Audit dodržování předpisů u prostředků služby signalizace Azure pomocí Azure Policy

Azure Policy je služba v Azure, kterou používáte k vytváření, přiřazování a správě zásad. Tyto zásady vynucují na vašich prostředcích různá pravidla a účinky, aby tyto prostředky zůstaly kompatibilní s vašimi firemními standardy a smlouvami o úrovni služeb.

Tento článek představuje předdefinované zásady (Preview) pro službu Azure Signal Service. Pomocí těchto zásad můžete auditovat nové a stávající prostředky signálů pro dodržování předpisů.

Za použití Azure Policy se neúčtují žádné poplatky.

Předdefinované definice zásad

Následující předdefinované definice zásad jsou specifické pro službu Azure Signal Service:

Name
(Azure Portal)
Popis Efekty Verze
(GitHub)
Azure SignalR Service byste měli zakázat přístup k veřejné síti. Pokud chcete zlepšit zabezpečení Azure SignalR Service prostředků, ujistěte se, že není vystavený veřejnému internetu a že je přístupný pouze z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v části https://aka.ms/asrs/networkacls . Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na IP adrese nebo virtuální síti. Tím se sníží riziko úniku dat. Auditovat, Odepřít, Zakázáno 1.0.0
Azure SignalR Service by měly být zakázané místní metody ověřování. Zakázáním místních metod ověřování se zlepší zabezpečení tím, že Azure SignalR Service, aby Azure Active Directory ověřování vyžadovaly pouze identitu identit. Auditovat, Odepřít, Zakázáno 1.0.0
Azure SignalR Service byste měli použít SKU Private Link s podporou Azure Private Link vám umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli, což chrání vaše prostředky před riziky úniku veřejných dat. Tato zásada vás omezuje na Private Link skladové hodnoty pro Azure SignalR Service. Další informace o privátním propojení najdete zde: https://aka.ms/asrs/privatelink . Auditovat, Odepřít, Zakázáno 1.0.0
Azure SignalR Service použít private link Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje propojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů Azure SignalR Service prostředků, a ne na celou službu, snížíte riziko úniku dat. Další informace o privátních propojeních najdete zde: https://aka.ms/asrs/privatelink . Auditovat, Odepřít, Zakázáno 1.0.1
Konfigurace Azure SignalR Service zakažte místní ověřování Zakažte místní metody ověřování, aby vaše Azure SignalR Service k ověřování Azure Active Directory identity. Upravit, Zakázáno 1.0.0
Konfigurace privátních koncových bodů pro Azure SignalR Service Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů Azure SignalR Service prostředků můžete snížit rizika úniku dat. Další informace najdete na adrese https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Nasazení – Konfigurace privátních zón DNS pro připojení privátních koncových bodů k Azure SignalR Service Pomocí privátních zón DNS přepište překlad DNS privátního koncového bodu. Privátní zóna DNS odkazuje na vaši virtuální síť a překládá ji Azure SignalR Service prostředky. Další informace najdete zde: https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Úprava Azure SignalR Service prostředků a zakázání přístupu k veřejné síti Pokud chcete zlepšit zabezpečení Azure SignalR Service prostředků, ujistěte se, že není vystavený veřejnému internetu a že je přístupný pouze z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v části https://aka.ms/asrs/networkacls . Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na IP adrese nebo virtuální síti. Tím se sníží riziko úniku dat. Upravit, Zakázáno 1.0.0

Přiřazení definic zásad

Poznámka

Až zásadu přiřadíte nebo aktualizujete, může trvat nějakou dobu, než se přiřazení použije na prostředky v definovaném oboru. Podívejte se na informace o aktivačních událostech pro vyhodnocení zásad.

Kontrola dodržování zásad

Přístup k informacím o dodržování předpisů generovanými přiřazeními zásad pomocí Azure Portal, nástrojů příkazového řádku Azure nebo sad Azure Policy SDK. Podrobnosti najdete v tématu o získání dat o dodržování předpisů u prostředků Azure.

Pokud prostředek není kompatibilní, existuje mnoho možných důvodů. Chcete-li určit důvod nebo najít odpovědné změny, přečtěte si téma určení nedodržení předpisů.

Dodržování zásad na portálu:

  1. Vyberte všechny služby a vyhledejte zásady.

  2. Vyberte možnost dodržování předpisů.

  3. Omezení stavů dodržování předpisů nebo hledání zásad pomocí filtrů

    Dodržování zásad na portálu

  4. Vyberte zásadu pro kontrolu agregovaných podrobností a událostí dodržování předpisů. V případě potřeby vyberte konkrétní signál pro dodržování předpisů s prostředky.

Dodržování zásad v rozhraní příkazového řádku Azure

K získání dat o dodržování předpisů můžete použít také rozhraní příkazového řádku Azure. Pomocí příkazu AZ Policy list v rozhraní PŘÍKAZového řádku můžete například získat ID zásad pro zásady služby Azure Signal, které se použijí:

az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table

Ukázkový výstup:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Pak spusťte příkaz AZ Policy list a vraťte stav dodržování předpisů ve formátu JSON pro všechny prostředky v určité skupině prostředků:

az policy state list --g <resourceGroup>

Nebo spusťte AZ Policy list a vraťte stav dodržování předpisů ve formátu JSON konkrétního prostředku signalizace:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Další kroky