Az Azure Web PubSub Service-erőforrások megfelelőségének naplózása az Azure Policy használatával

Cikk
10/26/2023

Az Azure Policy egy ingyenes szolgáltatás az Azure-ban olyan szabályzatok létrehozásához, hozzárendeléséhez és kezeléséhez, amelyek szabályokat és hatásokat kényszerítenek ki annak érdekében, hogy az erőforrások megfeleljenek a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek. Ezekkel a szabályzatokkal naplózhatja a Web PubSub-erőforrásokat a megfelelőség érdekében.

Ez a cikk az Azure Web PubSub Service beépített szabályzatait ismerteti.

Beépített szabályzatdefiníciók

Az alábbi táblázat az Azure Policy beépített szabályzatdefinícióinak indexét tartalmazza az Azure Web PubSubhoz. A más szolgáltatásokhoz készült Azure Policy-beépített azure policy-definíciókért lásd az Azure Policy beépített definícióit.

Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.

Név _{(Azure Portal)}	Leírás	Hatás(ok)	Verzió _(GitHub)
Az Azure Web PubSub Service-nek le kell tiltania a nyilvános hálózati hozzáférést	A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az Azure Web PubSub szolgáltatás nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az Azure Web PubSub szolgáltatás expozícióját. További információ: https://aka.ms/awps/networkacls.	Naplózás, megtagadás, letiltva	1.0.0
Az Azure Web PubSub Service-nek engedélyeznie kell a diagnosztikai naplókat	Diagnosztikai naplók engedélyezésének naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén	AuditIfNotExists, Disabled	1.0.0
Az Azure Web PubSub Service-nek le kell tiltani a helyi hitelesítési módszereket	A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Web PubSub Service kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez.	Naplózás, megtagadás, letiltva	1.0.0
Az Azure Web PubSub Service-nek olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot	A támogatott termékváltozattal az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub szolgáltatásba való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink.	Naplózás, megtagadás, letiltva	1.0.0
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia	Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink.	Naplózás, letiltva	1.0.0
Az Azure Web PubSub Service konfigurálása a helyi hitelesítés letiltásához	Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Web PubSub Service kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez.	Módosítás, letiltva	1.0.0
Az Azure Web PubSub Service konfigurálása a nyilvános hálózati hozzáférés letiltásához	Tiltsa le az Azure Web PubSub-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/awps/networkacls.	Módosítás, letiltva	1.0.0
Az Azure Web PubSub Service konfigurálása privát DNS-zónák használatára	Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Web PubSub szolgáltatáshoz való feloldás érdekében. További információ: https://aka.ms/awps/privatelink.	DeployIfNotExists, Disabled	1.0.0
Az Azure Web PubSub Service konfigurálása privát végpontokkal	A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Web PubSub szolgáltatásba való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink.	DeployIfNotExists, Disabled	1.0.0

Szabályzatdefiníciók hozzárendelése

Szabályzatdefiníció hozzárendelésekor:

Szabályzatdefiníciókat az Azure Portal, az Azure CLI , a Resource Manager-sablon vagy az Azure Policy SDK-k használatával rendelhet hozzá.
A szabályzat-hozzárendelések hatóköre egy erőforráscsoportra, egy előfizetésre vagy egy Azure felügyeleti csoportra terjedhet ki.
A szabályzatkényszerítést bármikor engedélyezheti vagy letilthatja.
A Web PubSub-szabályzat-hozzárendelések a hatókörön belüli meglévő és új Web PubSub-erőforrásokra vonatkoznak.

Feljegyzés

Miután hozzárendelt vagy frissített egy szabályzatot, időbe telik, amíg a hozzárendelés a megadott hatókörben lévő erőforrásokra lesz alkalmazva. A szabályzat-kiértékelési eseményindítókkal kapcsolatos információk megtekintése.

Szabályzatmegfelelés áttekintése

A szabályzat-hozzárendelések által létrehozott megfelelőségi információk elérése az Azure Portal, az Azure parancssori eszközei vagy az Azure Policy SDK-k használatával. További információ: Azure-erőforrások megfelelőségi adatainak lekérése.

Ha egy erőforrás nem megfelelő, annak számos oka lehet. A változás okának megállapításához vagy a felelős változás megtalálásához lásd : Meg nem felelés meghatározása.

Szabályzatmegfelelőség a portálon:

Nyissa meg az Azure Portalt, és keressen szabályzatot.
Válassza a Szabályzat lehetőséget.
Válassza a Megfelelőség lehetőséget.
A szűrők használatával hatókör, típus vagy megfelelőségi állapot szerint jeleníthető meg. Keresési lista használata név vagy azonosító alapján.
Válasszon ki egy szabályzatot az összesített megfelelőségi adatok és események áttekintéséhez.
Válasszon ki egy adott Web PubSub-t az erőforrás-megfelelőséghez.

Szabályzatmegfelelés az Azure CLI-ben

Az Azure CLI használatával lekérheti a megfelelőségi adatokat. Az az policy assignment list paranccsal lekérheti az alkalmazott Azure Web PubSub Service-szabályzatok szabályzatazonosítóit:

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

Példa a kimenetre:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Futtassa az az policy state list parancsot az adott erőforráscsoportban lévő összes erőforrás JSON-formátumú megfelelőségi állapotának visszaadásához:

az policy state list --g <resourceGroup>

Futtassa az az policy state list parancsot egy adott Web PubSub-erőforrás JSON-formátumú megfelelőségi állapotának visszaadásához:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Következő lépések

További információ az Azure Policy definícióiról és hatásairól
Egyéni szabályzatdefiníció létrehozása
További információ az Azure szabályozási képességeiről