Uso de Azure Policy para auditar el cumplimiento de la versión mínima de TLS para un espacio de nombres de Azure Service Bus

Si tiene un gran número de espacios de nombres de Microsoft Azure Service Bus, tal vez quiera realizar una auditoría para asegurarse de que todos los espacios de nombres están configurados para la versión mínima de TLS que requiere la organización. Para auditar un conjunto de espacios de nombres de Service Bus para su cumplimiento, use Azure Policy. Azure Policy es un servicio que puede usar para crear, asignar y administrar directivas que aplican reglas a los recursos de Azure. Azure Policy le permite mantener esos recursos conforme a lo establecido en los estándares corporativos y los contratos de nivel de servicio. Para más información, consulte la Introducción a Azure Policy.

Creación de una directiva con un efecto de auditoría

Azure Policy admite efectos que determinan lo que sucede cuando una regla de directiva se evalúa con respecto a un recurso. El efecto de auditoría crea una advertencia cuando un recurso no cumple los requisitos, pero no detiene la solicitud. Para obtener más información, consulte Comprender los efectos de Azure Policy.

Para crear una directiva con un efecto de auditoría para la versión mínima de TLS con Azure Portal, siga estos pasos:

1. En Azure Portal, vaya al servicio Azure Policy.

2. Seleccione Definiciones en la sección Creación.

3. Seleccione Agregar definición de directiva para crear una nueva definición de directiva.

4. En el campo donde se indica la ubicación de la definición, seleccione el botón Más para especificar dónde se encuentra el recurso de directiva de auditoría.

5. Escriba un nombre para la directiva. Si lo desea, puede escribir también una descripción y la categoría.

6. En Regla de directivas, agregue la siguiente definición de directiva a la sección policyRule.

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Guarde la directiva.

Asignación de la directiva

A continuación, asigne la directiva a un recurso. El ámbito de la directiva corresponde a ese recurso y a todos los recursos que hay debajo del mismo. Para más información sobre la asignación de directivas, consulte Estructura de asignaciones de Azure Policy.

Para asignar la directiva con Azure Portal, haga lo siguiente:

1. En Azure Portal, vaya al servicio Azure Policy.
2. Seleccione Asignaciones en la sección Creación.
3. Seleccione Asignar directiva para crear una nueva asignación de directiva.
4. En el campo Ámbito, seleccione el ámbito de la asignación de directiva.
5. En el campo Definición de directiva, seleccione el botón Más y, a continuación, seleccione la directiva que definió en la sección anterior de la lista.
6. Escriba un nombre para la asignación de directiva. La descripción es opcional.
7. Deje la opción Cumplimiento de directivas como Habilitada. Esta configuración no tiene ningún efecto en la directiva de auditoría.
8. Seleccione Revisar y crear para crear la asignación.

Ver el informe de cumplimiento

Una vez asignada la directiva, puede ver el informe de cumplimiento. El informe de cumplimiento de una directiva de auditoría proporciona información sobre los espacios de nombres de Service Bus que no cumplen con esa directiva. Para más información, consulte Obtención de datos de cumplimiento de directiva.

El informe de cumplimiento puede tardar varios minutos en estar disponible después de que se cree la asignación de directiva.

Para ver el informe de cumplimiento en Azure Portal, siga estos pasos:

1. En Azure Portal, vaya al servicio Azure Policy.
2. Seleccione Cumplimiento.
3. Filtre los resultados por el nombre de la asignación de directiva que creó en el paso anterior. El informe muestra el número de recursos que no cumplen con la directiva.
4. Puede explorar en profundidad el informe para obtener más detalles, incluida una lista de los espacios de nombres de Service Bus que no cumplen los requisitos.

Uso de Azure Policy para aplicar la versión mínima de TLS

Azure Policy admite la gobernanza en la nube, asegurándose así de que los recursos de Azure cumplen los requisitos y los estándares establecidos. Para aplicar un requisito mínimo de versión de TLS para los espacios de nombres de Service Bus de la organización, puede crear una directiva que impida la creación de un nuevo espacio de nombres de Service Bus que establezca un requisito mínimo de TLS en una versión anterior de TLS que la que se indica en la directiva. Esta directiva también impedirá todos los cambios de configuración en un espacio de nombres existente si la configuración de la versión mínima de TLS no es compatible con la directiva.

La directiva de cumplimiento usa el efecto de denegación para impedir que una solicitud cree o modifique un espacio de nombres de Service Bus para que la versión de TLS mínima ya no se adhiera a los estándares de la organización. Para obtener más información, consulte Comprender los efectos de Azure Policy.

Para crear una directiva con un efecto de denegación para una versión mínima de TLS que sea anterior a TLS 1.2, proporcione el siguiente código JSON en la sección policyRule de la definición de directivas:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Después de crear la directiva con el efecto de denegación y asignarla a un ámbito, un usuario no puede crear un espacio de nombres de Service Bus con una versión de TLS mínima que sea anterior a la 1.2. Asimismo, los usuarios tampoco pueden realizar cambios de configuración en un espacio de nombres de Service Bus existente que actualmente requiera una versión mínima de TLS que sea anterior a la 1.2. Si intentan hacerlo, se producirá un error. La versión mínima de TLS requerida del espacio de nombres de Service Bus debe establecerse en 1.2 para continuar con la creación o la configuración del espacio de nombres.

Se muestra el error si se intenta crear un espacio de nombres de Service Bus con una versión mínima de TLS establecida en TLS 1.0 cuando una directiva con un efecto de denegación requiere que la versión mínima de TLS se establezca en TLS 1.2.

Pasos siguientes

Para más información, consulte la siguiente documentación.

• Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS) para las solicitudes a un espacio de nombres de Service Bus
• Configuración de la versión mínima de TLS para un espacio de nombres de Service Bus
• Configuración de Seguridad de la capa de transporte (TLS) para una aplicación cliente de Service Bus