Gebruik Azure Policy om te controleren op naleving van de minimale TLS-versie voor een Azure Service Bus-naamruimte
Als u een groot aantal Microsoft Azure Service Bus naamruimten hebt, kunt u een controle uitvoeren om ervoor te zorgen dat alle naamruimten zijn geconfigureerd voor de minimale versie van TLS die uw organisatie nodig heeft. Gebruik Azure Policy om een set Service Bus-naamruimten te controleren op hun naleving. Azure Policy is een service die u kunt gebruiken voor het maken, toewijzen en beheren van beleidsregels die regels toepassen op Azure-resources. Azure Policy helpt u deze resources in overeenstemming te houden met uw bedrijfsstandaarden en serviceovereenkomsten. Zie Overzicht van Azure Policy voor meer informatie.
Een beleid met een controle-effect maken
Azure Policy ondersteunt effecten die bepalen wat er gebeurt wanneer een beleidsregel wordt geƫvalueerd op basis van een resource. Het controle-effect maakt een waarschuwing wanneer een resource niet aan de vereisten voldoet, maar de aanvraag niet stopt. Zie Inzicht in Azure Policy effecten voor meer informatie over effecten.
Voer de volgende stappen uit om een beleid met een controle-effect te maken voor de minimale TLS-versie met de Azure Portal:
Navigeer in de Azure Portal naar de Azure Policy-service.
Selecteer definities in de sectie Ontwerpen.
Selecteer Beleidsdefinitie toevoegen om een nieuwe beleidsdefinitie te maken.
Selecteer voor het veld Definitielocatie de knop Meer om op te geven waar de resource van het controlebeleid zich bevindt.
Geef een naam op voor het beleid. U kunt desgewenst een beschrijving en categorie opgeven.
Voeg onder Beleidsregel de volgende beleidsdefinitie toe aan de sectie policyRule .
{ "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.ServiceBus/namespaces" }, { "not": { "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion", "equals": "1.2" } } ] }, "then": { "effect": "audit" } } }U kunt nu het beleid opslaan.
Wijs het beleid toe
Wijs vervolgens het beleid toe aan een resource. Het bereik van het beleid komt overeen met die resource en eventuele onderliggende resources. Zie Azure Policy toewijzingsstructuur voor meer informatie over beleidstoewijzing.
Voer de volgende stappen uit om het beleid toe te wijzen met de Azure Portal:
- Navigeer in de Azure Portal naar de Azure Policy-service.
- Selecteer in de sectie Ontwerpen de optie Toewijzingen.
- Selecteer Beleid toewijzen om een nieuwe beleidstoewijzing te maken.
- Selecteer voor het veld Bereik het bereik van de beleidstoewijzing.
- Selecteer voor het veld Beleidsdefinitie de knop Meer en selecteer vervolgens het beleid dat u in de vorige sectie hebt gedefinieerd in de lijst.
- Geef een naam op voor de beleidstoewijzing. De beschrijving is optioneel.
- Laat Beleidshandhaving ingesteld op Ingeschakeld. Deze instelling heeft geen invloed op het controlebeleid.
- Selecteer Beoordelen en maken om de toewijzing te maken.
Nalevingsrapport weergeven
Nadat u het beleid hebt toegewezen, kunt u het nalevingsrapport bekijken. Het nalevingsrapport voor een controlebeleid bevat informatie over welke Service Bus-naamruimten niet voldoen aan het beleid. Zie Gegevens over beleidsnaleving ophalen voor meer informatie.
Het kan enkele minuten duren voordat het nalevingsrapport beschikbaar is nadat de beleidstoewijzing is gemaakt.
Voer de volgende stappen uit om het nalevingsrapport in de Azure Portal weer te geven:
- Navigeer in de Azure Portal naar de Azure Policy-service.
- Selecteer Naleving.
- Filter de resultaten op de naam van de beleidstoewijzing die u in de vorige stap hebt gemaakt. Het rapport laat zien hoeveel resources niet voldoen aan het beleid.
- U kunt inzoomen op het rapport voor meer informatie, waaronder een lijst met Service Bus-naamruimten die niet voldoen aan de vereisten.
Gebruik Azure Policy om de minimale TLS-versie af te dwingen
Azure Policy ondersteunt cloudgovernance door ervoor te zorgen dat Azure-resources voldoen aan vereisten en standaarden. Als u een minimale TLS-versievereiste wilt afdwingen voor de Service Bus-naamruimten in uw organisatie, kunt u een beleid maken dat voorkomt dat een nieuwe Service Bus-naamruimte wordt gemaakt waarmee de minimale TLS-vereiste wordt ingesteld op een oudere versie van TLS dan de versie die wordt bepaald door het beleid. Dit beleid voorkomt ook dat alle configuratiewijzigingen in een bestaande naamruimte worden gewijzigd als de instelling voor de minimale TLS-versie voor die naamruimte niet compatibel is met het beleid.
Het afdwingingsbeleid gebruikt het weigeringseffect om te voorkomen dat een aanvraag een Service Bus-naamruimte maakt of wijzigt, zodat de minimale TLS-versie niet meer voldoet aan de standaarden van uw organisatie. Zie Inzicht in Azure Policy effecten voor meer informatie over effecten.
Als u een beleid met een weigeringseffect wilt maken voor een minimale TLS-versie die kleiner is dan TLS 1.2, geeft u de volgende JSON op in de sectie policyRule van de beleidsdefinitie:
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.ServiceBus/namespaces"
},
{
"not": {
"field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
"equals": "1.2"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
Nadat u het beleid met het weigeringseffect hebt gemaakt en dit hebt toegewezen aan een bereik, kan een gebruiker geen Service Bus-naamruimte maken met een minimale TLS-versie die ouder is dan 1.2. Evenmin kan een gebruiker configuratiewijzigingen aanbrengen in een bestaande Service Bus-naamruimte waarvoor momenteel een minimale TLS-versie is vereist die ouder is dan 1.2. Als u dit probeert, treedt er een fout op. De vereiste minimale TLS-versie voor de Service Bus-naamruimte moet zijn ingesteld op 1.2 om door te gaan met het maken of configureren van de naamruimte.
Er wordt een fout weergegeven als u probeert een Service Bus-naamruimte te maken met de minimale TLS-versie die is ingesteld op TLS 1.0 wanneer een beleid met een weigeringseffect vereist dat de minimale TLS-versie wordt ingesteld op TLS 1.2.
Volgende stappen
Zie de volgende documentatie voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor