Share via

Используйте Политику Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен Центров событий Azure

  • Статья

При наличии большого количества пространств имен Центров событий Microsoft Azure может потребоваться проведение аудита, чтобы убедиться, что для всех пространств имен настроена минимальная версия TLS, необходимая вашей организации. Чтобы выполнить аудит набора пространств имен Центров событий на предмет их соответствия требованиям, используйте Политику Azure. Политика Azure — это служба, которую можно использовать для создания политик для применения правил к ресурсам Azure, их назначения и управления ими. Использование службы "Политика Azure" обеспечивает соответствие ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Дополнительные сведения см. в статье Что такое служба "Политика Azure"?.

Создание политики с использованием эффекта аудита

Политика Azure поддерживает эффекты, которые определяют действия при оценке правила политики для ресурса. При использовании эффекта аудита создается предупреждение, если ресурс не соответствует требованиям. Выполнение запроса при этом не останавливается. Дополнительные сведения об эффектах см. в статье Общие сведения об эффектах Политики Azure.

Чтобы создать политику с эффектом аудита для минимальной версии TLS на портале Microsoft Azure, сделайте следующее:

  1. На портале Microsoft Azure перейдите к службе "Политика Azure".

  2. В разделе Разработка выберите Определения.

  3. Выберите Добавить определение политики, чтобы создать новое определение политики.

  4. В поле Расположение определения нажмите кнопку Дополнительно, чтобы указать, где находится ресурс политики аудита.

  5. Укажите имя политики Azure. При необходимости можно добавить описание и категорию.

  6. В разделе Правило политики добавьте следующее определение Политики Azure в раздел policyrule.

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Сохраните политику.

Назначение политики

Затем назначьте политику для ресурса. Область политики соответствует этому ресурсу и всем ресурсам на нижележащих уровнях. Дополнительные сведения о назначении политики см. в разделе Структура назначения Политики Azure.

Чтобы назначить политику на портале Microsoft Azure, выполните следующие действия.

  1. На портале Microsoft Azure перейдите к службе "Политика Azure".
  2. В разделе Разработка выберите Назначения.
  3. Выберите Назначить политику, чтобы создать новое назначение политики.
  4. В поле Область выберите область назначения политики.
  5. В поле Определение Политики Azure нажмите кнопку Дополнительно, а затем выберите из списка политику, определенную в предыдущем разделе.
  6. Введите имя для назначения политики. Описание является необязательным.
  7. Оставьте для параметра Применение политик значение Включено. Этот параметр не влияет на политику аудита.
  8. Щелкните Просмотреть и создать, чтобы создать назначение.

Просмотр отчета о соответствии

После назначения политики можно просмотреть отчет о соответствии. Отчет о соответствии для политики аудита содержит сведения о том, какие пространства имен Центров событий не соответствуют политике. Дополнительные сведения см. в статье Получение данных о соответствии политики.

После создания назначения политики может пройти несколько минут, прежде чем отчет о соответствии станет доступен.

Чтобы просмотреть отчет о соответствии на портале Microsoft Azure, выполните следующие действия.

  1. На портале Microsoft Azure перейдите к службе "Политика Azure".
  2. Выберите Соответствие.
  3. Отфильтруйте результаты по имени назначения политики, созданной на предыдущем этапе. В отчете указано, сколько ресурсов не соответствует политике.
  4. Вы можете детализировать отчет для получения дополнительных сведений, включая список пространств имен Центров событий, которые не соответствуют требованиям.

Использование Политики Azure для принудительного применения минимальной версии TLS

Политика Azure поддерживает управление облаком, гарантируя, что ресурсы Azure соответствуют требованиям и стандартам. Чтобы применить требования к минимальной версии TLS для пространств имен Центров событий в организации, можно создать политику, которая запрещает создание нового пространства имен Центров событий, устанавливающего минимальные требования к TLS ниже определенных политикой. Эта политика также предотвратит все изменения конфигурации существующего пространства имен, если значение минимальной версии TLS для этого пространства имен не соответствует политике.

Политика принудительного применения использует эффект запрета, чтобы предотвратить получение запроса на создание или изменение пространства имен Центров событий таким образом, чтобы минимальная версия TLS больше не соответствовала стандартам организации. Дополнительные сведения об эффектах см. в статье Общие сведения об эффектах Политики Azure.

Чтобы создать политику с эффектом запрета для минимальной версии TLS, которая меньше, чем версии 1.2, предоставьте следующий код JSON в раздел policyRule определения политики:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

После того как политика с эффектом запрета будет создана и назначена области, пользователи не смогут создавать пространства имен Центров событий с минимальной версией TLS старше 1.2. Кроме того, пользователи не смогут вносить изменения в конфигурацию существующего пространства имен Центров событий, которая в настоящее время требует использовать минимальную версии TLS старше 1.2. Попытка сделать это приведет к ошибке. Чтобы продолжить создание или настройку пространства имен, необходимо задать значение 1.2 для минимальной версии TLS в пространстве имен Центров событий.

При попытке создать пространство имен Центров событий, задав для минимальной версии TLS значение TLS 1.0, в то время как политика с эффектом запрета требует, чтобы для минимальной версии TLS было задано значение TLS 1.2, отобразится ошибка.

Дальнейшие действия

Дополнительные сведения см. в следующей документации.