次の方法で共有

Azure Policy を使用して Azure Event Hubs 名前空間の最小 TLS バージョンへの準拠を監査する

  • [アーティクル]

多数の Microsoft Azure Event Hubs 名前空間がある場合、監査を実行して、すべての名前空間が組織で必要な最小バージョンの TLS を使用するように構成されていることを、確認したい場合があります。 一連の Event Hubs 名前空間のコンプライアンスを監査するには、Azure Policy を使用します。 Azure Policy は、Azure リソースにルールを適用するポリシーの作成、割り当て、管理に使用できるサービスです。 Azure Policy を使用すると、それらのリソースが会社の標準やサービス レベル アグリーメントに準拠した状態を維持するのに役立ちます。 詳細については、Azure Policy の概要に関するページを参照してください。

監査効果を持つポリシーを作成する

Azure Policy では、ポリシー規則がリソースに対して評価されたときに実行される動作を決定する効果がサポートされています。 監査効果を使用すると、リソースが準拠していない場合に警告が生成されますが、要求は停止されません。 効果の詳細については、「Azure Policy 効果について」を参照してください。

Azure portal を使用して最小 TLS バージョンに対して監査効果を持つポリシーを作成するには、次の手順のようにします。

  1. Azure portal で、Azure Policy サービスに移動します。

  2. [作成] セクションで [定義] を選択します。

  3. [ポリシー定義の追加] を選択して、新しいポリシー定義を作成します。

  4. [定義の場所] フィールドで、 [More](詳細) ボタンを選択して、監査ポリシーのリソースがある場所を指定します。

  5. ポリシーの名前を指定します。 必要に応じて説明およびカテゴリを指定することもできます。

  6. [ポリシー規則] で、次のポリシー定義を policyRule セクションに追加します。

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. ポリシーを保存します。

ポリシーを割り当てる

次に、ポリシーをリソースに割り当てます。 ポリシーのスコープは、そのリソースとその下にあるすべてのリソースに対応します。 ポリシー割り当ての詳細については、「Azure Policy の割り当ての構造」を参照してください。

Azure portal でポリシーを割り当てるには、次の手順を実行します。

  1. Azure portal で、Azure Policy サービスに移動します。
  2. [作成] セクションで [割り当て] を選択します。
  3. 新しいポリシー割り当てを作成するために、 [ポリシーの割り当て] を選択します。
  4. [スコープ] フィールドで、ポリシー割り当てのスコープを選択します。
  5. [ポリシー定義] フィールドで、 [More](詳細) ボタンを選択して、前のセクションで定義したポリシーを一覧から選択します。
  6. ポリシー割り当て用の名前 を入力します。 説明は省略できます。
  7. [ポリシーの適用] を "有効" のままに設定しておきます。 この設定は、監査ポリシーには影響しません。
  8. [確認および作成] を選択して割り当てを作成します。

コンプライアンス レポートを表示する

ポリシーを割り当てたら、コンプライアンス レポートを表示できます。 監査ポリシーのコンプライアンス レポートには、ポリシーに準拠していない Event Hubs 名前空間に関する情報が表示されます。 詳細については、ポリシーのコンプライアンス データを取得することに関する記事を参照してください。

ポリシー割り当てが作成された後、コンプライアンス レポートが使用可能になるまで数分かかる場合があります。

Azure portal でコンプライアンス レポートを表示するには、次の手順を実行します。

  1. Azure portal で、Azure Policy サービスに移動します。
  2. [コンプライアンス] を選択します。
  3. 前の手順で作成したポリシー割り当ての名前の結果をフィルター処理します。 このレポートには、ポリシーに準拠していないリソースの数が表示されます。
  4. レポートをドリルダウンして、準拠していない Event Hubs 名前空間の一覧などの詳細を表示できます。

Azure Policy を使用して最小 TLS バージョンを適用する

Azure Policy では、Azure リソースが要件と標準に準拠していることを確認することで、クラウド ガバナンスがサポートされます。 組織内の Event Hubs 名前空間に対して最小 TLS バージョン要件を適用するには、ポリシーで指定されているものより古いバージョンの TLS に最小 TLS 要件が設定されている新しい Event Hubs 名前空間の作成を禁止するポリシーを作成します。 また、このポリシーでは、既存の名前空間に対する最小 TLS バージョンの設定がポリシーに準拠していない場合に、その名前空間に対するすべての構成変更が禁止されます。

適用ポリシーでは、Deny 効果を使用して、最小 TLS バージョンが組織の標準に準拠しなくなるような Event Hubs 名前空間の作成要求または変更要求が禁止されます。 効果の詳細については、「Azure Policy 効果について」を参照してください。

TLS 1.2 より小さい最小 TLS バージョンに対して Deny 効果を持つポリシーを作成するには、ポリシー定義の policyRule セクションに次の JSON を指定します。

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Deny 効果を持つポリシーを作成し、これをスコープに割り当てると、ユーザーは 1.2 より古い最小 TLS バージョンで Event Hubs 名前空間を作成できなくなります。 また、ユーザーは、現在 1.2 より古い最小 TLS バージョンを要求している既存の Event Hubs 名前空間に対して構成変更を行うこともできません。 この操作を行おうとすると、エラーが発生します。 名前空間の作成または構成を続行するには、Event Hubs 名前空間に必要な最小 TLS バージョンを、1.2 に設定する必要があります。

Deny 効果を持つポリシーで、最小 TLS バージョンを TLS 1.2 に設定することが要求されているときに、最小 TLS バージョンを TLS 1.0 に設定して Event Hubs 名前空間を作成しようとすると、エラーが表示されます。

次のステップ

詳細については、以下のドキュメントを参照してください。