Kepatuhan audit sumber daya Azure SignalR Service menggunakan Azure Policy

Azure Policy adalah layanan di Azure yang Anda gunakan untuk membuat, menetapkan, dan mengelola kebijakan. Kebijakan ini memberlakukan aturan dan efek yang berbeda atas sumber daya Anda, sehingga sumber daya tersebut tetap sesuai dengan standar perusahaan dan perjanjian tingkat layanan Anda.

Artikel ini memperkenalkan kebijakan bawaan (pratinjau) untuk Azure SignalR Service. Gunakan kebijakan ini untuk mengaudit sumber daya SignalR yang baru dan yang sudah ada untuk kepatuhan.

Tidak ada biaya untuk menggunakan Azure Policy.

Definisi kebijakan bawaan

Definisi kebijakan bawaan berikut ini khusus untuk Azure SignalR Service:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan Azure SignalR harus menonaktifkan akses jaringan publik Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. Audit, Tolak, Dinonaktifkan 1.0.0
Azure SignalR Service harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan SKU yang mengaktifkan Tautan Pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan yang melindungi sumber daya Anda dari risiko kebocoran data publik. Kebijakan ini membatasi Anda pada SKU yang mengaktifkan Tautan Pribadi untuk Layanan Azure SignalR. Pelajari lebih lanjut tentang tautan pribadi di: https://aka.ms/asrs/privatelink. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Tolak, Dinonaktifkan 1.0.1
Mengonfigurasi Azure SignalR Service untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokal agar Azure SignalR Service Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi titik akhir privat ke Azure SignalR Service Titik akhir pribadi menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya Azure SignalR Service, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di https://aka.ms/asrs/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan - Mengonfigurasi zona DNS pribadi untuk titik akhir pribadi yang terhubung ke Layanan Azure SignalR Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diselesaikan ke sumber daya Layanan Azure SignalR. Pelajari lebih lanjut di: https://aka.ms/asrs/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0
Ubah sumber daya Azure SignalR Service untuk menonaktifkan akses jaringan publik Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. Ubah, Dinonaktifkan 1.0.0

Menetapkan definisi kebijakan

Catatan

Setelah Anda menetapkan atau memperbarui kebijakan, perlu beberapa waktu agar penetapan diterapkan ke sumber daya dalam cakupan yang ditentukan. Lihat informasi tentang pemicu evaluasi kebijakan.

Meninjau kepatuhan kebijakan

Akses informasi kepatuhan yang dihasilkan oleh penetapan kebijakan Anda menggunakan portal Microsoft Azure, alat baris perintah Azure, atau Azure Policy SDK. Untuk detailnya, lihat Mendapatkan data kepatuhan sumber daya Azure.

Ketika sumber daya tidak patuh, ada banyak kemungkinan alasan. Untuk menentukan alasan atau menemukan perubahan yang bertanggung jawab, lihat Menentukan ketidakpatuhan.

Kepatuhan kebijakan di portal:

  1. Pilih Semua layanan, dan telusuri Kebijakan.

  2. Pilih Kepatuhan.

  3. Gunakan filter untuk membatasi status kepatuhan atau untuk mencari kebijakan

    Kepatuhan terhadap kebijakan di portal

  4. Pilih kebijakan untuk meninjau detail dan peristiwa kepatuhan agregat. Jika diinginkan, pilih SignalR tertentu untuk kepatuhan sumber daya.

Kepatuhan kebijakan di Azure CLI

Anda juga dapat menggunakan Azure CLI untuk mendapatkan data kepatuhan. Misalnya, gunakan perintah az policy assignment list di CLI untuk mendapatkan ID kebijakan dari kebijakan Layanan Azure SignalR yang diterapkan:

az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table

Contoh output:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Kemudian jalankan az policy state list untuk menampilkan status kepatuhan berformat JSON untuk semua sumber daya di bawah grup sumber daya tertentu:

az policy state list --g <resourceGroup>

Atau jalankan az policy state list untuk menampilkan status kepatuhan berformat JSON dari sumber daya SignalR tertentu:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Langkah berikutnya