Ingebouwde Azure Policy-definities voor Azure IoT Hub
Als u wilt zien hoe u algemene IoT-scenario's kunt implementeren, kunt u IoT Hub-voorbeeldcode bekijken in de IoT Hub quickstarts. Er zijn quickstarts voor meerdere computertalen, zoals C, node.js en Python.
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure IoT Hub. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure IoT Hub
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure IoT Hub moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Versleuteling van data-at-rest in IoT Hub met door de klant beheerde sleutel voegt een tweede versleutelingslaag toe boven op de standaard door de service beheerde sleutels, maakt het klantbeheer mogelijk van sleutels, aangepast rotatiebeleid en de mogelijkheid om toegang tot gegevens te beheren via sleuteltoegangsbeheer. Door de klant beheerde sleutels moeten worden geconfigureerd tijdens het maken van IoT Hub. Zie https://aka.ms/iotcmkvoor meer informatie over het configureren van door de klant beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Voor Azure IoT Hub moeten lokale verificatiemethoden zijn uitgeschakeld voor Service-API's | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure IoT Hub uitsluitend Azure Active Directory-identiteiten vereist voor service-API-verificatie. Zie voor meer informatie: https://aka.ms/iothubdisablelocalauth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure IoT Hub configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure IoT Hub uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/iothubdisablelocalauth. | Wijzigen, uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang uit voor uw IoT Hub-apparaatinrichtingsexemplaren, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/iotdpsvnet. | Wijzigen, uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te stellen aan de IoT Hub-apparaatinrichtingsservice, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Azure IoT Hubs configureren met privé-eindpunten | Een privé-eindpunt is een privé-IP-adres dat is toegewezen in een virtueel netwerk dat eigendom is van de klant via welke een Azure-resource bereikbaar is. Met dit beleid wordt een privé-eindpunt voor uw IoT-hub geïmplementeerd, zodat services in uw virtuele netwerk IoT Hub kunnen bereiken zonder dat verkeer naar het openbare eindpunt van IoT Hub moet worden verzonden. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.devices/provisioningservices voor Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.devices/provisioningservices voor Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.devices/provisioningservices naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een opslagaccount voor microsoft.devices/provisioningservices te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat het IoT Hub-exemplaar van de apparaatinrichtingsservice niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Inrichtingsexemplaren van IoT Hub-apparaten beperken. Zie voor meer informatie: https://aka.ms/iotdpsvnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Wijzigen - Azure IoT Hubs configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure IoT Hub alleen toegankelijk is vanuit een privé-eindpunt. Met dit beleid wordt de toegang tot openbare netwerken op IoT Hub-resources uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-eindpunt moet zijn ingeschakeld voor IoT Hub | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met IoT Hub in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | Controle, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang in Azure IoT Hub moet worden uitgeschakeld | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure IoT Hub alleen toegankelijk is vanuit een privé-eindpunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resourcelogboeken in IoT Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.