Az Azure SignalR Service-erőforrások megfelelőségének naplózása az Azure Policy használatával
Az Azure Policy egy azure-beli szolgáltatás, amellyel szabályzatokat hozhat létre, rendelhet hozzá és kezelhet. A szabályzatok különböző szabályokat és hatásokat kényszerítenek ki az erőforrásokon, hogy azok megfeleljenek a vállalati szabványoknak és szolgáltatói szerződéseknek.
Ez a cikk az Azure SignalR Service beépített szabályzatait (előzetes verzió) ismerteti. Ezekkel a szabályzatokkal naplózhatja az új és meglévő SignalR-erőforrásokat a megfelelőség érdekében.
Az Azure Policy használatáért nem számolunk fel díjat.
Beépített szabályzatdefiníciók
A következő beépített szabályzatdefiníciók az Azure SignalR Szolgáltatásra vonatkoznak:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure SignalR szolgáltatásnak le kell tiltania a nyilvános hálózati hozzáférést | Az Azure SignalR service-erőforrás biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/asrs/networkaclsleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure SignalR szolgáltatásnak engedélyeznie kell a diagnosztikai naplókat | Diagnosztikai naplók engedélyezésének naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR szolgáltatásnak le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure SignalR szolgáltatás kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SignalR szolgáltatásnak privát kapcsolattal kompatibilis termékváltozatot kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen, amely megvédi az erőforrásokat a nyilvános adatszivárgási kockázatoktól. A szabályzat a Private Link-kompatibilis termékváltozatokra korlátozza az Azure SignalR Service-hez. További információ a privát hivatkozásról: https://aka.ms/asrs/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure SignalR szolgáltatás konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure SignalR szolgáltatás kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Módosítás, letiltva | 1.0.0 |
| Privát végpontok konfigurálása az Azure SignalR Service-be | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure SignalR Service-erőforrásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Privát DNS-zónák konfigurálása privát végpontokhoz az Azure SignalR Service-hez való csatlakozáshoz | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure SignalR-szolgáltatás erőforrásához való feloldás érdekében. További információ: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR szolgáltatás erőforrásainak módosítása a nyilvános hálózati hozzáférés letiltásához | Az Azure SignalR service-erőforrás biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/asrs/networkaclsleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Módosítás, letiltva | 1.1.0 |
Szabályzatdefiníciók hozzárendelése
- Szabályzatdefiníciók hozzárendelése az Azure Portal, az Azure CLI, a Resource Manager-sablon vagy az Azure Policy SDK-k használatával.
- Szabályzat-hozzárendelés hatóköre erőforráscsoportra, előfizetésre vagy Azure felügyeleti csoportra. A SignalR-szabályzat-hozzárendelések a hatókörön belüli meglévő és új SignalR-erőforrásokra vonatkoznak.
- A szabályzatkényszerítés engedélyezése vagy letiltása bármikor.
Feljegyzés
Miután hozzárendelt vagy frissített egy szabályzatot, időbe telik, amíg a hozzárendelés a megadott hatókörben lévő erőforrásokra lesz alkalmazva. A szabályzat-kiértékelési eseményindítókkal kapcsolatos információk megtekintése.
Szabályzatmegfelelés áttekintése
A szabályzat-hozzárendelések által létrehozott megfelelőségi információk elérése az Azure Portal, az Azure parancssori eszközei vagy az Azure Policy SDK-k használatával. További információ: Azure-erőforrások megfelelőségi adatainak lekérése.
Ha egy erőforrás nem megfelelő, annak számos oka lehet. A változás okának megállapításához vagy a felelős változás megtalálásához lásd : Meg nem felelés meghatározása.
Szabályzatmegfelelőség a portálon:
Válassza a Minden szolgáltatás lehetőséget, és keresse meg a Szabályzatot.
Válassza a Megfelelőség lehetőséget.
A szűrők használatával korlátozhatja a megfelelőségi állapotokat, vagy szabályzatokat kereshet
Válasszon ki egy szabályzatot az összesített megfelelőségi adatok és események áttekintéséhez. Ha szükséges, válasszon ki egy adott SignalR-t az erőforrás-megfelelőséghez.
Szabályzatmegfelelés az Azure CLI-ben
Az Azure CLI használatával is lekérheti a megfelelőségi adatokat. A parancssori felület szabályzat-hozzárendelési lista parancsával például lekérheti az alkalmazott Azure SignalR-szolgáltatásszabályzatok szabályzatazonosítóit:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Példa a kimenetre:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Ezután futtassa az az policy state list parancsot az adott erőforráscsoportban lévő összes erőforrás JSON-formátumú megfelelőségi állapotának visszaadásához:
az policy state list --g <resourceGroup>
Vagy futtassa az az policy state listát egy adott SignalR-erőforrás JSON-formátumú megfelelőségi állapotának visszaadásához:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Következő lépések
További információ az Azure Policy definícióiról és hatásairól