Auditoría del cumplimiento de los recursos del servicio Azure Web PubSub mediante Azure Policy
Azure Policy es un servicio gratuito en Azure que permite crear, asignar y administrar directivas que aplican reglas y efectos para garantizar que los recursos cumplen los estándares corporativos y los contratos de nivel de servicio. Use estas directivas para auditar los recursos de Web PubSub para el cumplimiento.
En este artículo se describen las directivas integradas para el servicio Azure Web PubSub.
Definiciones de directiva integradas
La tabla siguiente contiene un índice de definiciones de directivas integradas de Azure Policy para Azure Web PubSub. Para ver elementos integrados de Azure Policy para otros servicios, consulte Definiciones integradas de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El servicio de Azure Web PubSub debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que el servicio Azure Web PubSub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Azure Web PubSub. Más información en: https://aka.ms/awps/networkacls. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe habilitar los registros de diagnóstico | Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que Azure Web PubSub Service requiera exclusivamente identidades de Azure Active Directory para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe usar una SKU que sea compatible con un vínculo privado | Con una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub para deshabilitar la autenticación local | Deshabilitar los métodos de autenticación local para que su servicio Azure Web PubSub requiera exclusivamente las identidades de Azure Active Directory para la autenticación. | Modificar, Deshabilitado | 1.0.0 |
| Configurar el servicio Azure Web PubSub para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Azure Web PubSub de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/awps/networkacls. | Modificar, Deshabilitado | 1.0.0 |
| Configurar el servicio Azure Web PubSub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el servicio de Azure Web PubSub. Más información en: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Asignación de definiciones de directiva
Al asignar una definición de directiva:
- Puede asignar definiciones de directiva mediante el uso de Azure Portal, la CLI de Azure, una plantilla de Resource Manager o los SDK de Azure Policy.
- Las asignaciones de directivas se pueden limitar a un grupo de recursos, una suscripción o un grupo de administración de Azure.
- Puede habilitar o deshabilitar la aplicación de directivas en cualquier momento.
- Las asignaciones de directivas de Web PubSub se aplican a los recursos nuevos y existentes de Web PubSub dentro del ámbito.
Nota:
Después de asignar o actualizar una directiva, la asignación tarda algún tiempo en aplicarse a los recursos del ámbito definido. Consulte información sobre desencadenadores de evaluación de directivas.
Revisión del cumplimiento de directivas
Acceda a la información de cumplimiento generada por las asignaciones de directivas mediante Azure Portal, las herramientas de la línea de comandos de Azure o los SDK de Azure Policy. Para detalles, consulte Obtención de datos de cumplimiento de los recursos de Azure.
Cuando un recurso no es compatible, hay muchos motivos posibles para ello. Para determinar el motivo o encontrar al responsable del cambio, consulte Determinación del incumplimiento.
Cumplimiento de directivas en el portal:
- Abra Azure Portal y busque Directiva.
- Seleccione Directiva.
- Seleccione Cumplimiento.
- Use los filtros para mostrar por Ámbito, Tipo o Estado de cumplimiento. Use la lista de búsqueda por nombre o id.
- Seleccione una directiva para revisar los eventos y los detalles de cumplimiento de los agregados.
- Seleccione un recurso de Web PubSub específico para el cumplimiento de los recursos.
Cumplimiento de directivas en la CLI de Azure
Puede usar la CLI de Azure para obtener datos de cumplimiento. Use el comando az policy assignment list para obtener los identificadores de directiva de las directivas del servicio Azure Web PubSub que se aplican:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Ejemplo:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Ejecute el comando az policy state list para devolver el estado de cumplimiento con formato JSON para todos los recursos de un grupo de recursos específico:
az policy state list --g <resourceGroup>
Ejecute el comando az policy state list para devolver el estado de cumplimiento con formato JSON de un recurso de Web PubSub específico:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Pasos siguientes
Más información sobre las definiciones y efectos de Azure Policy
Creación de una definición de directiva personalizada
Más información sobre las funcionalidades de gobernanza en Azure