Użyj Azure Policy do inspekcji pod kątem zgodności minimalnej wersji protokołu TLS dla przestrzeni nazw Azure Service Bus

Jeśli masz dużą liczbę Microsoft Azure Service Bus przestrzeni nazw, możesz wykonać inspekcję, aby upewnić się, że wszystkie przestrzenie nazw są skonfigurowane dla minimalnej wersji protokołu TLS wymaganej przez organizację. Aby przeprowadzić inspekcję zestawu przestrzeni nazw usługi Service Bus pod kątem zgodności, użyj Azure Policy. Azure Policy to usługa, której można użyć do tworzenia, przypisywania i zarządzania zasadami, które stosują reguły do zasobów platformy Azure. Azure Policy pomaga zachować zgodność tych zasobów ze standardami firmy i umowami dotyczącymi poziomu usług. Aby uzyskać więcej informacji, zobacz Omówienie Azure Policy.

Tworzenie zasad z efektem inspekcji

Azure Policy obsługuje efekty, które określają, co się stanie, gdy reguła zasad jest oceniana względem zasobu. Efekt inspekcji tworzy ostrzeżenie, gdy zasób nie jest zgodny, ale nie zatrzymuje żądania. Aby uzyskać więcej informacji na temat efektów, zobacz Omówienie efektów Azure Policy.

Aby utworzyć zasady z efektem inspekcji dla minimalnej wersji protokołu TLS z Azure Portal, wykonaj następujące kroki:

1. W Azure Portal przejdź do usługi Azure Policy.

2. W sekcji Tworzenie wybierz pozycję Definicje.

3. Wybierz pozycję Dodaj definicję zasad , aby utworzyć nową definicję zasad.

4. W polu Lokalizacja definicji wybierz przycisk Więcej , aby określić miejsce, w którym znajduje się zasób zasad inspekcji.

5. Określ nazwę zasad. Opcjonalnie możesz określić opis i kategorię.

6. W obszarze Reguła zasad dodaj następującą definicję zasad do sekcji policyRule .

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Zapisz zasady.

Przypisywanie zasad

Następnie przypisz zasady do zasobu. Zakres zasad odpowiada zasobowi i wszelkim zasobom poniżej. Aby uzyskać więcej informacji na temat przypisywania zasad, zobacz Azure Policy strukturę przypisania.

Aby przypisać zasady przy użyciu Azure Portal, wykonaj następujące kroki:

1. W Azure Portal przejdź do usługi Azure Policy.
2. W sekcji Tworzenie wybierz pozycję Przypisania.
3. Wybierz pozycję Przypisz zasady , aby utworzyć nowe przypisanie zasad.
4. W polu Zakres wybierz zakres przypisania zasad.
5. W polu Definicja zasad wybierz przycisk Więcej , a następnie wybierz zasady zdefiniowane w poprzedniej sekcji z listy.
6. Podaj nazwę przypisania zasad. Opis jest opcjonalny.
7. Pozostaw opcję Wymuszanie zasad ustawione na wartość Włączone. To ustawienie nie ma wpływu na zasady inspekcji.
8. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć przypisanie.

Wyświetlanie raportu zgodności

Po przypisaniu zasad można wyświetlić raport zgodności. Raport zgodności zasad inspekcji zawiera informacje o tym, które przestrzenie nazw usługi Service Bus nie są zgodne z zasadami. Aby uzyskać więcej informacji, zobacz Pobieranie danych zgodności zasad.

Udostępnienie raportu zgodności po utworzeniu przypisania zasad może potrwać kilka minut.

Aby wyświetlić raport zgodności w Azure Portal, wykonaj następujące kroki:

1. W Azure Portal przejdź do usługi Azure Policy.
2. Wybierz pozycję Zgodność.
3. Przefiltruj wyniki pod kątem nazwy przypisania zasad utworzonego w poprzednim kroku. Raport pokazuje, ile zasobów nie jest zgodnych z zasadami.
4. Możesz przejść do szczegółów raportu, aby uzyskać dodatkowe informacje, w tym listę przestrzeni nazw usługi Service Bus, które nie są zgodne.

Użyj Azure Policy, aby wymusić minimalną wersję protokołu TLS

Azure Policy obsługuje ład w chmurze, zapewniając, że zasoby platformy Azure są zgodne z wymaganiami i standardami. Aby wymusić minimalne wymaganie dotyczące wersji protokołu TLS dla przestrzeni nazw usługi Service Bus w organizacji, można utworzyć zasady, które uniemożliwiają utworzenie nowej przestrzeni nazw usługi Service Bus, która określa minimalne wymaganie protokołu TLS dla starszej wersji protokołu TLS niż ta, która jest określana przez zasady. Te zasady uniemożliwią również wszystkie zmiany konfiguracji w istniejącej przestrzeni nazw, jeśli ustawienie minimalnej wersji protokołu TLS dla tej przestrzeni nazw nie jest zgodne z zasadami.

Zasady wymuszania używają efektu odmowy, aby zapobiec żądaniu, które utworzy lub zmodyfikuje przestrzeń nazw usługi Service Bus, aby minimalna wersja protokołu TLS nie jest już zgodna ze standardami organizacji. Aby uzyskać więcej informacji na temat efektów, zobacz Omówienie efektów Azure Policy.

Aby utworzyć zasady z efektem odmowy dla minimalnej wersji protokołu TLS mniejszej niż TLS 1.2, podaj następujący kod JSON w sekcji policyRule definicji zasad:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Po utworzeniu zasad z efektem odmowy i przypisaniu ich do zakresu użytkownik nie może utworzyć przestrzeni nazw usługi Service Bus z minimalną wersją protokołu TLS starszą niż 1.2. Użytkownik nie może również wprowadzić żadnych zmian konfiguracji w istniejącej przestrzeni nazw usługi Service Bus, która obecnie wymaga minimalnej wersji protokołu TLS starszej niż 1.2. Próba wykonania tej czynności powoduje wystąpienie błędu. Wymagana minimalna wersja protokołu TLS dla przestrzeni nazw usługi Service Bus musi być ustawiona na 1.2, aby kontynuować tworzenie lub konfigurowanie przestrzeni nazw.

Jeśli spróbujesz utworzyć przestrzeń nazw usługi Service Bus z minimalną wersją protokołu TLS ustawioną na tls 1.0, zostanie wyświetlony błąd, gdy zasady z efektem odmowy wymagają ustawienia minimalnej wersji protokołu TLS na tls 1.2.

Następne kroki

Aby uzyskać więcej informacji, zobacz następującą dokumentację.

• Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla żądań do przestrzeni nazw usługi Service Bus
• Konfigurowanie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus
• Konfigurowanie protokołu Transport Layer Security (TLS) dla aplikacji klienckiej usługi Service Bus