Definições internas do Azure Policy para o Hub IoT do Azure
Para o código de exemplo do Hub IoT que mostra como implementar cenários comuns de IoT, confira os Inícios rápidos do Hub IoT. Há inícios rápidos para várias linguagens de programação, incluindo C, Node.js e Python.
Esta página é um índice de definições de políticas internas do Azure Policy para o Hub IoT do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Hub IoT do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: o Hub IoT do Azure deve usar uma chave gerenciada pelo cliente para criptografar dados inativos | A criptografia de dados inativos no Hub IoT com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia sobre as chaves padrão gerenciadas pelo serviço, permite o controle pelo cliente das chaves e políticas de rotação personalizadas, bem como a capacidade de gerenciar o acesso aos dados por meio do controle de acesso à chave. As chaves gerenciadas pelo cliente precisam ser configuradas durante a criação do Hub IoT. Para obter mais informações sobre como configurar chaves gerenciadas pelo cliente, confira https://aka.ms/iotcmk. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os dados do Serviço de Provisionamento de Dispositivos do Hub IoT devem ser criptografados usando CMKs (chaves gerenciadas pelo cliente) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Serviço de Provisionamento de Dispositivos no Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| No Hub IoT do Azure, os métodos de autenticação local deverão estar desabilitados para APIs de Serviço | Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que o Hub IoT do Azure exija de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação da API de Serviço. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Audit, Deny, desabilitado | 1.0.0 |
| Configurar o Hub IoT do Azure para desabilitar uma autenticação local | Desabilite os métodos de autenticação local para que o Hub IoT do Azure exija de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Modificar, Desabilitado | 1.0.0 |
| Configurar as instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para a instância de provisionamento de dispositivos do Hub IoT para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/iotdpsvnet. | Modificar, Desabilitado | 1.0.0 |
| Configurar as instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar – configurar os Hubs IoT do Azure com pontos de extremidade privados | Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Essa política implanta um ponto de extremidade privado para o Hub IoT para permitir que os serviços dentro de sua rede virtual alcancem o Hub IoT sem exigir que o tráfego seja enviado ao ponto de extremidade público do Hub IoT. | DeployIfNotExists, desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias no Hub IoT (microsoft.devices/iothubs) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos no Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias do Hub IoT (microsoft.devices/iothubs) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias no Hub IoT (microsoft.devices/iothubs) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para microsoft.devices/provisioningservices no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.devices/provisioningservices no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.devices/provisioningservices no armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que a instância do Serviço de Provisionamento de Dispositivos no Hub IoT não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição das instâncias de provisionamento de dispositivos do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | Audit, Deny, desabilitado | 1.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| Modificar – configurar os Hubs IoT do Azure para desabilitar o acesso à rede pública | A desabilitação da propriedade de acesso à rede pública aprimora a segurança, garantindo que o Hub IoT do Azure seja acessado somente de um ponto de extremidade privado. Essa política desabilita o acesso à rede pública nos recursos do Hub IoT. | Modificar, Desabilitado | 1.0.0 |
| O ponto de extremidade privado deve ser habilitado para o Hub IoT | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Hub IoT. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | Audit, desabilitado | 1.0.0 |
| O acesso à rede pública no Hub IoT do Azure deve ser desabilitado | A desabilitação da propriedade de acesso à rede pública aprimora a segurança, garantindo que o Hub IoT do Azure seja acessado somente de um ponto de extremidade privado. | Audit, Deny, desabilitado | 1.0.0 |
| Os logs de recurso no Hub IoT devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.