分享方式:


使用 Azure 原則 稽核 Azure Web PubSub 服務資源的合規性

Azure 原則 是 Azure 中的免費服務,可建立、指派和管理原則,以強制執行規則和效果,以確保您的資源符合公司標準和服務等級協定。 使用這些原則來稽核 Web PubSub 資源以符合規範。

本文說明 Azure Web PubSub Service 的內建原則。

內建原則定義

下表包含 Azure Web PubSub Azure 原則 內建原則定義的索引。 如需其他服務的內建 Azure 原則,請參閱 Azure 原則 內建定義

連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 數據行中的連結,在 gitHub 存放庫檢視 Azure 原則 來源。

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Azure Web PubSub 服務應停用公用網路存取 停用公用網路存取可藉由確保 Azure Web PubSub 服務不會公開在公用因特網上來改善安全性。 建立私人端點可以限制 Azure Web PubSub 服務的曝光。 深入了解:https://aka.ms/awps/networkacls Audit, Deny, Disabled 1.0.0
Azure Web PubSub 服務應啟用診斷記錄 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 1.0.0
Azure Web PubSub 服務應停用本機驗證方法 停用本機驗證方法可確保 Azure Web PubSub Service 完全要求 Azure Active Directory 身分識別進行驗證,藉以改善安全性。 Audit, Deny, Disabled 1.0.0
Azure Web PubSub 服務應該使用支援私人連結的 SKU 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink Audit, Deny, Disabled 1.0.0
Azure Web PubSub 服務應使用私人連結 Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink Audit, Disabled 1.0.0
設定 Azure Web PubSub 服務以停用本機驗證 停用本機驗證方法,讓您的 Azure Web PubSub 服務完全需要 Azure Active Directory 身分識別進行驗證。 修改、停用 1.0.0
設定 Azure Web PubSub 服務以停用公用網路存取 停用 Azure Web PubSub 資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/awps/networkacls 修改、停用 1.0.0
設定 Azure Web PubSub 服務以使用私人 DNS 區域 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure Web PubSub 服務。 深入了解:https://aka.ms/awps/privatelink DeployIfNotExists, Disabled 1.0.0
使用私人端點設定 Azure Web PubSub 服務 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink DeployIfNotExists, Disabled 1.0.0

指派原則定義

指派原則定義時:

  • 您可以使用 Azure 入口網站、Azure CLIResource Manager 範本或 Azure 原則 SDK 來指派原則定義。
  • 原則指派的範圍可以設定為資源群組、訂用帳戶或 Azure 管理群組
  • 您可以隨時啟用或停用 原則強制執行
  • Web PubSub 原則指派適用於範圍內現有和新的 Web PubSub 資源。

注意

指派或更新原則指派之後,指派需要一些時間才會套用至所定義範圍內的資源。 請參閱原則評估觸發程序的相關資訊。

檢閱原則合規性

使用 Azure 入口網站、Azure 命令列工具或 Azure 原則 SDK,存取原則指派所產生的合規性資訊。 如需詳細資訊,請參閱取得 Azure 資源的合規性資料

如果資源不符合規範,有許多可能的原因。 若要判斷原因,或是找出導致此情況的變更,請參閱判斷不符合規範的原因

入口網站中的原則合規性:

  1. 開啟 Azure 入口網站 並搜尋原則
  2. 選取 [ 原則]。
  3. 選取 [合規性]
  4. 使用篩選來依 [範圍]、 [類型 ] 或 [合規性] 狀態顯示。 依名稱或標識碼使用搜尋清單。 Screenshot showing policy compliance in portal.
  5. 選取原則以檢閱彙總合規性詳細資料和事件。
  6. 選取特定的 Web PubSub 以符合資源。

Azure CLI 中的原則合規性

您可以使用 Azure CLI 來取得合規性數據。 使用 az policy assignment list 命令來取得已套用之 Azure Web PubSub 服務原則的原則標識碼:

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

範例輸出︰

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

執行 az policy state list 命令,以傳回特定資源群組下所有資源的 JSON 格式合規性狀態:

az policy state list --g <resourceGroup>

執行 az policy state list 命令,以傳回特定 Web PubSub 資源的 JSON 格式合規性狀態:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

下一步