Utilizar Azure Policy para auditar a conformidade da versão mínima do TLS para um espaço de nomes Azure Service Bus

Se tiver um grande número de espaços de nomes Microsoft Azure Service Bus, poderá querer efetuar uma auditoria para se certificar de que todos os espaços de nomes estão configurados para a versão mínima do TLS necessária para a sua organização. Para auditar um conjunto de espaços de nomes do Service Bus relativamente à respetiva conformidade, utilize Azure Policy. Azure Policy é um serviço que pode utilizar para criar, atribuir e gerir políticas que aplicam regras aos recursos do Azure. Azure Policy ajuda-o a manter esses recursos em conformidade com as normas empresariais e os contratos de nível de serviço. Para obter mais informações, veja Descrição geral de Azure Policy.

Criar uma política com um efeito de auditoria

Azure Policy suporta efeitos que determinam o que acontece quando uma regra de política é avaliada relativamente a um recurso. O efeito de auditoria cria um aviso quando um recurso não está em conformidade, mas não para o pedido. Para obter mais informações sobre efeitos, veja Compreender Azure Policy efeitos.

Para criar uma política com um efeito de auditoria para a versão mínima do TLS com o portal do Azure, siga estes passos:

1. No portal do Azure, navegue para o serviço Azure Policy.

2. Na secção Criação , selecione Definições.

3. Selecione Adicionar definição de política para criar uma nova definição de política.

4. Para o campo Localização da definição , selecione o botão Mais para especificar onde está localizado o recurso de política de auditoria.

5. Especifique um nome para a política. Opcionalmente, pode especificar uma descrição e uma categoria.

6. Em Regra de política , adicione a seguinte definição de política à secção policyRule .

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Guarde a política.

Atribuir a política

Em seguida, atribua a política a um recurso. O âmbito da política corresponde a esse recurso e a quaisquer recursos abaixo do mesmo. Para obter mais informações sobre a atribuição de políticas, veja Azure Policy estrutura de atribuição.

Para atribuir a política ao portal do Azure, siga estes passos:

1. No portal do Azure, navegue para o serviço Azure Policy.
2. Na secção Criação , selecione Atribuições.
3. Selecione Atribuir política para criar uma nova atribuição de política.
4. Para o campo Âmbito , selecione o âmbito da atribuição de política.
5. Para o campo Definição de política , selecione o botão Mais e, em seguida, selecione a política que definiu na secção anterior da lista.
6. Indique um nome para a atribuição de política. A descrição é opcional.
7. Deixe a imposição da política definida como Ativada. Esta definição não tem qualquer efeito na política de auditoria.
8. Selecione Rever + criar para criar a atribuição.

Ver relatório de conformidade

Depois de atribuir a política, pode ver o relatório de conformidade. O relatório de conformidade de uma política de auditoria fornece informações sobre quais os espaços de nomes do Service Bus que não estão em conformidade com a política. Para obter mais informações, veja Obter dados de conformidade de políticas.

O relatório de conformidade pode demorar vários minutos a ficar disponível após a criação da atribuição de políticas.

Para ver o relatório de conformidade no portal do Azure, siga estes passos:

1. No portal do Azure, navegue para o serviço Azure Policy.
2. Selecione Conformidade.
3. Filtre os resultados para o nome da atribuição de política que criou no passo anterior. O relatório mostra quantos recursos não estão em conformidade com a política.
4. Pode desagregar o relatório para obter detalhes adicionais, incluindo uma lista de espaços de nomes do Service Bus que não estão em conformidade.

Utilizar Azure Policy para impor a versão mínima do TLS

Azure Policy suporta a governação da cloud ao garantir que os recursos do Azure cumprem os requisitos e as normas. Para impor um requisito mínimo de versão do TLS para os espaços de nomes do Service Bus na sua organização, pode criar uma política que impeça a criação de um novo espaço de nomes do Service Bus que defina o requisito mínimo de TLS para uma versão mais antiga do TLS do que a que é ditada pela política. Esta política também impedirá todas as alterações de configuração a um espaço de nomes existente se a definição de versão mínima do TLS para esse espaço de nomes não estiver em conformidade com a política.

A política de imposição utiliza o efeito de negação para impedir um pedido que crie ou modifique um espaço de nomes do Service Bus para que a versão mínima do TLS deixe de cumprir as normas da sua organização. Para obter mais informações sobre efeitos, veja Compreender Azure Policy efeitos.

Para criar uma política com um efeito de negação para uma versão mínima do TLS inferior ao TLS 1.2, forneça o seguinte JSON na secção policyRule da definição de política:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Depois de criar a política com o efeito de negação e atribuí-la a um âmbito, um utilizador não pode criar um espaço de nomes do Service Bus com uma versão mínima do TLS anterior a 1.2. Nem um utilizador pode efetuar alterações de configuração num espaço de nomes do Service Bus existente que necessite atualmente de uma versão mínima do TLS anterior a 1.2. Tentar fazê-lo resulta num erro. A versão mínima do TLS necessária para o espaço de nomes do Service Bus tem de ser definida como 1.2 para continuar com a criação ou configuração do espaço de nomes.

Será apresentado um erro se tentar criar um espaço de nomes do Service Bus com a versão mínima do TLS definida como TLS 1.0 quando uma política com um efeito de negação exigir que a versão mínima do TLS seja definida como TLS 1.2.

Passos seguintes

Veja a seguinte documentação para obter mais informações.

• Impor uma versão mínima necessária do Transport Layer Security (TLS) para pedidos para um espaço de nomes do Service Bus
• Configurar a versão mínima do TLS para um espaço de nomes do Service Bus
• Configurar o Transport Layer Security (TLS) para uma aplicação cliente do Service Bus