Auditar a conformidade dos recursos do Serviço Azure SignalR usando a Política do Azure
O Azure Policy é um serviço no Azure que você usa para criar, atribuir e gerenciar políticas. Estas políticas impõem diferentes regras e efeitos aos recursos, de forma a que esses recursos se mantenham em conformidade com as normas empresariais e os contratos de nível de serviço.
Este artigo apresenta políticas internas (visualização) para o Serviço Azure SignalR. Use essas políticas para auditar recursos SignalR novos e existentes para fins de conformidade.
Não há taxas associadas à utilização da Azure Policy.
Definições de política incorporadas
As seguintes definições de política internas são específicas do Serviço Azure SignalR:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço Azure SignalR deve desativar o acesso à rede pública | Para melhorar a segurança do recurso do Serviço SignalR do Azure, certifique-se de que ele não esteja exposto à Internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/asrs/networkacls. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.1.0 |
| O Serviço Azure SignalR deve habilitar logs de diagnóstico | Auditoria habilitação de logs de diagnóstico. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Serviço Azure SignalR exija exclusivamente identidades do Azure Ative Directory para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar uma SKU habilitada para Link Privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino, o que protege seus recursos contra riscos de vazamento de dados públicos. A política limita você a SKUs habilitadas para Link Privado para o Serviço Azure SignalR. Saiba mais sobre o link privado em: https://aka.ms/asrs/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Configurar o Serviço Azure SignalR para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Serviço Azure SignalR exija exclusivamente identidades do Azure Ative Directory para autenticação. | Modificar, Desativado | 1.0.0 |
| Configurar pontos de extremidade privados para o Serviço Azure SignalR | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para recursos do Serviço Azure SignalR, você pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados se conectarem ao Serviço Azure SignalR | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o recurso do Serviço Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Modificar recursos do Serviço Azure SignalR para desabilitar o acesso à rede pública | Para melhorar a segurança do recurso do Serviço SignalR do Azure, certifique-se de que ele não esteja exposto à Internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/asrs/networkacls. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Modificar, Desativado | 1.1.0 |
Atribuir definições de política
- Atribua definições de política usando o portal do Azure, a CLI do Azure, um modelo do Gerenciador de Recursos ou os SDKs de Política do Azure.
- Defina o escopo de uma atribuição de política a um grupo de recursos, uma assinatura ou um grupo de gerenciamento do Azure. As atribuições de política do SignalR aplicam-se aos recursos existentes e novos do SignalR dentro do escopo.
- Habilite ou desabilite a aplicação de políticas a qualquer momento.
Nota
Depois de atribuir ou atualizar uma política, leva algum tempo para que a atribuição seja aplicada aos recursos no escopo definido. Consulte informações sobre gatilhos de avaliação de políticas.
Rever a conformidade com a política
Acesse informações de conformidade geradas por suas atribuições de política usando o portal do Azure, as ferramentas de linha de comando do Azure ou os SDKs de Política do Azure. Para obter detalhes, consulte Obter dados de conformidade dos recursos do Azure.
Quando um recurso não está em conformidade, há muitas razões possíveis. Para determinar o motivo ou encontrar a alteração responsável, consulte Determinar não conformidade.
Conformidade com a política no portal:
Selecione Todos os serviços e procure Política.
Selecione Conformidade.
Use os filtros para limitar os estados de conformidade ou para pesquisar políticas
Selecione uma política para analisar os detalhes e eventos de conformidade agregados. Se desejar, selecione um SignalR específico para conformidade de recursos.
Conformidade com a política na CLI do Azure
Você também pode usar a CLI do Azure para obter dados de conformidade. Por exemplo, use o comando az policy assignment list na CLI para obter as IDs de política das políticas do Serviço SignalR do Azure que são aplicadas:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Saída de exemplo:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Em seguida, execute az policy state list para retornar o estado de conformidade formatado em JSON para todos os recursos em um grupo de recursos específico:
az policy state list --g <resourceGroup>
Ou execute az policy state list para retornar o estado de conformidade formatado em JSON de um recurso SignalR específico:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Próximos passos
Saiba mais sobre as definições e os efeitos da Política do Azure
Criar uma definição de política personalizada
Saiba mais sobre os recursos de governança no Azure