Встроенные определения в Политике Azure для службы сообщений Служебной шины Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы сообщений Служебной шины Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Службы сообщений Служебной шины Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: служебная шина должен быть избыточным по зонам | служебная шина можно настроить для избыточности зоны или нет. Если для свойства zoneRedundant задано значение false для служебная шина, это означает, что оно не настроено для избыточности зоны. Эта политика определяет и применяет конфигурацию избыточности зоны для служебная шина экземпляров. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Из пространства имен служебной шины должны быть удалены все правила авторизации за исключением RootManageSharedAccessKey | Клиентам служебной шины не следует использовать политику доступа на уровне пространства имен, которая предоставляет доступ ко всем очередям и разделам в пространстве имен. Для соответствия модели безопасности с наименьшими правами создавайте политики доступа к очередям и разделам на уровне сущности, чтобы предоставлять доступ только к конкретной сущности. | Audit, Deny, Disabled | 1.0.1 |
| Для работы пространств имен Служебной шины Azure нужно отключить способы локальной проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, обеспечивая, чтобы Служебная шина Azure пространства имен исключительно требовали идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-sb. | Audit, Deny, Disabled | 1.0.1 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка пространств имен Служебной шины Azure для отключения локальной проверки подлинности | Отключите локальные методы проверки подлинности, чтобы пространства имен Azure ServiceBus исключительно требовали идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-sb. | Modify, Disabled | 1.0.1 |
| Настройка пространств имен служебной шины с частными конечными точками | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание параметров диагностики служебной шины в концентраторе событий | Развертывает параметры диагностики служебной шины для потоковой передачи в региональный концентратор событий при создании или изменении служебной шины, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 2.0.0 |
| Развертывание параметров диагностики служебной шины в рабочей области Log Analytics | Развертывает параметры диагностики служебной шины для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении служебной шины, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 2.1.0 |
| Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для пространств имен служебная шина (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для служебная шина пространств имен (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для пространств имен служебная шина (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Для пространств имен служебной шины должен быть отключен доступ из общедоступной сети | Для Служебной шины Azure должен быть отключен доступ из общедоступной сети. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | Audit, Deny, Disabled | 1.1.0 |
| В пространствах имен служебной шины должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 1.0.0 |
| Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом | Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". | Audit, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.