Auditer la conformité des ressources du service Azure Web PubSub à l’aide d’Azure Policy

  • Article

Azure Policy est un service gratuit dans Azure permettant de créer, d’affecter et de gérer des stratégies qui appliquent des règles et des actions pour garantir la conformité de vos ressources par rapport à vos standards d’entreprise et aux contrats de niveau de service. Utilisez ces stratégies pour auditer la conformité des ressources Web PubSub.

Cet article décrit les stratégies intégrées pour le service Azure Web PubSub.

Définitions de stratégie intégrées

Le tableau suivant contient un index des définitions de stratégie intégrées Azure Policy pour Azure Web PubSub. Si vous souhaitez connaître les définitions intégrées d’Azure Policy pour d’autres services, consultez Définitions intégrées à Azure Policy.

Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien figurant dans la colonne Version pour voir la source dans le référentiel GitHub Azure Policy.

Nom
(Portail Azure)		 Description Effet(s) Version
(GitHub)
Le service Azure Web PubSub doit désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le service Azure Web PubSub ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service Azure Web PubSub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/networkacls. Audit, Refuser, Désactivé 1.0.0
Le service Azure Web PubSub doit activer les journaux de diagnostic Auditer l’activation des journaux de diagnostic. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 1.0.0
Les méthodes d’authentification locale doivent être désactivées pour le service Azure Web PubSub La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que le service Azure Web PubSub nécessite exclusivement des identités Azure Active Directory pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Le service Azure Web PubSub doit utiliser une référence SKU qui prend en charge la liaison privée Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés au service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Refuser, Désactivé 1.0.0
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Configurer le service Azure Web PubSub Service pour désactiver l’authentification locale Désactivez les méthodes d’authentification locale afin que le service Azure Web PubSub nécessite exclusivement des identités Azure Active Directory pour l’authentification. Modifier, Désactivé 1.0.0
Configurer le service Azure Web PubSub pour désactiver l’accès réseau public Désactivez l’accès réseau public pour votre ressource Azure Web PubSub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/networkacls. Modifier, Désactivé 1.0.0
Configurer le service Azure Web PubSub pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour le service Azure Web PubSub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/privatelink. DeployIfNotExists, Désactivé 1.0.0
Configurer le service Azure Web PubSub avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. DeployIfNotExists, Désactivé 1.0.0

Attribuer des définitions de stratégie

Au moment de l’affectation d’une définition de stratégie :

Remarque

Une fois que vous avez attribué ou mis à jour une stratégie, l’application de l’attribution aux ressources de l’étendue définie prend un certain temps. Consultez les informations relatives aux déclencheurs d’évaluation de la stratégie.

Vérifier la conformité de la stratégie

Accédez aux informations de conformité générées par vos affectations de stratégie à l’aide du Portail Azure, des outils en ligne de commande Azure ou des Kits de développement logiciel (SDK) Azure Policy. Pour plus d’informations, consultez Obtenir les données de conformité des ressources Azure.

De nombreuses raisons peuvent expliquer une ressource non conforme. Pour en déterminer la raison ou pour trouver la modification en cause, consultez Déterminer une non-conformité.

Conformité de la stratégie dans le portail :

  1. Ouvrez le portail Azure, puis recherchez Stratégie.
  2. Sélectionnez Stratégie.
  3. Sélectionnez Conformité.
  4. Utilisez les filtres pour afficher les éléments par Étendue, Type ou État de conformité. Utilisez la liste de recherche par nom ou par ID. Screenshot showing policy compliance in portal.
  5. Sélectionnez une stratégie pour passer en revue l’ensemble des détails et des événements relatifs à la conformité.
  6. Sélectionnez une instance spécifique de Web PubSub pour la conformité des ressources.

Conformité de la stratégie dans Azure CLI

Vous pouvez utiliser Azure CLI pour accéder aux données de conformité. Utilisez la commande az policy assignment list pour obtenir les ID de stratégie des stratégies du service Azure Web PubSub appliquées :

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

Exemple de sortie :

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Exécutez la commande az policy state list pour retourner l’état de conformité au format JSON de toutes les ressources d’un groupe de ressources spécifique :

az policy state list --g <resourceGroup>

Exécutez la commande az policy state list pour retourner l’état de conformité au format JSON d’une ressource Web PubSub spécifique :

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Étapes suivantes