Ingebouwde Azure Policy-definities voor Azure Service Bus Messaging
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Service Bus Messaging. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Service Bus Messaging
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Service Bus moet zone-redundant zijn | Service Bus kan worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundant is ingesteld op false voor een Service Bus, betekent dit dat deze niet is geconfigureerd voor zoneredundantie. Dit beleid identificeert en dwingt de configuratie van zoneredundantie af voor Service Bus-exemplaren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Alle autorisatieregels met uitzondering van RootManageSharedAccessKey moeten worden verwijderd uit Service Bus-naamruimte | Service Bus-clients mogen geen toegangsbeleid op naamruimteniveau gebruiken dat toegang biedt tot alle wachtrijen en onderwerpen in een naamruimte. Overeenkomstig het beveiligingsmodel met minimale bevoegdheden, moet u voor wachtrijen en onderwerpen toegangsbeleid maken op entiteitsniveau, om alleen toegang te verlenen aan de specifieke entiteit | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor Azure Service Bus-naamruimten moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Service Bus-naamruimten uitsluitend Microsoft Entra ID-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-sb. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure ServiceBus-naamruimten uitsluitend Microsoft Entra ID-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-sb. | Wijzigen, uitgeschakeld | 1.0.1 |
| Service Bus-naamruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan Service Bus-naamruimten, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnose-instellingen implementeren voor Service Bus naar Event Hub | Hiermee worden de diagnostische instellingen voor Service Bus geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Service Bus waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnose-instellingen implementeren voor Service Bus naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Service Bus geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Service Bus waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Service Bus-naamruimten moeten openbare netwerktoegang uitschakelen | Azure Service Bus moet openbare netwerktoegang hebben uitgeschakeld. Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Service Bus-naamruimten moet dubbele versleuteling zijn ingeschakeld | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. | Controle, uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor