Compartilhar via


Usar Azure Policy para auditar a conformidade da versão mínima do TLS para um namespace dos Hubs de Eventos do Azure

Se você tiver um grande número de namespaces dos Hubs de Eventos do Microsoft Azure, convém realizar uma auditoria para garantir que todos os namespaces sejam configurados para a versão mínima do TLS que sua organização requer. Para auditar a conformidade de um conjunto de namespaces dos Hubs de Eventos, use o Azure Policy. Azure Policy é um serviço que você pode usar para criar, atribuir e gerenciar políticas que aplicam regras aos recursos do Azure. O Azure Policy ajuda a manter esses recursos compatíveis com seus padrões empresariais e contratos de nível de serviço. Para saber mais, confira Visão geral do Azure Policy.

Criar uma política com um efeito de auditoria

O Azure Policy oferece suporte a efeitos que determinam o que acontece quando uma regra de política é avaliada em um recurso. O efeito da auditoria cria um aviso quando um recurso não está em conformidade, mas não interrompe a solicitação. Para saber mais sobre efeitos, confira Entender os efeitos da Azure Policy.

Para criar uma política com um efeito de auditoria para a versão mínima do TLS com o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.

  2. Na seção Criação, escolha Definições.

  3. Escolha Adicionar definição de política para criar uma nova definição de política.

  4. Para o campo Local de definição, escolha o botão Mais para especificar onde o recurso de política de auditoria está localizado.

  5. Especifique um nome para a política. Opcionalmente, você pode especificar uma descrição e uma categoria.

  6. Em Regra de política, adicione a seguinte definição de política à seção policyRule.

    {
      "policyRule": {
        "if": {
          "allOf": [
            {
              "field": "type",
              "equals": "Microsoft.EventHub/namespaces"
            },
            {
              "not": {
                "field": "Microsoft.EventHub/namespaces/minimumTlsVersion",
                "equals": "1.2"
              }
            }
          ]
        },
        "then": {
          "effect": "audit"
        }
      }
    }
    
  7. Salve a política.

Atribuir a política

Em seguida, atribua a política a um recurso. O escopo da política corresponde a esse recurso e a todos os recursos abaixo dele. Para obter mais informações sobre atribuição de política, confira Estrutura de atribuição do Azure Policy.

Para atribuir a política com o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.
  2. Na seção Criação, escolha Atribuições.
  3. Escolha Atribuir política para criar uma nova atribuição de política.
  4. Para o campo Escopo, escolha o escopo de atribuição de política.
  5. Para o campo Definição de política, escolha o botão Mais e, em seguida, escolha a política que você definiu na seção anterior na lista.
  6. Forneça um nome para a atribuição de política. A descrição é opcional.
  7. Mantenha Imposição de política definido como Habilitado. Essa configuração não tem efeito sobre a política de auditoria.
  8. Escolha Examinar + criar para criar a atribuição.

Exibir relatório de conformidade

Depois de atribuir a política, você poderá visualizar o relatório de conformidade. O relatório de conformidade de uma política de auditoria mostra informações sobre quais namespaces dos Hubs de Eventos não estão em conformidade com a política. Para obter mais informações, confira Obter dados de conformidade da política.

Pode levar vários minutos para que o relatório de conformidade fique disponível depois que a atribuição de política for criada.

Para exibir o relatório de conformidade no portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.
  2. Selecione Conformidade.
  3. Filtre os resultados para o nome da atribuição de política que você criou na etapa anterior. O relatório mostra quantos recursos não estão em conformidade com a política.
  4. Você pode fazer uma busca detalhada no relatório para obter mais detalhes, incluindo uma lista de namespaces dos Hubs de Eventos que não estão em conformidade.

Usar o Azure Policy para impor a versão mínima do TLS

O Azure Policy dá suporte à governança de nuvem, garantindo que os recursos do Azure sigam os requisitos e padrões. Para impor um requisito mínimo de versão TLS para as namespaces dos Hubs de Eventos em sua organização, você pode criar uma política que impeça a criação de um novo namespace dos Hubs de Eventos que define o requisito mínimo de TLS para uma versão mais antiga do TLS do que a que é ditada pela política. Essa política também impedirá todas as alterações de configuração em um namespace existente se a configuração de versão mínima de TLS para essa namespace não estiver em conformidade com a política.

A política de imposição usa o efeito de negação para evitar uma solicitação que criaria ou mudaria um namespace dos Hubs de Eventos de forma que a versão mínima do TLS não respeitasse mais os padrões da sua organização. Para saber mais sobre efeitos, confira Entender os efeitos da Azure Policy.

Para criar uma política com um efeito de negação para uma versão mínima de TLS que seja menos que TLS 1.2, forneça o JSON a seguir na seção policyRule da definição de política:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Depois de criar a política com o efeito de negação e atribuí-la a um escopo, um usuário não poderá criar um namespace dos Hubs de Eventos com uma versão de TLS mínima que seja mais antiga que 1.2. O usuário também não pode fazer alterações na configuração de um namespace dos Hubs de Eventos existente que atualmente requer uma versão mínima de TLS anterior a 1.2. Caso isso seja feito, será gerado um erro. A versão mínima necessária do TLS para o namespace dos Hubs de Eventos deve ser definida como 1.2 para prosseguir com a criação ou configuração do namespace.

Um erro será mostrado se você tentar criar um namespace dos Hubs de Eventos com a versão mínima do TLS como TLS 1.0, quando uma política com um efeito de negação exigir que a versão mínima do TLS seja definida como TLS 1.2.

Próximas etapas

Para saber mais, confira a seguinte documentação.