Auditoría del cumplimiento de los recursos de Azure SignalR Service mediante Azure Policy
Azure Policy es un servicio de Azure que se usa para crear, asignar y administrar directivas. Dichas directivas aplican distintas reglas y efectos a los recursos, con el fin de que estos sigan siendo compatibles con los estándares corporativos y los contratos de nivel de servicio.
En este artículo se presentan las directivas integradas (versión preliminar) para Azure SignalR Service. Use estas directivas para auditar los recursos nuevos y existentes de SignalR para el cumplimiento.
No se aplica ningún cargo por el uso de Azure Policy.
Definiciones de directiva integradas
Las definiciones de directivas integradas siguientes son específicas de Azure SignalR Service:
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure SignalR Service debe deshabilitar el acceso a la red pública | Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.1.0 |
| Azure SignalR Service debe habilitar los registros de diagnóstico | Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe tener deshabilitados los métodos de autenticación local. | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure SignalR Service requiera exclusivamente identidades de Azure Active Directory para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service debe usar una SKU habilitada para Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. Así se protegen sus recursos frente al riesgo de pérdida de datos públicos. La directiva establece límites en las SKU habilitadas mediante Private Link para Azure SignalR Service. Obtenga más información sobre Private Link en: https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Configuración Azure SignalR Service para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que Azure SignalR Service exija exclusivamente identidades de Azure Active Directory para la autenticación. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de puntos de conexión privados en Azure SignalR Service | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a recursos de Azure SignalR Service, puede reducir los riesgos de pérdida de datos. Obtenga más información en https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de zonas DNS privadas para conectar puntos de conexión privados a Azure SignalR Service | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el recurso de Azure SignalR Service. Más información en: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificación de recursos de Azure SignalR Service para deshabilitar el acceso a la red pública | Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.1.0 |
Asignación de definiciones de directiva
- Asigne definiciones de directiva mediante el uso de Azure Portal, la CLI de Azure, una plantilla de Resource Manager o los SDK de Azure Policy.
- Limite el ámbito de una asignación de directiva a un grupo de recursos, una suscripción o un grupo de administración de Azure. Las asignaciones de directivas de SignalR se aplican a los recursos nuevos y existentes de SignalR dentro del ámbito.
- Habilite o deshabilite la aplicación de directivas en cualquier momento.
Nota:
Después de asignar o actualizar una directiva, la asignación tarda algún tiempo en aplicarse a los recursos del ámbito definido. Consulte información sobre desencadenadores de evaluación de directivas.
Revisión del cumplimiento de directivas
Acceda a la información de cumplimiento generada por las asignaciones de directivas mediante Azure Portal, las herramientas de la línea de comandos de Azure o los SDK de Azure Policy. Para detalles, consulte Obtención de datos de cumplimiento de los recursos de Azure.
Cuando un recurso no es compatible, hay muchos motivos posibles para ello. Para determinar el motivo o encontrar al responsable del cambio, consulte Determinación del incumplimiento.
Cumplimiento de directivas en el portal:
Seleccione Todos los servicios y busque Directiva.
Seleccione Cumplimiento.
Uso de los filtros para limitar los estados de cumplimiento o para buscar directivas
Seleccione una directiva para revisar los eventos y los detalles de cumplimiento de los agregados. Si lo desea, seleccione un recurso de SignalR específico para el cumplimiento de los recursos.
Cumplimiento de directivas en la CLI de Azure
También puede usar la CLI de Azure para obtener datos de cumplimiento. Por ejemplo, use el comando az policy assignment list en la CLI para obtener los identificadores de directiva de las directivas de Azure SignalR Service que se aplican:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Salida del ejemplo:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
A continuación, ejecute az policy state list para devolver el estado de cumplimiento con formato JSON para todos los recursos de un grupo de recursos específico:
az policy state list --g <resourceGroup>
O bien ejecute az policy state list para devolver el estado de cumplimiento con formato JSON de un recurso de SignalR específico:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Pasos siguientes
Más información sobre las definiciones y efectos de Azure Policy
Creación de una definición de directiva personalizada
Más información sobre las funcionalidades de gobernanza en Azure