Встроенные определения в Политике Azure для Центра Интернета вещей
Пример кода для Центра Интернета вещей, демонстрирующий способы реализации распространенных сценариев Интернета вещей, см. в этом кратком руководстве. Доступны также пакеты средств разработки для нескольких языков программирования, включая C, Node.js и Python.
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Центра Интернета вещей Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Центр Интернета вещей Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Центр Интернета вещей Azure должен использовать ключ, управляемый клиентом, для шифрования неактивных данных | При шифровании неактивных данных в Центре Интернета вещей с помощью ключа, управляемого клиентом, добавляется второй уровень шифрования поверх используемых по умолчанию ключей, управляемых службой, а также возможности управления ключами клиентом, применения пользовательских политик смены и управления доступом к данным с помощью механизма управления доступом к ключам. Ключи, управляемые клиентом, должны быть настроены во время создания Центра Интернета вещей. Дополнительные сведения о настройке ключей, управляемых клиентом, см. по адресу https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента | Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Служба "Центр Интернета вещей" должна отключить локальные способы проверки подлинности для Api службы | Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что служба "Центр Интернета вещей" потребует для проверки подлинности Api службы исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Настройка Центра Интернета вещей, чтобы отключить локальную проверку подлинности | Отключите локальные способы проверки подлинности, чтобы служба "Центр Интернета вещей" требовала для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/iothubdisablelocalauth. | Modify, Disabled | 1.0.0 |
| Настройка отключения доступа к общедоступной сети для экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей | Отключите доступ к общедоступным сетям для ресурса Службы подготовки устройств к добавлению в Центр Интернета вещей, чтобы сделать его недоступным в общедоступном Интернете. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/iotdpsvnet. | Modify, Disabled | 1.0.0 |
| Настройка экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей с частными конечными точками | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со Службой подготовки устройств к добавлению в Центр Интернета вещей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание — настройка Центров Интернета вещей Azure с частными конечными точками | Частная конечная точка — это частный IP-адрес, выделенный внутри виртуальной сети клиента, с использованием которого ресурс Azure становится доступным. Эта политика позволяет развернуть частную конечную точку для Центра Интернета вещей, чтобы разрешить службам в виртуальной сети доступ к Центру Интернета вещей без необходимости отправлять трафик в общедоступную конечную точку Центра Интернета вещей. | DeployIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Центр Интернета вещей (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Центр Интернета вещей (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Центр Интернета вещей (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для microsoft.devices/provisioningservices в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.devices/provisioningservices в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.devices/provisioningservices для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для служб microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны отключать доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает уровень безопасности, гарантируя, что экземпляр Службы подготовки устройств к добавлению в Центр Интернета вещей не будет доступен в общедоступном Интернете. Создание частных конечных точек может снизить уязвимость экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей. См. дополнительные сведения: https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Изменение — настройка Центров Интернета вещей Azure для отключения доступа к общедоступной сети | Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к Центру Интернета вещей Azure будет возможен только из частной конечной точки. Эта политика отключает доступ к общедоступным сетям в ресурсах Центра Интернета вещей. | Modify, Disabled | 1.0.0 |
| Для Центра Интернета вещей необходимо включить частную конечную точку | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Центру Интернета вещей. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | Audit, Disabled | 1.0.0 |
| Доступ к общедоступной сети для Центра Интернета вещей Azure должен быть отключен | Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к Центру Интернета вещей Azure будет возможен только из частной конечной точки. | Audit, Deny, Disabled | 1.0.0 |
| В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.