Controllare la conformità delle risorse del servizio Web PubSub di Azure usando Criteri di Azure

  • Articolo

Criteri di Azure è un servizio gratuito in Azure per creare, assegnare e gestire criteri che applicano regole ed effetti per garantire che le risorse rimangano conformi agli standard aziendali e ai contratti di servizio. Usare questi criteri per controllare le risorse Web PubSub per la conformità.

Questo articolo descrive i criteri predefiniti per il servizio Web PubSub di Azure.

Definizioni di criteri predefiniti

La tabella seguente contiene un indice di Criteri di Azure definizioni di criteri predefinite per Web PubSub di Azure. Per Criteri di Azure predefiniti per altri servizi, vedere Criteri di Azure definizioni predefinite.

Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub Criteri di Azure.

Nome
(Portale di Azure)		 Descrizione Effetti Versione
(GitHub)
Il servizio Web PubSub di Azure deve disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Web PubSub di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/networkacls. Audit, Deny, Disabled 1.0.0
Il servizio Web PubSub di Azure deve abilitare i log di diagnostica Controlla l'abilitazione dei log di diagnostica consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 1.0.0
Il servizio Web PubSub di Azure deve avere metodi di autenticazione locale disabilitati La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che il servizio Web PubSub di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione. Audit, Deny, Disabled 1.0.0
Il servizio Web PubSub di Azure deve usare uno SKU che supporta un collegamento privato Con lo SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Deny, Disabled 1.0.0
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Configurare il servizio Web PubSub di Azure per disabilitare l'autenticazione locale Disabilitare i metodi di autenticazione locale in modo che il servizio Web PubSub di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione. Modifica, Disabilitata 1.0.0
Configurare il servizio Web PubSub di Azure per disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per la risorsa PubSub Web di Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/awps/networkacls. Modifica, Disabilitata 1.0.0
Configurare il servizio Web pubSub di Azure per l'uso di zone DNS private Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0
Configurare il servizio Web PubSub di Azure con endpoint privati Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0

Assegnare definizioni di criteri

Quando si assegna una definizione di criteri:

  • È possibile assegnare definizioni di criteri usando le portale di Azure, l'interfaccia della riga di comando di Azure, un modello di Resource Manager o gli SDK Criteri di Azure.
  • Le assegnazioni di criteri possono avere come ambito un gruppo di risorse, una sottoscrizione o un gruppo di gestione di Azure.
  • È possibile abilitare o disabilitare l'imposizione dei criteri in qualsiasi momento.
  • Le assegnazioni di criteri Web PubSub si applicano alle risorse Web PubSub esistenti e nuove all'interno dell'ambito.

Nota

Dopo l'assegnazione o l'aggiornamento di un criterio, l'applicazione dell'assegnazione alle risorse nell'ambito definito richiede tempo. Vedere informazioni sui trigger di valutazione dei criteri.

Esaminare la conformità dei criteri

Accedere alle informazioni di conformità generate dalle assegnazioni di criteri usando le portale di Azure, gli strumenti da riga di comando di Azure o gli SDK Criteri di Azure. Per informazioni dettagliate, vedere Ottenere i dati di conformità delle risorse di Azure.

Quando una risorsa non è conforme, i motivi possibili sono molti. Per determinare il motivo o per trovare la modifica responsabile, vedere Determinare la mancata conformità.

Conformità dei criteri nel portale:

  1. Aprire il portale di Azure e cercare Criteri.
  2. Selezionare Criteri.
  3. Selezionare Conformità.
  4. Usare i filtri per visualizzare in base allo stato Ambito, Tipo o Conformità. Usare l'elenco di ricerca in base al nome o all'ID. Screenshot showing policy compliance in portal.
  5. Selezionare un criterio per esaminare i dettagli e gli eventi di conformità aggregati.
  6. Selezionare un sito Web PubSub specifico per la conformità delle risorse.

Conformità dei criteri nell'interfaccia della riga di comando di Azure

È possibile usare l'interfaccia della riga di comando di Azure per ottenere i dati di conformità. Usare il comando az policy assignment list per ottenere gli ID dei criteri dei criteri dei criteri del servizio PubSub di Azure applicati:

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

Output di esempio:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Eseguire il comando az policy state list per restituire lo stato di conformità in formato JSON per tutte le risorse in un gruppo di risorse specifico:

az policy state list --g <resourceGroup>

Eseguire il comando az policy state list per restituire lo stato di conformità in formato JSON di una risorsa Web PubSub specifica:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Passaggi successivi