Verwenden von Azure-Richtlinien zum Überwachen der Einhaltung der mindesten TLS-Version für einen Azure Service Bus-Namespace

Wenn Sie über eine große Anzahl von Microsoft Azure Service Bus-Namespaces verfügen, sollten Sie eine Überwachung durchführen, um sicherzustellen, dass alle Namespaces für die Mindestversion von TLS konfiguriert sind, die Ihre Organisation benötigt. Verwenden Sie Azure Policy, um eine Reihe von Service Bus-Namespaces auf ihre Compliance zu prüfen. Azure Policy ist ein Dienst, mit dem Sie Richtlinien zum Anwenden von Regeln auf Azure-Ressourcen erstellen, zuweisen und verwalten können. Azure Policy hilft Ihnen, die Konformität dieser Ressourcen mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel sicherzustellen. Weitere Informationen finden Sie in der Übersicht über Azure Policy.

Erstellen einer Richtlinie mit einem Überwachungseffekt

Azure Policy unterstützt Auswirkungen, die bestimmen, was passiert, wenn eine Richtlinie anhand einer Ressource ausgewertet wird. Die Audit-Auswirkung erzeugt eine Warnung, wenn eine Ressource nicht konform ist, beendet aber die Anforderung nicht. Weitere Informationen zu Auswirkungen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

Führen Sie die folgenden Schritte aus, um eine Richtlinie mit einem Überwachungseffekt für die minimale TLS-Version mit dem Azure-Portal zu erstellen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.

2. Wählen Sie unter dem Abschnitt Autorisierung die Option Definitionen aus.

3. Wählen Sie Richtliniendefinition hinzufügen aus, um eine neue Richtliniendefinition zu erstellen.

4. Wählen Sie für das Feld Definitionsspeicherort die Schaltfläche Mehr aus, um anzugeben, wo sich die Ressource für die Überwachungsrichtlinie befindet.

5. Geben Sie einen Namen für die Richtlinie an. Sie können optional eine Beschreibung und eine Kategorie angeben.

6. Fügen Sie unter "Richtlinienregel " die folgende Richtliniendefinition zum Abschnitt "policyRule " hinzu.

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.3"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Speichern Sie die Richtlinie.

Zuweisen der Richtlinie

Anschließend weisen Sie die Richtlinie einer Ressource zu. Der Umfang der Richtlinie bezieht sich auf diese Ressource und alle darunterliegenden Ressourcen. Weitere Informationen zur Zuweisung von Richtlinien finden Sie unter Azure Policy-Zuweisungsstruktur.

Führen Sie die folgenden Schritte aus, um die Richtlinie dem Azure-Portal zuzuweisen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.
2. Wählen Sie unter dem Abschnitt Autorisierung die Option Zuweisungen aus.
3. Wählen Sie Richtlinie zuweisen aus, um eine neue Richtlinienzuweisung zu erstellen.
4. Wählen Sie für das Feld Umfang den Umfang der Richtlinienzuweisung aus.
5. Wählen Sie für das Feld Richtliniendefinition die Schaltfläche Mehr und dann die im vorherigen Abschnitt definierte Richtlinie aus der Liste aus.
6. Geben Sie einen Namen für die Richtlinienzuweisung an. Die Angabe einer Beschreibung ist optional.
7. Behalten Sie für Richtlinienerzwingung die Einstellung Aktiviert bei. Diese Einstellung hat keine Auswirkung auf die Überwachungsrichtlinie.
8. Klicken Sie zum Erstellen der Zuweisung auf Überprüfen + erstellen.

Anzeigen des Konformitätsberichts

Nachdem Sie die Richtlinie zugewiesen haben, können Sie den Compliance-Bericht anzeigen. Der Compliancebericht für eine Überwachungsrichtlinie enthält Informationen dazu, welche ServiceBus-Namespaces nicht der Richtlinie entsprechen. Weitere Informationen finden Sie unter Abrufen von Daten zur Richtlinienkonformität.

Es kann einige Minuten dauern, bis der Konformitätsbericht nach Erstellung der Richtlinienzuweisung verfügbar ist.

Führen Sie die folgenden Schritte aus, um den Konformitätsbericht im Azure-Portal anzuzeigen:

1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.
2. Wählen Sie Compliance aus.
3. Filtern Sie die Ergebnisse nach dem Namen der Richtlinienzuweisung, die Sie im vorherigen Schritt erstellt haben. Der Bericht zeigt, wie viele Ressourcen nicht mit der Richtlinie konform sind.
4. Sie können einen Drilldown in den Bericht ausführen, um weitere Details zu erhalten, einschließlich einer Liste der Service Bus-Namespaces, die nicht in Übereinstimmung sind.

Erzwingen der TLS-Mindestversion mit Azure Policy

Azure Policy unterstützt die Cloudgovernance, indem es sicherstellt, dass Azure-Ressourcen den Anforderungen und Standards entsprechen. Um eine Mindestanforderung für tls-Versionsanforderungen für die ServiceBus-Namespaces in Ihrer Organisation zu erzwingen, können Sie eine Richtlinie erstellen, die die Erstellung eines neuen ServiceBus-Namespace verhindert, der die minimale TLS-Anforderung auf eine ältere Version von TLS festlegt als die, die von der Richtlinie vorgegeben wird. Diese Richtlinie verhindert außerdem alle Konfigurationsänderungen an einem vorhandenen Namespace, wenn die Minimale TLS-Versionseinstellung für diesen Namespace nicht mit der Richtlinie kompatibel ist.

Die Erzwingungsrichtlinie verwendet den Verweigerungseffekt, um eine Anforderung zu verhindern, die einen Service Bus-Namespace erstellen oder ändern würde, sodass die mindeste TLS-Version nicht mehr den Standards Ihrer Organisation entspricht. Weitere Informationen zu Auswirkungen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

Um eine Richtlinie mit einem Verweigerungseffekt für eine minimale TLS-Version zu erstellen, die kleiner als TLS 1.3 ist, stellen Sie den folgenden JSON-Code im Abschnitt "policyRule " der Richtliniendefinition bereit:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Nachdem Sie die Richtlinie mit dem Verweigerungseffekt erstellt und einem Bereich zugewiesen haben, kann ein Benutzer keinen Service Bus-Namespace mit einer mindesten TLS-Version erstellen, die älter als 1.3 ist. Ein Benutzer kann auch keine Konfigurationsänderungen an einem vorhandenen ServiceBus-Namespace vornehmen, der derzeit eine mindeste TLS-Version erfordert, die älter als 1.3 ist. Ein entsprechender Versuch führt zu einem Fehler. Die erforderliche TLS-Mindestversion für den ServiceBus-Namespace muss auf 1.3 festgelegt werden, um mit der Erstellung oder Konfiguration des Namespaces fortzufahren.

Es wird ein Fehler angezeigt, wenn Sie versuchen, einen Service Bus-Namespace mit der mindesten TLS-Version auf TLS 1.2 festzulegen, wenn eine Richtlinie mit einem Verweigerungseffekt erfordert, dass die mindeste TLS-Version auf TLS 1.3 festgelegt ist.

Nächste Schritte

Weitere Informationen finden Sie in der folgenden Dokumentation.

• Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für Anforderungen an einen Service Bus-Namespace
• Konfigurieren der TLS-Mindestversion für einen Service Bus-Namespace