Аудит соответствия ресурсов службы Azure SignalR с помощью политики Azure

Политика Azure — это служба в Azure, которая используется для создания и присваивания политик, а также управления ими. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, что обеспечивает соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания.

В этой статье представлены встроенные политики (предварительная версия) для службы Azure SignalR. Используйте эти политики, чтобы проводить аудит новых и существующих ресурсов SignalR для обеспечения соответствия требованиям.

Плата за использование Политики Azure не взимается.

Определения встроенных политик

Следующие определения встроенных политик относятся к службе Azure SignalR.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Служба Azure SignalR должна отключать доступ к общедоступным сетям Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.0.0
В службе Azure SignalR должны быть отключены методы локальной проверки подлинности. Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что служба Azure SignalR будет требовать для проверки подлинности исключительно удостоверения Azure Active Directory. Audit, Deny, Disabled 1.0.0
Служба Azure SignalR должна использовать SKU с поддержкой Приватного канала Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Это защитит ваши ресурсы от рисков утечки общедоступных данных. Политика ограничивает доступ к номерам SKU с поддержкой Приватного канала для Службы Azure SignalR. Дополнительные сведения о приватном канале см. по адресу https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.1
Настройка Службы Azure SignalR для отключения локальной проверки подлинности Отключите методы локальной проверки подлинности, чтобы Служба Azure SignalR требовала только удостоверения Azure Active Directory для проверки подлинности. Modify, Disabled 1.0.0
Настройка частных конечных точек для службы Azure SignalR Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Благодаря сопоставлению частных конечных точек с ресурсами службы Azure SignalR можно снизить риски утечки данных. Подробная информация собрана на странице https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка частных зон DNS для частных конечных точек с подключением к Службе Azure SignalR Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в ресурс Службы Azure SignalR. См. дополнительные сведения: https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Изменение ресурсов Службы Azure SignalR для отключения доступа к общедоступным сетям Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Modify, Disabled 1.0.0

Назначение определений политик

Примечание

После назначения или обновления политики для применения изменений к ресурсам в заданной области потребуется некоторое время. См. сведения о триггерах оценки политики.

Проверка соответствия политик требованиям

Просматривайте сведения о соответствии требованиям, созданные назначениями политик, с помощью портала Azure, программ командной строки Azure или пакетов SDK Политики Azure. Дополнительные сведения см. в статье Получение данных о соответствии для ресурсов Azure.

Если ресурс не соответствует требованиям, возможных причин этого множество. Чтобы определить причину или найти соответствующее изменение, см. раздел Определения несоответствий.

Сведения о соответствии политик требованиям на портале:

  1. Выберите Все службы и найдите Политика.

  2. Выберите Соответствие.

  3. Используйте фильтры для выбора состояний соответствия требованиям и поиска политик

    Сведения о соответствии политик требованиям на портале

  4. Выберите политику для просмотра агрегированных сведений о соответствии требованиям и событиях. При необходимости выберите конкретный ресурс SignalR для просмотра сведений о соответствии ресурса требованиям.

Сведения о соответствии политик требованиям в Azure CLI

Также для получения сведений о соответствии можно использовать Azure CLI. Например, используйте команду az policy assignment list, чтобы получить идентификаторы политик, которые применяются к службе SignalR:

az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table

Образец вывода:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Затем выполните команду az policy state list, чтобы посмотреть состояние соответствия требованиям в формате JSON для всех ресурсов с указанным идентификатором политики:

az policy state list --g <resourceGroup>

Или выполните команду az policy state list, чтобы посмотреть состояние соответствия требованиям в формате JSON для определенного ресурса SignalR:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Дальнейшие действия