Użyj Azure Policy, aby przeprowadzić inspekcję pod kątem zgodności minimalnej wersji protokołu TLS dla przestrzeni nazw Azure Event Hubs

  • Artykuł

Jeśli masz dużą liczbę przestrzeni nazw usługi Microsoft Azure Event Hubs, możesz przeprowadzić inspekcję, aby upewnić się, że wszystkie przestrzenie nazw są skonfigurowane dla minimalnej wersji protokołu TLS wymaganej przez organizację. Aby przeprowadzić inspekcję zestawu przestrzeni nazw usługi Event Hubs pod kątem zgodności, użyj Azure Policy. Azure Policy to usługa, której można użyć do tworzenia, przypisywania i zarządzania zasadami, które stosują reguły do zasobów platformy Azure. Azure Policy pomaga zachować zgodność tych zasobów ze standardami firmowymi i umowami dotyczącymi poziomu usług. Aby uzyskać więcej informacji, zobacz Omówienie Azure Policy.

Tworzenie zasad z efektem inspekcji

Azure Policy obsługuje efekty, które określają, co się stanie, gdy reguła zasad jest oceniana względem zasobu. Efekt inspekcji tworzy ostrzeżenie, gdy zasób nie jest zgodny, ale nie zatrzymuje żądania. Aby uzyskać więcej informacji na temat efektów, zobacz Omówienie efektów Azure Policy.

Aby utworzyć zasady z efektem inspekcji dla minimalnej wersji protokołu TLS z Azure Portal, wykonaj następujące kroki:

  1. W Azure Portal przejdź do usługi Azure Policy.

  2. W sekcji Tworzenie wybierz pozycję Definicje.

  3. Wybierz pozycję Dodaj definicję zasad , aby utworzyć nową definicję zasad.

  4. W polu Lokalizacja definicji wybierz przycisk Więcej , aby określić, gdzie znajduje się zasób zasad inspekcji.

  5. Określ nazwę zasad. Opcjonalnie można określić opis i kategorię.

  6. W obszarze Reguła zasad dodaj następującą definicję zasad do sekcji policyRule .

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Zapisz zasady.

Przypisywanie zasad

Następnie przypisz zasady do zasobu. Zakres zasad odpowiada zasobowi i wszelkim zasobom poniżej. Aby uzyskać więcej informacji na temat przypisywania zasad, zobacz Azure Policy struktura przypisania.

Aby przypisać zasady za pomocą Azure Portal, wykonaj następujące kroki:

  1. W Azure Portal przejdź do usługi Azure Policy.
  2. W sekcji Tworzenie wybierz pozycję Przypisania.
  3. Wybierz pozycję Przypisz zasady, aby utworzyć nowe przypisanie zasad.
  4. W polu Zakres wybierz zakres przypisania zasad.
  5. W polu Definicja zasad wybierz przycisk Więcej , a następnie wybierz zasady zdefiniowane w poprzedniej sekcji z listy.
  6. Podaj nazwę przypisania zasad. Opis jest opcjonalny.
  7. Pozostaw opcję Wymuszanie zasad ustawione na Włączone. To ustawienie nie ma wpływu na zasady inspekcji.
  8. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć przypisanie.

Wyświetlanie raportu zgodności

Po przypisaniu zasad można wyświetlić raport zgodności. Raport zgodności zasad inspekcji zawiera informacje o tym, które przestrzenie nazw usługi Event Hubs nie są zgodne z zasadami. Aby uzyskać więcej informacji, zobacz Pobieranie danych zgodności zasad.

Udostępnienie raportu zgodności po utworzeniu przypisania zasad może potrwać kilka minut.

Aby wyświetlić raport zgodności w Azure Portal, wykonaj następujące kroki:

  1. W Azure Portal przejdź do usługi Azure Policy.
  2. Wybierz pozycję Zgodność.
  3. Przefiltruj wyniki pod kątem nazwy przypisania zasad utworzonego w poprzednim kroku. Raport przedstawia liczbę zasobów, które nie są zgodne z zasadami.
  4. Możesz przejść do szczegółów raportu, aby uzyskać dodatkowe informacje, w tym listę przestrzeni nazw usługi Event Hubs, które nie są zgodne.

Użyj Azure Policy, aby wymusić minimalną wersję protokołu TLS

Azure Policy obsługuje ład w chmurze, zapewniając, że zasoby platformy Azure spełniają wymagania i standardy. Aby wymusić minimalne wymaganie dotyczące wersji protokołu TLS dla przestrzeni nazw usługi Event Hubs w organizacji, można utworzyć zasady uniemożliwiające utworzenie nowej przestrzeni nazw usługi Event Hubs, która określa minimalne wymaganie protokołu TLS dla starszej wersji protokołu TLS niż to, które jest dyktowane przez zasady. Te zasady uniemożliwią również zmianę konfiguracji istniejącej przestrzeni nazw, jeśli ustawienie minimalnej wersji protokołu TLS dla tej przestrzeni nazw nie jest zgodne z zasadami.

Zasady wymuszania używają efektu odmowy, aby zapobiec żądaniu, które utworzy lub zmodyfikowałoby przestrzeń nazw usługi Event Hubs, aby minimalna wersja protokołu TLS nie jest już zgodna ze standardami organizacji. Aby uzyskać więcej informacji na temat efektów, zobacz Omówienie efektów Azure Policy.

Aby utworzyć zasady z efektem odmowy dla minimalnej wersji protokołu TLS mniejszej niż TLS 1.2, podaj następujący kod JSON w sekcji policyRule definicji zasad:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Po utworzeniu zasad z efektem odmowy i przypisaniu go do zakresu użytkownik nie może utworzyć przestrzeni nazw usługi Event Hubs z minimalną wersją protokołu TLS starszą niż 1.2. Użytkownik nie może też wprowadzić żadnych zmian w konfiguracji istniejącej przestrzeni nazw usługi Event Hubs, która obecnie wymaga minimalnej wersji protokołu TLS starszej niż 1.2. Próba wykonania tej czynności powoduje wystąpienie błędu. Wymagana minimalna wersja protokołu TLS dla przestrzeni nazw usługi Event Hubs musi być ustawiona na 1.2, aby kontynuować tworzenie lub konfigurację przestrzeni nazw.

Jeśli spróbujesz utworzyć przestrzeń nazw usługi Event Hubs z minimalną wersją protokołu TLS ustawioną na tls 1.0, zostanie wyświetlony błąd, gdy zasady z efektem odmowy wymagają ustawienia minimalnej wersji protokołu TLS na TLS 1.2.

Następne kroki

Aby uzyskać więcej informacji, zobacz następującą dokumentację.