Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Azure Policy definizioni di criteri predefinite per Azure Service Bus Messaging. Per altre Azure Policy predefinite per altri servizi, vedere Azure Policy definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Azure Policy GitHub.
Azure Service Bus Messaging
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Service Bus deve essere con ridondanza della zona | Service Bus può essere configurato in modo che sia ridondante o meno della zona. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un Service Bus, significa che non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per le istanze di Service Bus. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| Tutte le regole di autorizzazione tranne RootManageSharedAccessKey devono essere rimosse dallo spazio dei nomi Service Bus | Service Bus i client non devono usare criteri di accesso a livello di spazio dei nomi che consentono l'accesso a tutte le code e agli argomenti in uno spazio dei nomi. Per essere conformi al modello di sicurezza basato su privilegi minimi, è consigliabile creare criteri di accesso a livello di entità per code e argomenti in modo da fornire l'accesso solo all'entità specifica | Verifica, Nega, Disabilitato | 1.0.1 |
| gli spazi dei nomi Azure Service Bus devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi Azure Service Bus richiedano esclusivamente identità Microsoft Entra ID per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Verifica, Nega, Disabilitato | 1.0.1 |
| gli spazi dei nomi Azure Service Bus devono usare il collegamento privato | Azure Private Link consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi Service Bus, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare gli spazi dei nomi Azure Service Bus per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi Azure ServiceBus richiedano esclusivamente identità Microsoft Entra ID per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Modifica, disattivato | 1.0.1 |
| Configurare gli spazi dei nomi Service Bus con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati agli spazi dei nomi Service Bus, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'hub eventi | Distribuisce le impostazioni di diagnostica per Service Bus per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata una qualsiasi Service Bus che non contiene queste impostazioni di diagnostica. | DistribuisciSeNonEsiste, Disattivato | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Service Bus per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata una qualsiasi Service Bus che manca di queste impostazioni di diagnostica. | DistribuisciSeNonEsiste, Disattivato | 2.3.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Event Hub | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Enable logging by category group for Service Bus Namespaces (microsoft.servicebus/namespaces) to Storage | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per spazi dei nomi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| È necessario abilitare i log di < Service Bus>Resource | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| gli spazi dei nomi Service Bus devono disabilitare l'accesso alla rete pubblica | Azure Service Bus deve essere disabilitato l'accesso alla rete pubblica. La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Verifica, Nega, Disabilitato | 1.1.0 |
| Gli spazi dei nomi Service Bus devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Verifica, Nega, Disabilitato | 1.0.0 |
| gli spazi dei nomi Service Bus Premium devono usare una chiave gestita dal cliente per la crittografia | Azure Service Bus supporta la crittografia dei dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che Service Bus useranno per crittografare i dati nello spazio dei nomi. Si noti che Service Bus supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Controllo, Disabilitato | 1.0.0 |
| Service Bus gli spazi dei nomi Premium devono usare una chiave gestita dal cliente per la crittografia nelle piattaforme mission | Questo criterio si applica esclusivamente ai prodotti e ai servizi Mission Platform; l'utilizzo al di fuori di questi ambiti non è supportato. La richiesta di spazi dei nomi Premium per la crittografia con chiavi gestite dal cliente mantiene il controllo del materiale di crittografia all'interno del tenant della missione e soddisfa rigorosi obblighi di protezione dei dati. | Verifica, Disabilitato, Nega | 1.0.0 |
| Service Bus deve limitare l'accesso a endpoint privati esterni | Questo criterio si applica esclusivamente ai prodotti e ai servizi Mission Platform; l'utilizzo al di fuori di questi ambiti non è supportato. La limitazione delle approvazioni degli endpoint privati alle sottoscrizioni in-tenant impedisce l'esfiltrazione e i limiti tra tenant Service Bus connettività ai carichi di lavoro di missione approvati. Vedere https://learn.microsoft.com/azure/service-bus-messaging/private-endpoint-service. | Verifica, Nega, Disabilitato | 1.0.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Azure Policy GitHub.
- Esaminare la struttura di definizione Azure Policy.
- Leggere Informazioni sugli effetti di Criteri.