A Azure Event Hubs-névtér minimális TLS-verziójának megfelelőségének naplózása Azure Policy használatával
Ha nagy számú Microsoft Azure Event Hubs névtérrel rendelkezik, érdemes lehet naplózni, hogy minden névtér a szervezet által igényelt minimális TLS-verzióhoz legyen konfigurálva. Az Event Hubs-névterek megfelelőségének naplózásához használja a Azure Policy. Azure Policy olyan szolgáltatás, amellyel olyan szabályzatokat hozhat létre, rendelhet hozzá és kezelhet, amelyek szabályokat alkalmaznak az Azure-erőforrásokra. Azure Policy segít megőrizni ezeket az erőforrásokat a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek megfelelően. További információ: A Azure Policy áttekintése.
Szabályzat létrehozása naplózási effektussal
Azure Policy támogatja azokat a hatásokat, amelyek meghatározzák, hogy mi történik, ha egy szabályzatszabályt kiértékelnek egy erőforráson. A naplózási hatás figyelmeztetést hoz létre, ha egy erőforrás nem felel meg a megfelelőségnek, de nem állítja le a kérést. Az effektusokkal kapcsolatos további információkért lásd: Azure Policy effektusok ismertetése.
Ha az Azure Portal minimális TLS-verzióhoz naplózási hatással rendelkező szabályzatot szeretne létrehozni, kövesse az alábbi lépéseket:
A Azure Portal keresse meg a Azure Policy szolgáltatást.
A Létrehozás szakaszban válassza a Definíciók elemet.
Új szabályzatdefiníció létrehozásához válassza a Szabályzatdefiníció hozzáadása lehetőséget.
A Definíció helye mezőben válassza az Egyebek gombot a naplózási szabályzat erőforrásának helyének megadásához.
Adja meg a szabályzat nevét. Megadhat leírást és kategóriát is.
A Szabályzatszabály területen adja hozzá a következő szabályzatdefiníciót a policyRule szakaszhoz.
{ "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.EventHub/namespaces" }, { "not": { "field": " Microsoft.EventHub/namespaces/minimumTlsVersion", "equals": "1.2" } } ] }, "then": { "effect": "audit" } } }
Mentse a szabályzatot.
A szabályzat hozzárendelése
Ezután rendelje hozzá a szabályzatot egy erőforráshoz. A szabályzat hatóköre az adott erőforrásnak és az alatta lévő erőforrásoknak felel meg. A szabályzat-hozzárendeléssel kapcsolatos további információkért lásd: Azure Policy hozzárendelési struktúra.
Ha a szabályzatot a Azure Portal szeretné hozzárendelni, kövesse az alábbi lépéseket:
- A Azure Portal keresse meg a Azure Policy szolgáltatást.
- A Létrehozás szakaszban válassza a Hozzárendelések lehetőséget.
- Új szabályzat-hozzárendelés létrehozásához válassza a Szabályzat hozzárendelése lehetőséget.
- A Hatókör mezőben válassza ki a szabályzat-hozzárendelés hatókörét.
- A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, majd válassza ki az előző szakaszban definiált szabályzatot a listából.
- Adja meg a szabályzat-hozzárendelés nevét. A leírás megadása nem kötelező.
- Hagyja engedélyezve a házirend-kényszerítés beállítást. Ez a beállítás nincs hatással a naplózási szabályzatra.
- Válassza a Véleményezés + létrehozás lehetőséget a hozzárendelés létrehozásához.
Megfelelőségi jelentés megtekintése
Miután hozzárendelte a szabályzatot, megtekintheti a megfelelőségi jelentést. Az auditszabályzat megfelelőségi jelentése információkat tartalmaz arról, hogy mely Event Hubs-névterek nem felelnek meg a szabályzatnak. További információ: Szabályzatmegfelelési adatok lekérése.
Eltarthat néhány percig, amíg a megfelelőségi jelentés elérhetővé válik a szabályzat-hozzárendelés létrehozása után.
A megfelelőségi jelentés Azure Portal való megtekintéséhez kövesse az alábbi lépéseket:
- A Azure Portal keresse meg a Azure Policy szolgáltatást.
- Válassza a Megfelelőség lehetőséget.
- Szűrje az eredményeket az előző lépésben létrehozott szabályzat-hozzárendelés nevére. A jelentés azt mutatja be, hogy hány erőforrás nem felel meg a szabályzatnak.
- További részletekért részletezheti a jelentést, beleértve a nem megfelelő Event Hubs-névterek listáját.
A minimális TLS-verzió kényszerítése a Azure Policy használatával
Azure Policy támogatja a felhőszabályozást azáltal, hogy biztosítja, hogy az Azure-erőforrások megfeleljenek a követelményeknek és szabványoknak. Ha minimális TLS-verziókövetelményt szeretne érvényesíteni a szervezet Event Hubs-névtereihez, létrehozhat egy olyan szabályzatot, amely megakadályozza egy új Event Hubs-névtér létrehozását, amely a minimális TLS-követelményt a szabályzat által diktáltnál régebbi TLS-verzióra állítja. Ez a szabályzat a meglévő névtér összes konfigurációs módosítását is megakadályozza, ha a névtér minimális TLS-verzióbeállítása nem felel meg a szabályzatnak.
A kényszerítési szabályzat a megtagadási effektussal megakadályozza az Event Hubs-névteret létrehozó vagy módosító kéréseket, így a minimális TLS-verzió már nem felel meg a szervezet szabványainak. Az effektusokkal kapcsolatos további információkért lásd: Azure Policy effektusok ismertetése.
Ha a TLS 1.2-nél kisebb minimális TLS-verzióhoz szeretne megtagadási hatással rendelkező szabályzatot létrehozni, adja meg a következő JSON-t a szabályzatdefiníció PolicyRule szakaszában:
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": " Microsoft.EventHub/namespaces"
},
{
"not": {
"field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
"equals": "1.2"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
Miután létrehozta a szabályzatot megtagadási effektussal, és hozzárendelte egy hatókörhöz, a felhasználó nem hozhat létre 1.2-nél régebbi TLS-verziójú Event Hubs-névteret. A felhasználók nem módosíthatják a meglévő Event Hubs-névtér konfigurációját, amelyhez jelenleg legalább 1.2-es TLS-verzió szükséges. Ha megkísérli ezt megtenni, az hibát eredményez. A névtér létrehozásához vagy konfigurálásához az Event Hubs-névtér minimális TLS-verzióját 1.2-esre kell állítani.
Hiba jelenik meg, ha olyan Event Hubs-névteret próbál létrehozni, amelynek minimális TLS-verziója TLS 1.0-ra van állítva, ha egy megtagadási hatással rendelkező szabályzat megköveteli, hogy a TLS minimális verziója TLS 1.2 legyen.
Következő lépések
További információért tekintse meg az alábbi dokumentációt.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: