Naleving van Azure Web PubSub Service-resources controleren met behulp van Azure Policy
Azure Policy is een gratis service in Azure voor het maken, toewijzen en beheren van beleidsregels die regels en effecten afdwingen om ervoor te zorgen dat uw resources voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten. Gebruik deze beleidsregels om Web PubSub-resources te controleren op naleving.
In dit artikel worden de ingebouwde beleidsregels voor Azure Web PubSub Service beschreven.
Voorbeelden van ingebouwde beleidsdefinities
De volgende tabel bevat een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Web PubSub. Zie ingebouwde Azure Policy-definities voor ingebouwde Azure Policy-services voor ingebouwde Azure Policy-services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron weer te geven in de GitHub-opslagplaats van Azure Policy.
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Web PubSub Service moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Azure Web PubSub-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Azure Web PubSub-service beperken. Zie voor meer informatie: https://aka.ms/awps/networkacls. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service moet diagnostische logboeken inschakelen | Inschakeling van diagnostische logboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor de Azure Web PubSub-service moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Web PubSub Service uitsluitend Azure Active Directory-identiteiten vereist voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web PubSub-service moet een SKU gebruiken die ondersteuning biedt voor private link | Met ondersteunde SKU kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Web PubSub-service uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Web PubSub-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/awps/networkacls. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in de Azure Web PubSub-service. Zie voor meer informatie: https://aka.ms/awps/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Web PubSub-service configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan de Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Beleidsdefinities toewijzen
Bij het toewijzen van een beleidsdefinitie:
- U kunt beleidsdefinities toewijzen met behulp van Azure Portal, Azure CLI, een Resource Manager-sjabloon of de Azure Policy SDK's.
- Beleidstoewijzingen kunnen worden toegewezen aan een resourcegroep, een abonnement of een Azure-beheergroep.
- U kunt het afdwingen van beleid op elk gewenst moment in- of uitschakelen.
- Web PubSub-beleidstoewijzingen zijn van toepassing op bestaande en nieuwe Web PubSub-resources binnen het bereik.
Notitie
Nadat u een beleid hebt toegewezen of bijgewerkt, duurt het even voordat de toewijzing wordt toegepast op resources in het gedefinieerde bereik. Zie informatie over beleidsevaluatietriggers.
Naleving van beleid controleren
Toegang tot nalevingsgegevens die zijn gegenereerd door uw beleidstoewijzingen met behulp van Azure Portal, Azure-opdrachtregelprogramma's of de Azure Policy SDK's. Zie Nalevingsgegevens van Azure-resources ophalen voor meer informatie.
Wanneer een resource niet-compatibel is, zijn er veel mogelijke redenen. Als u de reden wilt bepalen of de verantwoordelijke wijziging wilt vinden, raadpleegt u Niet-naleving bepalen.
Beleidsnaleving in de portal:
- Open Azure Portal en zoek naar Beleid.
- Selecteer Beleid.
- Selecteer Naleving.
- Gebruik de filters om weer te geven op bereik, type of nalevingsstatus. Gebruik de zoeklijst op naam of id.
- Selecteer een beleid om cumulatieve nalevingsdetails en -gebeurtenissen te controleren.
- Selecteer een specifieke Web PubSub voor resourcecompatibiliteit.
Naleving van beleid in de Azure CLI
U kunt de Azure CLI gebruiken om nalevingsgegevens op te halen. Gebruik de opdracht az policy assignment list om de beleids-id's op te halen van het Azure Web PubSub Service-beleid dat wordt toegepast:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Voorbeelduitvoer:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Voer de opdracht az policy state list uit om de nalevingsstatus met JSON-indeling voor alle resources onder een specifieke resourcegroep te retourneren:
az policy state list --g <resourceGroup>
Voer de opdracht az policy state list uit om de nalevingsstatus met JSON-indeling van een specifieke Web PubSub-resource te retourneren:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Volgende stappen
Meer informatie over Azure Policy-definities en -effecten
Meer informatie over governancemogelijkheden in Azure