使用 Azure 原則 稽核 Azure Web PubSub 服務資源的合規性
Azure 原則 是 Azure 中的免費服務,可建立、指派和管理原則,以強制執行規則和效果,以確保您的資源符合公司標準和服務等級協定。 使用這些原則來稽核 Web PubSub 資源以符合規範。
本文說明 Azure Web PubSub Service 的內建原則。
內建原則定義
下表包含 Azure Web PubSub Azure 原則 內建原則定義的索引。 如需其他服務的內建 Azure 原則,請參閱 Azure 原則 內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 數據行中的連結,在 gitHub 存放庫上檢視 Azure 原則 來源。
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Web PubSub 服務應停用公用網路存取 | 停用公用網路存取可藉由確保 Azure Web PubSub 服務不會公開在公用因特網上來改善安全性。 建立私人端點可以限制 Azure Web PubSub 服務的曝光。 深入了解:https://aka.ms/awps/networkacls。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Web PubSub 服務應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Web PubSub Service 完全要求 Azure Active Directory 身分識別進行驗證,藉以改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應該使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Disabled | 1.0.0 |
| 設定 Azure Web PubSub 服務以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Web PubSub 服務完全需要 Azure Active Directory 身分識別進行驗證。 | 修改、停用 | 1.0.0 |
| 設定 Azure Web PubSub 服務以停用公用網路存取 | 停用 Azure Web PubSub 資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/awps/networkacls。 | 修改、停用 | 1.0.0 |
| 設定 Azure Web PubSub 服務以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure Web PubSub 服務。 深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用私人端點設定 Azure Web PubSub 服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
指派原則定義
指派原則定義時:
- 您可以使用 Azure 入口網站、Azure CLI、Resource Manager 範本或 Azure 原則 SDK 來指派原則定義。
- 原則指派的範圍可以設定為資源群組、訂用帳戶或 Azure 管理群組。
- 您可以隨時啟用或停用 原則強制執行 。
- Web PubSub 原則指派適用於範圍內現有和新的 Web PubSub 資源。
注意
指派或更新原則指派之後,指派需要一些時間才會套用至所定義範圍內的資源。 請參閱原則評估觸發程序的相關資訊。
檢閱原則合規性
使用 Azure 入口網站、Azure 命令列工具或 Azure 原則 SDK,存取原則指派所產生的合規性資訊。 如需詳細資訊,請參閱取得 Azure 資源的合規性資料。
如果資源不符合規範,有許多可能的原因。 若要判斷原因,或是找出導致此情況的變更,請參閱判斷不符合規範的原因。
入口網站中的原則合規性:
- 開啟 Azure 入口網站 並搜尋原則。
- 選取 [ 原則]。
- 選取 [合規性]。
- 使用篩選來依 [範圍]、 [類型 ] 或 [合規性] 狀態顯示。 依名稱或標識碼使用搜尋清單。
- 選取原則以檢閱彙總合規性詳細資料和事件。
- 選取特定的 Web PubSub 以符合資源。
Azure CLI 中的原則合規性
您可以使用 Azure CLI 來取得合規性數據。 使用 az policy assignment list 命令來取得已套用之 Azure Web PubSub 服務原則的原則標識碼:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
範例輸出︰
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
執行 az policy state list 命令,以傳回特定資源群組下所有資源的 JSON 格式合規性狀態:
az policy state list --g <resourceGroup>
執行 az policy state list 命令,以傳回特定 Web PubSub 資源的 JSON 格式合規性狀態:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>