Definições internas da Política do Azure para o Hub IoT do Azure
Para obter o código de exemplo do Hub IoT que mostra como implementar cenários comuns de IoT, consulte os inícios rápidos do Hub IoT. Existem inícios rápidos para várias linguagens de programação, incluindo C, Node.js e Python.
Esta página é um índice das definições de política interna da Política do Azure para o Hub IoT do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Hub IoT do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: o Hub IoT do Azure deve utilizar a chave gerida pelo cliente para encriptar dados em repouso | A criptografia de dados em repouso no Hub IoT com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia às chaves gerenciadas por serviço padrão, permite o controle de chaves pelo cliente, políticas de rotação personalizadas e a capacidade de gerenciar o acesso aos dados por meio do controle de acesso de chaves. As chaves gerenciadas pelo cliente devem ser configuradas durante a criação do Hub IoT. Para obter mais informações sobre como configurar chaves gerenciadas pelo cliente, consulte https://aka.ms/iotcmk. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: os dados do serviço de provisionamento de dispositivos do Hub IoT devem ser criptografados usando chaves gerenciadas pelo cliente (CMK) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do serviço de provisionamento de dispositivos do Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| O Hub IoT do Azure deve ter métodos de autenticação local desabilitados para APIs de Serviço | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Hub IoT do Azure exija exclusivamente identidades do Azure Ative Directory para autenticação de API de Serviço. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar o Hub IoT do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Hub IoT do Azure exija exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Modificar, Desativado | 1.0.0 |
| Configurar instâncias de serviço de provisionamento de dispositivo do Hub IoT para desabilitar o acesso à rede pública | Desative o acesso à rede pública para sua instância de provisionamento de dispositivo do Hub IoT para que ela não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/iotdpsvnet. | Modificar, Desativado | 1.0.0 |
| Configurar instâncias de serviço de provisionamento de dispositivo do Hub IoT com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar Hubs IoT do Azure com pontos de extremidade privados | Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Esta política implanta um ponto de extremidade privado para seu hub IoT para permitir que os serviços dentro de sua rede virtual alcancem o Hub IoT sem exigir que o tráfego seja enviado para o ponto de extremidade público do Hub IoT. | DeployIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.devices/provisioningservices no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.devices/provisioningservices no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.devices/provisioningservices para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que a instância do serviço de provisionamento de dispositivos do Hub IoT não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição das instâncias de provisionamento de dispositivos do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | Auditoria, Negar, Desativado | 1.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| Modificar - Configurar os Hubs IoT do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Hub IoT do Azure só possa ser acessado a partir de um ponto de extremidade privado. Esta política desativa o acesso à rede pública nos recursos do Hub IoT. | Modificar, Desativado | 1.0.0 |
| Ponto de extremidade privado deve ser habilitado para o Hub IoT | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Hub IoT. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | Auditoria, Desativado | 1.0.0 |
| O acesso à rede pública no Hub IoT do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Hub IoT do Azure só possa ser acessado a partir de um ponto de extremidade privado. | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.