Аудит соответствия ресурсов Службы Azure SignalR с помощью Политики Azure
Политика Azure — это служба в Azure, которая используется для создания и присваивания политик, а также управления ими. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, что обеспечивает соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания.
В этой статье представлены встроенные политики (предварительная версия) для службы Azure SignalR. Используйте эти политики, чтобы проводить аудит новых и существующих ресурсов SignalR для обеспечения соответствия требованиям.
Плата за использование службы "Политика Azure" не взимается.
Встроенные определения политик
Следующие определения встроенных политик относятся к службе Azure SignalR.
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Служба Azure SignalR должна отключать доступ к общедоступным сетям | Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Audit, Deny, Disabled | 1.1.0 |
Служба Azure SignalR должна включить журналы диагностики | Аудит активации журналов диагностики. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 1.0.0 |
В службе Azure SignalR должны быть отключены методы локальной проверки подлинности. | Отключение методов локальной аутентификации повышает безопасность, гарантируя, что Служба Azure SignalR требует для проверки подлинности исключительно удостоверения Azure Active Directory. | Audit, Deny, Disabled | 1.0.0 |
Служба Azure SignalR должна использовать SKU с поддержкой Приватного канала | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Это защитит ваши ресурсы от рисков утечки общедоступных данных. Политика ограничивает доступ к номерам SKU с поддержкой Приватного канала для Службы Azure SignalR. Дополнительные сведения о приватном канале см. по адресу https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Настройка Службы Azure SignalR для отключения локальной проверки подлинности | Отключите методы локальной проверки подлинности, чтобы Служба Azure SignalR требовала только удостоверения Azure Active Directory для проверки подлинности. | Modify, Disabled | 1.0.0 |
Настройка частных конечных точек для службы Azure SignalR | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Благодаря сопоставлению частных конечных точек с ресурсами службы Azure SignalR можно снизить риски утечки данных. Узнайте больше по адресу https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Развертывание — настройка частных зон DNS для частных конечных точек с подключением к Службе Azure SignalR | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в ресурс Службы Azure SignalR. См. дополнительные сведения: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Изменение ресурсов Службы Azure SignalR для отключения доступа к общедоступным сетям | Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Modify, Disabled | 1.1.0 |
Назначение определений политик
- Назначайте определения политик с помощью портала Azure, Azure CLI, шаблона Resource Manager или пакетов SDK Политики Azure.
- Определяйте область действия политики с помощью группы ресурсов, подписки или группы управления Azure. Назначения политики SignalR применяются к существующим и новым ресурсам SignalR в пределах области.
- Включайте и отключайте принудительное применение политик в любое время.
Примечание.
После назначения или обновления политики для применения изменений к ресурсам в заданной области потребуется некоторое время. См. сведения о триггерах оценки политики.
Проверка соответствия политик требованиям
Просматривайте сведения о соответствии требованиям, созданные назначениями политик, с помощью портала Azure, программ командной строки Azure или пакетов SDK Политики Azure. Дополнительные сведения см. в статье Получение данных о соответствии для ресурсов Azure.
Если ресурс не соответствует требованиям, возможных причин этого множество. Чтобы определить причину или найти соответствующее изменение, см. раздел Определения несоответствий.
Сведения о соответствии политик требованиям на портале:
Выберите Все службы и найдите Политика.
Выберите Соответствие.
Используйте фильтры для выбора состояний соответствия требованиям и поиска политик
Выберите политику для просмотра сводных сведений о соответствии требованиям и событиях. При необходимости выберите конкретный ресурс SignalR для просмотра сведений о соответствии ресурса требованиям.
Сведения о соответствии политик требованиям в Azure CLI
Также для получения сведений о соответствии можно использовать Azure CLI. Например, используйте команду az policy assignment list, чтобы получить идентификаторы политик, которые применяются к службе SignalR:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Образец вывода:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Затем выполните команду az policy state list, чтобы посмотреть состояние соответствия требованиям в формате JSON для всех ресурсов с указанным идентификатором политики:
az policy state list --g <resourceGroup>
Или выполните команду az policy state list, чтобы посмотреть состояние соответствия требованиям в формате JSON для определенного ресурса SignalR:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Следующие шаги
Ознакомьтесь с дополнительными сведениями об определениях и эффектах Политики Azure
Создайте настраиваемое определение политики
Узнайте больше о возможностях системы управления в Azure