Inbyggda Azure Policy-definitioner för Azure IoT Hub
Exempelkod för IoT Hub som visar hur du implementerar vanliga IoT-scenarier finns i snabbstarterna för IoT Hub. Det finns snabbstarter för flera programmeringsspråk, inklusive C, Node.js och Python.
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure IoT Hub. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure IoT Hub
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure IoT Hub bör använda kundhanterad nyckel för att kryptera vilande data | Kryptering av vilande data i IoT Hub med kundhanterad nyckel lägger till ett andra krypteringslager ovanpå standardtjänsthanterade nycklar, möjliggör kundkontroll av nycklar, anpassade rotationsprinciper och möjlighet att hantera åtkomst till data via nyckelåtkomstkontroll. Kundhanterade nycklar måste konfigureras när IoT Hub skapas. Mer information om hur du konfigurerar kundhanterade nycklar finns i https://aka.ms/iotcmk. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: IoT Hub-enhetsetableringstjänstdata ska krypteras med hjälp av kundhanterade nycklar (CMK) | Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub-enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. | Granska, neka, inaktiverad | 1.0.0-preview |
| Azure IoT Hub ska ha lokala autentiseringsmetoder inaktiverade för Service Apis | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure IoT Hub uteslutande kräver Azure Active Directory-identiteter för Service Api-autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure IoT Hub för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att Azure IoT Hub uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera IoT Hub-enhetsetableringstjänstinstanser för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din IoT Hub-enhetsetableringsinstans så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/iotdpsvnet. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera IoT Hub-enhetsetableringstjänstinstanser med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera Azure IoT Hubs med privata slutpunkter | En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk via vilket en Azure-resurs kan nås. Den här principen distribuerar en privat slutpunkt för din IoT-hubb så att tjänster i det virtuella nätverket kan nå IoT Hub utan att trafik måste skickas till IoT Hubs offentliga slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att IoT Hub-instansen av enhetsetableringstjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av IoT Hub-enhetsetableringsinstanserna. Läs mer på: https://aka.ms/iotdpsvnet. | Granska, neka, inaktiverad | 1.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Ändra – Konfigurera Azure IoT Hubs för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure IoT Hub endast kan nås från en privat slutpunkt. Den här principen inaktiverar åtkomst till offentliga nätverk på IoT Hub-resurser. | Ändra, inaktiverad | 1.0.0 |
| Privat slutpunkt ska vara aktiverad för IoT Hub | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till IoT Hub. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | Granskning, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk på Azure IoT Hub bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure IoT Hub endast kan nås från en privat slutpunkt. | Granska, neka, inaktiverad | 1.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.