Beépített Azure Policy-definíciók az Azure IoT Hubhoz
A gyakori IoT Hub-forgatókönyvek implementálását bemutató IoT Hub-mintakódért tekintse meg az IoT Hub rövid útmutatóit. Több programozási nyelv, például a C, a Node.js és a Python rövid útmutatói is elérhetők.
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure IoT Hubhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure IoT Hub
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure IoT Hubnak ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az IoT Hub inaktív adatainak ügyfél által felügyelt kulccsal történő titkosítása egy második titkosítási réteget ad hozzá az alapértelmezett szolgáltatás által felügyelt kulcsokhoz, lehetővé teszi a kulcsok ügyfél általi vezérlését, az egyéni rotációs szabályzatokat, valamint az adatokhoz való hozzáférést a kulcshozzáférés-vezérlésen keresztül. Az ügyfél által felügyelt kulcsokat az IoT Hub létrehozásakor kell konfigurálni. További információ az ügyfél által felügyelt kulcsok konfigurálásáról: https://aka.ms/iotcmk. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani | Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure IoT Hubnak le kell tiltani a helyi hitelesítési módszereket a Service Apisban | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub kizárólag Azure Active Directory-identitásokat igényel a Service Api-hitelesítéshez. További információ: https://aka.ms/iothubdisablelocalauth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure IoT Hub konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure IoT Hub kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/iothubdisablelocalauth. | Módosítás, letiltva | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az IoT Hub eszközkiépítési példányához, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/iotdpsvnet. | Módosítás, letiltva | 1.0.0 |
| IoT Hub-eszközkiépítési szolgáltatáspéldányok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az Azure IoT Hubs konfigurálása privát végpontokkal | A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. Ez a szabályzat egy privát végpontot helyez üzembe az IoT Hub számára, amely lehetővé teszi, hogy a virtuális hálózaton belüli szolgáltatások elérjék az IoT Hubot anélkül, hogy a forgalmat az IoT Hub nyilvános végpontjára kellene küldeni. | DeployIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hub-eseményközpontba (microsoft.devices/iothubs) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hubhoz (microsoft.devices/iothubs) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hub-tárfiókba (microsoft.devices/iothubs) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.devices/provisioningservices számára az Event Hubon | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a microsoft.devices/provisioningservices eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.devices/provisioningservices számára a Log Analyticsben | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a microsoft.devices/provisioningservices Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.devices/provisioningservices számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.devices/provisioningservices tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az IoT Hub eszközkiépítési szolgáltatáspéldánya nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az IoT Hub eszközkiépítési példányainak kitettségét. További információ: https://aka.ms/iotdpsvnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Módosítás – Az Azure IoT Hubs konfigurálása a nyilvános hálózati hozzáférés letiltásához | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub csak privát végpontról érhető el. Ez a szabályzat letiltja a nyilvános hálózati hozzáférést az IoT Hub-erőforrásokon. | Módosítás, letiltva | 1.0.0 |
| A privát végpontot engedélyezni kell az IoT Hubhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az IoT Hubhoz való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure IoT Hubon | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub csak privát végpontról érhető el. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.