Utilisez Azure Policy pour auditer la conformité en ce qui concerne la version TLS minimale pour un espace de noms Azure Event Hubs

Si vous avez un grand nombre d’espaces de noms Microsoft Azure Event Hubs, il se peut que vous deviez effectuer un audit pour vous assurer que tous les espaces de noms sont configurés pour la version minimale de TLS que votre organisation exige. Pour auditer un ensemble d’espaces de noms Event Hubs à des fins de conformité, utilisez Azure Policy. Azure Policy est un service que vous pouvez utiliser pour créer, attribuer et gérer des stratégies qui appliquent des règles à des ressources Azure. Lorsque vous utilisez Azure Policy, les ressources restent conformes à vos normes d’entreprise et contrats de niveau de service. Pour plus d’informations, consultez Vue d’ensemble d’Azure Policy.

Créer une stratégie avec un effet d’audit

Azure Policy prend en charge les effets qui déterminent ce qui se produit quand une règle de stratégie est évaluée par rapport à une ressource. L’effet d’audit crée un avertissement quand une ressource n’est pas conforme, mais n’arrête pas la requête. Pour plus d’informations, consultez Comprendre les effets d’Azure Policy.

Pour créer une stratégie avec un effet d’audit pour la version minimale de TLS avec le portail Azure, procédez comme suit :

1. Dans le Portail Azure, accédez au service Azure Policy.

2. Dans la section Création, sélectionnez Définitions.

3. Sélectionnez Ajouter une définition de stratégie pour créer une nouvelle définition de stratégie.

4. Pour le champ emplacement de la définition, sélectionnez le bouton Autres pour spécifier l’emplacement de la ressource de stratégie d’audit.

5. Spécifiez un nom pour la stratégie. Vous pouvez éventuellement spécifier une description et une catégorie.

6. Sous Règle de stratégie, ajoutez la définition de stratégie suivante à la section policyRule.

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.EventHub/namespaces"
           },
           {
             "not": {
               "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Enregistrez la stratégie.

Affecter la stratégie

Ensuite, attribuez la stratégie à une ressource. L’étendue de la stratégie correspond à cette ressource et à toutes les ressources qu’elle contient. Pour plus d’informations sur l’attribution de stratégie, consultez Structure d’affectation d’Azure Policy.

Pour attribuer la stratégie avec le portail Azure, procédez comme suit :

1. Dans le portail Azure, accédez au service Azure Policy.
2. Dans la section Création, sélectionnez Attributions.
3. Sélectionnez Attribuer une stratégie pour créer une attribution de stratégie.
4. Pour le champ Étendue, sélectionnez l’étendue de l’attribution de stratégie.
5. Pour le champ Définition de stratégie, sélectionnez le bouton Autres, puis la stratégie que vous avez définie dans la section précédente dans la liste.
6. Entrez un nom pour l’attribution de stratégie. La description est facultative.
7. Laissez l’option Application de stratégie définie sur Activée. Ce paramètre n’a aucun effet sur la stratégie d’audit.
8. Sélectionnez Vérifier + créer pour créer l’attribution.

Afficher le rapport de conformité

Une fois que vous avez attribué la stratégie, vous pouvez afficher le rapport de conformité. Le rapport de conformité d’une stratégie d’audit fournit des informations sur les espaces de noms Event Hubs qui ne sont pas conformes à la stratégie. Pour plus d’informations, consultez Obtenir les données de conformité de la stratégie.

La disponibilité du rapport de conformité peut prendre plusieurs minutes après la création de l’attribution de stratégie.

Pour afficher le rapport de conformité dans le Portail Azure, procédez comme suit :

1. Dans le portail Azure, accédez au service Azure Policy.
2. Sélectionnez Conformité.
3. Filtrez les résultats pour le nom de l’attribution de stratégie que vous avez créée à l’étape précédente. Le rapport indique le nombre de ressources qui ne sont pas conformes à la stratégie.
4. Vous pouvez explorer le rapport pour obtenir des détails supplémentaires, notamment une liste des espaces de noms Event Hubs qui ne sont pas conformes.

Utiliser Azure Policy pour appliquer la version minimale de TLS

Azure Policy prend en charge la gouvernance cloud en s’assurant que les ressources Azure respectent les exigences et les normes. Pour appliquer une exigence de version minimale de TLS aux espaces de noms Event Hubs de votre organisation, vous pouvez créer une stratégie empêchant la création de nouvel espace de noms Event Hubs, qui définit l’exigence minimale de TLS sur une version antérieure de TLS que celle dictée par la stratégie. Cette stratégie empêchera également toutes les modifications de configuration apportées à un espace de noms existant si le paramètre la version minimale de TLS pour cet espace de noms n’est pas conforme à la stratégie.

La stratégie d’application utilise l’effet de refus pour empêcher une demande qui aurait pour effet de créer ou de modifier un espace de noms Event Hubs de sorte que la version minimale de TLS ne respecte plus les normes de votre organisation. Pour plus d’informations, consultez Comprendre les effets d’Azure Policy.

Pour créer une stratégie avec un effet de refus pour une version minimale de TLS qui est inférieure à TLS 1.2, fournissez le JSON suivant dans la section policyRule de la définition de la stratégie :

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Une fois que vous avez créé la stratégie avec l’effet de refus et l’avez attribuée à une étendue, un utilisateur ne peut plus créer d’espace de noms Event Hubs avec une version minimale de TLS antérieure à la version 1.2. Un utilisateur ne peut pas non plus apporter des changements de configuration à un espace de noms Event Hubs existant qui requiert actuellement une version minimale de TLS antérieure à la version 1.2. Toute tentative en ce sens entraîne une erreur. La version minimale TLS requise pour l’espace de noms Event Hubs doit être définie sur 1.2 pour poursuivre la création ou la configuration de l’espace de noms.

Une erreur s'affiche si vous essayez de créer un espace de noms Event Hubs avec la version TLS minimale définie sur TLS 1.0 alors qu'une stratégie avec un effet de refus exige que la version TLS minimale soit définie sur TLS 1.2.

Étapes suivantes

Pour plus d’informations, consultez la documentation suivante.

• Appliquer une version minimale requise du protocole TLS (Transport Layer Security) pour des demandes adressées à un espace de noms Event Hubs
• Configurer la version TLS minimale pour un espace de noms Event Hubs
• Configurer le protocole TLS (Transport Layer Security) pour une application cliente Event Hubs