Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Service Bus Messaging. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Azure Service Bus Messaging
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Service Bus sollte zonenredundant sein | Service Bus kann so konfiguriert werden, dass sie zonenredundant ist oder nicht. Wenn die Eigenschaft "zoneRedundant" für eine Service Bus auf "false" festgelegt ist, bedeutet dies, dass sie nicht für Zonenredundanz konfiguriert ist. Diese Richtlinie identifiziert und erzwingt die Zonenredundanzkonfiguration für Service Bus Instanzen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| All authorization rules except RootManageSharedAccessKey should be removed from Service Bus namespace | Service Bus Clients sollten keine Zugriffsrichtlinie auf Namespaceebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace ermöglicht. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Service Bus Namespaces sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Azure Service Bus Namespaces ausschließlich Microsoft Entra ID Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-sb. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Service Bus Namespaces sollten einen privaten Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Service Bus Namespaces werden Die Risiken für Datenlecks reduziert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Configure Azure Service Bus Namespaces zum Deaktivieren der lokalen Authentifizierung | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure ServiceBus-Namespaces ausschließlich Microsoft Entra ID Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-sb. | Bearbeiten, Deaktivieren | 1.0.1 |
| Configure Service Bus Namespaces mit privaten Endpunkten | Private Endpunkte verbinden Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel. Indem Sie private Endpunkte Service Bus Namespaces zuordnen, können Sie Datenverlustrisiken reduzieren. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Diagnoseeinstellungen für Service Bus in Event Hub bereitstellen | Stellt die Diagnoseeinstellungen für Service Bus bereit, um zu einem regionalen Event Hub zu streamen, wenn Service Bus, die diese Diagnoseeinstellungen fehlen, erstellt oder aktualisiert wird. | DeployIfNotExists, deaktiviert | 2.0.0 |
| Diagnoseeinstellungen für Service Bus in Log Analytics-Arbeitsbereich bereitstellen | Stellt die Diagnoseeinstellungen für Service Bus zum Streamen in einen regionalen Log Analytics Arbeitsbereich bereit, wenn Service Bus, die diese Diagnoseeinstellungen fehlen, erstellt oder aktualisiert wird. | DeployIfNotExists, deaktiviert | 2.3.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Service Bus Namespaces (microsoft.servicebus/namespaces) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.2.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics Arbeitsbereich für Service Bus Namespaces (microsoft.servicebus/namespaces) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Service Bus Namespaces (microsoft.servicebus/namespaces) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Protokolle in Service Bus sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Service Bus Namespaces sollten den zugriff auf öffentliche Netzwerke deaktivieren | Azure Service Bus sollte der Zugriff auf das öffentliche Netzwerk deaktiviert sein. Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Service Bus Namespaces sollten die doppelte Verschlüsselung aktiviert haben | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Service Bus Premium-Namespaces sollten einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden | Azure Service Bus unterstützt die Möglichkeit, ruhende Daten mit Microsoft verwalteten Schlüsseln (Standardschlüssel) oder vom Kunden verwalteten Schlüsseln zu verschlüsseln. Wenn Sie Daten mithilfe von vom Kunden verwalteten Schlüsseln verschlüsseln möchten, können Sie den Zugriff auf die Schlüssel zuweisen, drehen, deaktivieren und widerrufen, die Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwenden. Beachten Sie, dass Service Bus nur verschlüsselung mit vom Kunden verwalteten Schlüsseln für Premium-Namespaces unterstützt. | Audit, deaktiviert | 1.0.0 |
| Service Bus Premium-Namespaces sollten einen vom Kunden verwalteten Schlüssel für die Verschlüsselung in Mission-Plattformen verwenden | Diese Richtlinie gilt ausschließlich für Produkte und Dienstleistungen der Mission Platform; Die Verwendung außerhalb dieser Bereiche wird nicht unterstützt. Die Anforderung von Premiumnamespaces zum Verschlüsseln mit vom Kunden verwalteten Schlüsseln behält die Verschlüsselungsmaterialkontrolle innerhalb des Mission-Mandanten bei und erfüllt strenge Datenschutzverpflichtungen. | Überwachen, Deaktiviert, Verweigern | 1.0.0 |
| Service Bus sollte den Zugriff auf externe private Endpunkte einschränken | Diese Richtlinie gilt ausschließlich für Produkte und Dienstleistungen der Mission Platform; Die Verwendung außerhalb dieser Bereiche wird nicht unterstützt. Das Einschränken privater Endpunktgenehmigungen auf Mandantenabonnements verhindert mandantenübergreifende Datenexfiltration und beschränkt Service Bus Konnektivität auf genehmigte Missionsworkloads; siehe https://learn.microsoft.com/azure/service-bus-messaging/private-endpoint-service. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.