Auditar a conformidade dos recursos do Serviço Azure Web PubSub usando a Política do Azure
O Azure Policy é um serviço gratuito no Azure para criar, atribuir e gerenciar políticas que impõem regras e efeitos para garantir que seus recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço. Use essas políticas para auditar os recursos do Web PubSub para fins de conformidade.
Este artigo descreve as políticas internas para o Serviço Azure Web PubSub.
Definições de política incorporadas
A tabela a seguir contém um índice das definições de política interna da Política do Azure para o Azure Web PubSub. Para obter informações internas da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço Azure Web PubSub deve desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o serviço Azure Web PubSub não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/networkacls. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve habilitar logs de diagnóstico | Auditoria habilitação de logs de diagnóstico. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Serviço Azure Web PubSub exija exclusivamente identidades do Azure Ative Directory para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve usar uma SKU que ofereça suporte ao link privado | Com a SKU suportada, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Serviço Azure Web PubSub exija exclusivamente identidades do Azure Ative Directory para autenticação. | Modificar, Desativado | 1.0.0 |
| Configurar o Serviço Azure Web PubSub para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu recurso Azure Web PubSub para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/awps/networkacls. | Modificar, Desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
Atribuir definições de política
Ao atribuir uma definição de política:
- Você pode atribuir definições de política usando o portal do Azure, a CLI do Azure, um modelo do Gerenciador de Recursos ou os SDKs de Política do Azure.
- As atribuições de política podem ter como escopo um grupo de recursos, uma assinatura ou um grupo de gerenciamento do Azure.
- Você pode habilitar ou desabilitar a aplicação de políticas a qualquer momento.
- As atribuições de política Web PubSub aplicam-se a recursos Web PubSub novos e existentes dentro do escopo.
Nota
Depois de atribuir ou atualizar uma política, leva algum tempo para que a atribuição seja aplicada aos recursos no escopo definido. Consulte informações sobre gatilhos de avaliação de políticas.
Rever a conformidade com a política
Acesse informações de conformidade geradas por suas atribuições de política usando o portal do Azure, as ferramentas de linha de comando do Azure ou os SDKs de Política do Azure. Para obter detalhes, consulte Obter dados de conformidade dos recursos do Azure.
Quando um recurso não está em conformidade, há muitas razões possíveis. Para determinar o motivo ou encontrar a alteração responsável, consulte Determinar não conformidade.
Conformidade com a política no portal:
- Abra o portal do Azure e procure Política.
- Selecione Política.
- Selecione Conformidade.
- Use os filtros para exibir por Escopo, Tipo ou Estado de Conformidade. Use a lista de pesquisa por nome ou ID.
- Selecione uma política para analisar os detalhes e eventos de conformidade agregados.
- Selecione um Web PubSub específico para conformidade de recursos.
Conformidade com a política na CLI do Azure
Você pode usar a CLI do Azure para obter dados de conformidade. Use o comando az policy assignment list para obter as IDs de política das políticas do Serviço Azure Web PubSub que são aplicadas:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Saída de exemplo:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Execute o comando az policy state list para retornar o estado de conformidade formatado em JSON para todos os recursos em um grupo de recursos específico:
az policy state list --g <resourceGroup>
Execute o comando az policy state list para retornar o estado de conformidade formatado em JSON de um recurso Web PubSub específico:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Próximos passos
Saiba mais sobre as definições e os efeitos da Política do Azure
Criar uma definição de política personalizada
Saiba mais sobre os recursos de governança no Azure