Utilizar Azure Policy para auditar a conformidade da versão mínima do TLS para um espaço de nomes Hubs de Eventos do Azure

Se tiver um grande número de espaços de nomes do Microsoft Hubs de Eventos do Azure, poderá querer efetuar uma auditoria para garantir que todos os espaços de nomes estão configurados para a versão mínima do TLS necessária para a sua organização. Para auditar um conjunto de espaços de nomes dos Hubs de Eventos para a conformidade, utilize Azure Policy. Azure Policy é um serviço que pode utilizar para criar, atribuir e gerir políticas que aplicam regras aos recursos do Azure. Azure Policy ajuda-o a manter esses recursos em conformidade com as normas empresariais e os contratos de nível de serviço. Para obter mais informações, consulte Descrição geral do Azure Policy.

Criar uma política com um efeito de auditoria

Azure Policy suporta efeitos que determinam o que acontece quando uma regra de política é avaliada relativamente a um recurso. O efeito de auditoria cria um aviso quando um recurso não está em conformidade, mas não para o pedido. Para obter mais informações sobre efeitos, veja Compreender os efeitos Azure Policy.

Para criar uma política com um efeito de auditoria para a versão mínima do TLS com o portal do Azure, siga estes passos:

1. Na portal do Azure, navegue para o serviço Azure Policy.

2. Na secção Criação , selecione Definições.

3. Selecione Adicionar definição de política para criar uma nova definição de política.

4. Para o campo Localização da definição , selecione o botão Mais para especificar onde está localizado o recurso da política de auditoria.

5. Especifique um nome para a política. Opcionalmente, pode especificar uma descrição e uma categoria.

6. Em Regra de política , adicione a seguinte definição de política à secção policyRule .

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.EventHub/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.EventHub/namespaces/minimumTlsVersion",
               "equals": "1.2"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Guarde a política.

Atribuir a política

Em seguida, atribua a política a um recurso. O âmbito da política corresponde a esse recurso e a quaisquer recursos abaixo do mesmo. Para obter mais informações sobre a atribuição de políticas, veja Azure Policy estrutura de atribuição.

Para atribuir a política com a portal do Azure, siga estes passos:

1. Na portal do Azure, navegue para o serviço Azure Policy.
2. Na secção Criação , selecione Atribuições.
3. Selecione Atribuir política para criar uma nova atribuição de política.
4. Para o campo Âmbito , selecione o âmbito da atribuição de política.
5. Para o campo Definição de política , selecione o botão Mais e, em seguida, selecione a política que definiu na secção anterior da lista.
6. Indique um nome para a atribuição de política. A descrição é opcional.
7. Deixe a imposição da política definida como Ativada. Esta definição não afeta a política de auditoria.
8. Selecione Rever + criar para criar a tarefa.

Ver relatório de conformidade

Depois de atribuir a política, pode ver o relatório de conformidade. O relatório de conformidade de uma política de auditoria fornece informações sobre quais os espaços de nomes dos Hubs de Eventos que não estão em conformidade com a política. Para obter mais informações, veja Obter dados de conformidade de políticas.

O relatório de conformidade pode demorar vários minutos a ficar disponível após a criação da atribuição de política.

Para ver o relatório de conformidade no portal do Azure, siga estes passos:

1. Na portal do Azure, navegue para o serviço Azure Policy.
2. Selecione Conformidade.
3. Filtre os resultados para o nome da atribuição de política que criou no passo anterior. O relatório mostra quantos recursos não estão em conformidade com a política.
4. Pode desagregar o relatório para obter detalhes adicionais, incluindo uma lista de espaços de nomes dos Hubs de Eventos que não estão em conformidade.

Utilizar Azure Policy para impor a versão mínima do TLS

Azure Policy suporta a governação da cloud ao garantir que os recursos do Azure cumprem os requisitos e as normas. Para impor um requisito mínimo de versão do TLS para os espaços de nomes dos Hubs de Eventos na sua organização, pode criar uma política que impeça a criação de um novo espaço de nomes dos Hubs de Eventos que defina o requisito mínimo de TLS para uma versão mais antiga do TLS do que aquela que é ditada pela política. Esta política também impedirá todas as alterações de configuração a um espaço de nomes existente se a definição de versão mínima do TLS para esse espaço de nomes não estiver em conformidade com a política.

A política de imposição utiliza o efeito de negação para impedir um pedido que crie ou modifique um espaço de nomes dos Hubs de Eventos para que a versão mínima do TLS deixe de cumprir os padrões da sua organização. Para obter mais informações sobre efeitos, veja Compreender os efeitos Azure Policy.

Para criar uma política com um efeito de negação para uma versão mínima do TLS inferior ao TLS 1.2, forneça o seguinte JSON na secção policyRule da definição de política:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Depois de criar a política com o efeito de negação e atribuí-la a um âmbito, um utilizador não pode criar um espaço de nomes dos Hubs de Eventos com uma versão mínima do TLS anterior à 1.2. Um utilizador também não pode efetuar alterações de configuração a um espaço de nomes existente dos Hubs de Eventos que requer atualmente uma versão mínima do TLS anterior à 1.2. Tentar fazê-lo resulta num erro. A versão mínima do TLS necessária para o espaço de nomes dos Hubs de Eventos tem de ser definida como 1.2 para prosseguir com a criação ou configuração do espaço de nomes.

Será apresentado um erro se tentar criar um espaço de nomes dos Hubs de Eventos com a versão mínima do TLS definida como TLS 1.0 quando uma política com um efeito de negação exigir que a versão mínima do TLS esteja definida como TLS 1.2.

Passos seguintes

Veja a seguinte documentação para obter mais informações.

• Impor uma versão mínima necessária do Transport Layer Security (TLS) para pedidos para um espaço de nomes dos Hubs de Eventos
• Configurar a versão mínima do TLS para um espaço de nomes dos Hubs de Eventos
• Configurar o Transport Layer Security (TLS) para uma aplicação cliente dos Hubs de Eventos