Dela via

Använd Azure Policy för att granska efterlevnad av lägsta TLS-version för ett Azure Service Bus namnområde

  • Artikel

Om du har ett stort antal Microsoft Azure Service Bus namnrymder kanske du vill utföra en granskning för att se till att alla namnområden har konfigurerats för den lägsta version av TLS som din organisation kräver. Om du vill granska en uppsättning Service Bus-namnområden för deras efterlevnad använder du Azure Policy. Azure Policy är en tjänst som du kan använda för att skapa, tilldela och hantera principer som tillämpar regler på Azure-resurser. Azure Policy hjälper dig att hålla resurserna kompatibla med företagets standarder och serviceavtal. Mer information finns i Översikt över Azure Policy.

Skapa en princip med granskningseffekt

Azure Policy stöder effekter som avgör vad som händer när en principregel utvärderas mot en resurs. Granskningseffekten skapar en varning när en resurs inte är i kompatibilitet, men inte stoppar begäran. Mer information om effekter finns i Förstå Azure Policy effekter.

Följ dessa steg för att skapa en princip med en granskningseffekt för den lägsta TLS-versionen med Azure Portal:

  1. I Azure Portal navigerar du till Azure Policy-tjänsten.

  2. Under avsnittet Redigering väljer du Definitioner.

  3. Välj Lägg till principdefinition för att skapa en ny principdefinition.

  4. I fältet Definitionsplats väljer du knappen Mer för att ange var resursen för granskningsprinciper finns.

  5. Ange ett namn för principen. Du kan också ange en beskrivning och kategori.

  6. Under Principregel lägger du till följande principdefinition i avsnittet policyRule .

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Spara principen.

Tilldela principen

Tilldela sedan principen till en resurs. Principens omfång motsvarar resursen och eventuella resurser under den. Mer information om principtilldelning finns i Azure Policy tilldelningsstruktur.

Följ dessa steg för att tilldela principen med Azure Portal:

  1. I Azure Portal navigerar du till Azure Policy-tjänsten.
  2. Under avsnittet Redigering väljer du Tilldelningar.
  3. Välj Tilldela princip för att skapa en ny principtilldelning.
  4. I fältet Omfång väljer du omfånget för principtilldelningen.
  5. I fältet Principdefinition väljer du knappen Mer och väljer sedan den princip som du definierade i föregående avsnitt i listan.
  6. Ange ett namn för principtilldelningen. Beskrivningen är valfri.
  7. Lämna Principtillämpning inställd på Aktiverad. Den här inställningen påverkar inte granskningsprincipen.
  8. Välj Granska + skapa för att skapa tilldelningen.

Visa efterlevnadsrapport

När du har tilldelat principen kan du visa efterlevnadsrapporten. Efterlevnadsrapporten för en granskningsprincip innehåller information om vilka Service Bus-namnområden som inte följer principen. Mer information finns i Hämta principefterlevnadsdata.

Det kan ta flera minuter innan efterlevnadsrapporten blir tillgänglig när principtilldelningen har skapats.

Följ dessa steg för att visa efterlevnadsrapporten i Azure Portal:

  1. I Azure Portal navigerar du till Azure Policy-tjänsten.
  2. Välj Efterlevnad.
  3. Filtrera resultatet efter namnet på den principtilldelning som du skapade i föregående steg. Rapporten visar hur många resurser som inte följer principen.
  4. Du kan öka detaljnivån i rapporten för ytterligare information, inklusive en lista över Service Bus-namnområden som inte är kompatibla.

Använd Azure Policy för att framtvinga lägsta TLS-version

Azure Policy stöder molnstyrning genom att se till att Azure-resurser följer krav och standarder. Om du vill framtvinga ett lägsta krav på TLS-version för Service Bus-namnrymderna i din organisation kan du skapa en princip som förhindrar skapandet av ett nytt Service Bus-namnområde som anger minimikravet för TLS till en äldre version av TLS än den som styrs av principen. Den här principen förhindrar också alla konfigurationsändringar i ett befintligt namnområde om den lägsta TLS-versionsinställningen för namnområdet inte är kompatibel med principen.

Tvingande principen använder neka-effekten för att förhindra en begäran som skulle skapa eller ändra ett Service Bus-namnområde så att den lägsta TLS-versionen inte längre följer organisationens standarder. Mer information om effekter finns i Förstå Azure Policy effekter.

Om du vill skapa en princip med neka-effekt för en lägsta TLS-version som är mindre än TLS 1.2 anger du följande JSON i avsnittet policyRule i principdefinitionen:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

När du har skapat principen med neka-effekten och tilldelat den till ett omfång kan en användare inte skapa ett Service Bus-namnområde med en lägsta TLS-version som är äldre än 1.2. En användare kan inte heller göra några konfigurationsändringar i ett befintligt Service Bus-namnområde som för närvarande kräver en lägsta TLS-version som är äldre än 1.2. Försök att göra det resulterar i ett fel. Den lägsta TLS-version som krävs för Service Bus-namnområdet måste anges till 1.2 för att kunna fortsätta med skapandet eller konfigurationen av namnområdet.

Ett fel visas om du försöker skapa ett Service Bus-namnområde med den lägsta TLS-versionen inställd på TLS 1.0 när en princip med en neka-effekt kräver att den lägsta TLS-versionen anges till TLS 1.2.

Nästa steg

Mer information finns i följande dokumentation.