie im vorherigen Schritt erstellt haben. Der Bericht zeigt, wie viele Ressourcen nicht mit der Richtlinie konform sind.
4. Sie können einen Drilldown in den Bericht ausführen, um weitere Details anzuzeigen, einschließlich einer Liste von Event Hubs-Namespaces, die nicht konform sind.

Erzwingen der TLS-Mindestversion mit Azure Policy

Azure Policy unterstützt die Cloudgovernance, indem es sicherstellt, dass Azure-Ressourcen den Anforderungen und Standards entsprechen. Um die Anforderung einer TLS-Mindestversion für die Event Hubs-Namespaces in Ihrer Organisation zu erzwingen, können Sie eine Richtlinie erstellen, die die Erstellung eines neuen Event Hubs-Namespace verhindert, das die TLS-Mindestversion auf eine ältere Version von TLS festlegt als die, die von der Richtlinie vorgegeben ist. Diese Richtlinie verhindert auch alle Konfigurationsänderungen an einem bestehenden Namespace, wenn die Einstellung der TLS-Mindestversion für diesen Namespace nicht mit der Richtlinie übereinstimmt.

Die Erzwingungsrichtlinie nutzt die Deny-Auswirkung, um eine Anforderung zu verhindern, die einen Event Hubs-Namespace erstellen oder ändern würde, sodass die TLS-Mindestversion nicht mehr mit den Standards Ihrer Organisation übereinstimmt. Weitere Informationen zu Auswirkungen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

Um eine Richtlinie mit der Deny-Auswirkung für eine TLS-Mindestversion zu erstellen, die älter als TLS 1.2 ist, fügen Sie den folgenden JSON-Code im Abschnitt policyRule der Richtliniendefinition ein:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Nachdem Sie die Richtlinie mit der Deny-Auswirkung erstellt und einem Bereich zugewiesen haben, kann ein Benutzer keinen Event Hubs-Namespace mit einer TLS-Mindestversion erstellen, die älter als 1.2 ist. Ebenso wenig kann ein Benutzer Konfigurationsänderungen an einem bestehenden Event Hubs-Namespace vornehmen, für das derzeit eine TLS-Mindestversion erforderlich ist, die älter als 1.2 ist. Ein entsprechender Versuch führt zu einem Fehler. Die erforderliche TLS-Mindestversion für den Event Hubs-Namespace muss auf 1.2 festgelegt werden, um mit der Erstellung oder Konfiguration eines Namespace fortfahren zu können.

Es wird ein Fehler angezeigt, wenn Sie versuchen, einen Event Hubs-Namespace zu erstellen, bei dem die minimale TLS-Version auf TLS 1.0 festgelegt ist, obwohl eine Richtlinie mit Deny-Auswirkung eine auf 1.2 festgelegte Mindestversion erfordert.

Nächste Schritte

Weitere Informationen finden Sie in der folgenden Dokumentation.

• Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für Anforderungen an einen Event Hubs-Namespace
• Konfigurieren der TLS-Mindestversion für einen Event Hubs-Namespace
• Konfigurieren von TLS (Transport Layer Security) für eine Event Hubs-Clientanwendung