Dela via

Använd Azure Policy för att granska efterlevnad av lägsta TLS-version för ett Azure Event Hubs namnområde

  • Artikel

Om du har ett stort antal Namnområden för Microsoft Azure Event Hubs kanske du vill utföra en granskning för att se till att alla namnrymder har konfigurerats för den lägsta version av TLS som din organisation kräver. Om du vill granska en uppsättning Event Hubs-namnrymder för deras efterlevnad använder du Azure Policy. Azure Policy är en tjänst som du kan använda för att skapa, tilldela och hantera principer som tillämpar regler på Azure-resurser. Azure Policy hjälper dig att hålla resurserna kompatibla med företagets standarder och serviceavtal. Mer information finns i Översikt över Azure Policy.

Skapa en princip med en granskningseffekt

Azure Policy stöder effekter som avgör vad som händer när en principregel utvärderas mot en resurs. Granskningseffekten skapar en varning när en resurs inte är kompatibel, men inte stoppar begäran. Mer information om effekter finns i Förstå Azure Policy effekter.

Följ dessa steg om du vill skapa en princip med en granskningseffekt för den lägsta TLS-versionen med Azure Portal:

  1. I Azure Portal går du till Azure Policy-tjänsten.

  2. Under avsnittet Redigering väljer du Definitioner.

  3. Välj Lägg till principdefinition för att skapa en ny principdefinition.

  4. I fältet Definitionsplats väljer du knappen Mer för att ange var resursen för granskningsprinciper finns.

  5. Ange ett namn för principen. Du kan också ange en beskrivning och kategori.

  6. Under Principregel lägger du till följande principdefinition i avsnittet policyRule .

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Spara principen.

Tilldela principen

Tilldela sedan principen till en resurs. Principens omfång motsvarar den resursen och eventuella resurser under den. Mer information om principtilldelning finns i Azure Policy tilldelningsstruktur.

Följ dessa steg om du vill tilldela principen med Azure Portal:

  1. I Azure Portal går du till Azure Policy-tjänsten.
  2. Under avsnittet Redigering väljer du Tilldelningar.
  3. Välj Tilldela princip för att skapa en ny principtilldelning.
  4. I fältet Omfång väljer du principtilldelningens omfång.
  5. I fältet Principdefinition väljer du knappen Mer och sedan den princip som du definierade i föregående avsnitt i listan.
  6. Ange ett namn för principtilldelningen. Beskrivningen är valfri.
  7. Låt Principframtvingande vara inställt på Aktiverad. Den här inställningen påverkar inte granskningsprincipen.
  8. Välj Granska + skapa för att skapa tilldelningen.

Visa efterlevnadsrapport

När du har tilldelat principen kan du visa efterlevnadsrapporten. Efterlevnadsrapporten för en granskningsprincip innehåller information om vilka Event Hubs-namnområden som inte är kompatibla med principen. Mer information finns i Hämta principefterlevnadsdata.

Det kan ta flera minuter innan efterlevnadsrapporten blir tillgänglig när principtilldelningen har skapats.

Följ dessa steg om du vill visa efterlevnadsrapporten i Azure Portal:

  1. I Azure Portal går du till Azure Policy-tjänsten.
  2. Välj Efterlevnad.
  3. Filtrera resultatet efter namnet på den principtilldelning som du skapade i föregående steg. Rapporten visar hur många resurser som inte är kompatibla med principen.
  4. Du kan öka detaljnivån i rapporten för ytterligare information, inklusive en lista över Event Hubs-namnområden som inte är kompatibla.

Använd Azure Policy för att framtvinga lägsta TLS-version

Azure Policy stöder molnstyrning genom att se till att Azure-resurser följer krav och standarder. Om du vill framtvinga ett minimikrav på TLS-version för Event Hubs-namnrymderna i din organisation kan du skapa en princip som förhindrar att ett nytt Event Hubs-namnområde skapas som anger det lägsta TLS-kravet till en äldre version av TLS än den som styrs av principen. Den här principen förhindrar också alla konfigurationsändringar i ett befintligt namnområde om den lägsta TLS-versionsinställningen för det namnområdet inte är kompatibel med principen.

Tvingande principen använder neka-effekten för att förhindra en begäran som skulle skapa eller ändra ett Event Hubs-namnområde så att den lägsta TLS-versionen inte längre följer organisationens standarder. Mer information om effekter finns i Förstå Azure Policy effekter.

Om du vill skapa en princip med en neka-effekt för en lägsta TLS-version som är mindre än TLS 1.2 anger du följande JSON i avsnittet policyRule i principdefinitionen:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

När du har skapat principen med neka-effekten och tilldelat den till ett omfång kan en användare inte skapa ett Event Hubs-namnområde med en lägsta TLS-version som är äldre än 1.2. En användare kan inte heller göra några konfigurationsändringar i ett befintligt Event Hubs-namnområde som för närvarande kräver en lägsta TLS-version som är äldre än 1.2. Om du försöker göra det resulterar det i ett fel. Den lägsta TLS-version som krävs för Event Hubs-namnområdet måste anges till 1.2 för att kunna fortsätta med skapandet eller konfigurationen av namnområdet.

Ett fel visas om du försöker skapa ett Event Hubs-namnområde med den lägsta TLS-versionen inställd på TLS 1.0 när en princip med neka-effekt kräver att den lägsta TLS-versionen anges till TLS 1.2.

Nästa steg

Mer information finns i följande dokumentation.