Granska efterlevnad för Azure SignalR Service resurser med Azure Policy

Azure Policy är en tjänst i Azure som du använder för att skapa, tilldela och hantera principer. De här principerna tillämpar olika regler och effekter på dina resurser så att resurserna efterlever dina företagsstandarder och serviceavtal.

Den här artikeln introducerar inbyggda principer (förhandsversion) för Azure SignalR Service. Använd dessa principer för att granska nya och befintliga SignalR-resurser för efterlevnad.

Det tillkommer inga avgifter för att använda Azure Policy.

Inbyggda principdefinitioner

Följande inbyggda principdefinitioner är specifika för Azure SignalR Service:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Azure SignalR Service ska inaktivera åtkomst till offentligt nätverk För att förbättra säkerheten för Azure SignalR Service resurs, se till att den inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera egenskapen för offentlig nätverksåtkomst enligt beskrivningen i https://aka.ms/asrs/networkacls . Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar riskerna för dataläckage. Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service ska ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Azure SignalR Service endast kräver Azure Active Directory identiteter för autentisering. Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service bör använda en Private Link aktiverad SKU Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet, vilket skyddar dina resurser mot risker med läckage av offentliga data. Principen begränsar dig till att Private Link SKU:er för Azure SignalR Service. Läs mer om private link på: https://aka.ms/asrs/privatelink . Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure SignalR Service resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink . Granska, Neka, Inaktiverad 1.0.1
Konfigurera Azure SignalR Service att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure SignalR Service endast kräver Azure Active Directory identiteter för autentisering. Ändra, inaktiverad 1.0.0
Konfigurera privata slutpunkter för att Azure SignalR Service Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure SignalR Service resurser kan du minska riskerna för dataläckage. Läs mer på https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Azure SignalR Service Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure SignalR Service resurs. Läs mer på: https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Ändra Azure SignalR Service resurser för att inaktivera åtkomst till offentligt nätverk För att förbättra säkerheten för Azure SignalR Service resurs, se till att den inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera egenskapen för offentlig nätverksåtkomst enligt beskrivningen i https://aka.ms/asrs/networkacls . Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar riskerna för dataläckage. Ändra, inaktiverad 1.0.0

Tilldela principdefinitioner

Anteckning

När du har tilldelar eller uppdaterar en princip tar det lite tid innan tilldelningen tillämpas på resurser i det definierade omfånget. Se information om utlösare för principutvärdering.

Granska principefterlevnad

Få åtkomst till efterlevnadsinformation som genereras av dina principtilldelningar med hjälp Azure Portal, Azure-kommandoradsverktyg eller Azure Policy-SDK:er. Mer information finns i Hämta efterlevnadsdata för Azure-resurser.

När en resurs inte är kompatibel finns det många möjliga orsaker. Om du vill ta reda på orsaken eller hitta den ansvariga ändringen kan du gå till Fastställa bristande efterlevnad.

Principefterlevnad i portalen:

  1. Välj Alla tjänster och sök efter Princip.

  2. Välj Efterlevnad.

  3. Använd filtren för att begränsa kompatibilitets tillstånd eller för att söka efter principer

    Principefterlevnad i portalen

  4. Välj en princip för att granska sammanställd efterlevnadsinformation och händelser. Om du vill väljer du en specifik SignalR för resursefterlevnad.

Principefterlevnad i Azure CLI

Du kan också använda Azure CLI för att hämta efterlevnadsdata. Använd till exempel kommandot az policy assignment list i CLI för att hämta princip-ID:erna för de principer Azure SignalR Service som tillämpas:

az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table

Exempel på utdata:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Kör sedan az policy state list för att returnera det JSON-formaterade kompatibilitetstillståndet för alla resurser under en specifik resursgrupp:

az policy state list --g <resourceGroup>

Eller kör az policy state list för att returnera det JSON-formaterade kompatibilitetstillståndet för en specifik SignalR-resurs:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Nästa steg