Usar a Azure Policy para verificar a conformidade com a versão mínima do TLS em um namespace do Azure Service Bus

Se você tiver um grande número de namespaces do Barramento de Serviço do Microsoft Azure, convém executar uma auditoria para garantir que todos os namespaces estejam configurados para a versão mínima do TLS necessária para sua organização. Para auditar a conformidade de um conjunto de namespaces do Barramento de Serviço, use o Azure Policy. O Azure Policy é um serviço que você pode usar para criar, atribuir e gerenciar políticas que aplicam regras aos recursos do Azure. O Azure Policy ajuda a manter esses recursos compatíveis com seus padrões empresariais e contratos de nível de serviço. Para saber mais, confira Visão geral do Azure Policy.

Criar uma política com um efeito de auditoria

O Azure Policy oferece suporte a efeitos que determinam o que acontece quando uma regra de política é avaliada em um recurso. O efeito de auditoria cria um aviso quando um recurso não está em conformidade, mas não interrompe a solicitação. Para saber mais sobre efeitos, consulte Entender os efeitos da Azure Policy.

Para criar uma política com um efeito de auditoria para a versão mínima do TLS com o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.

  2. Na seção Autoria, escolha Definições.

  3. Escolha Adicionar definição de política para criar uma nova definição de política.

  4. Para o campo Local de definição, escolha o botão Mais para especificar onde o recurso de política de auditoria está localizado.

  5. Especifique um nome para a política. Opcionalmente, você pode especificar uma descrição e uma categoria.

  6. Na regra Política , adicione a seguinte definição de política à seção policyRule .

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. Salve a política.

Atribuir a política

Em seguida, atribua a política a um recurso. O escopo da política corresponde a esse recurso e a todos os recursos abaixo dele. Para obter mais informações sobre atribuição de política, confira Estrutura de atribuição do Azure Policy.

Para atribuir a política com o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.
  2. Na seção Autor, escolha Atribuições.
  3. Escolha Atribuir política para criar uma nova atribuição de política.
  4. Para o campo Escopo, escolha o escopo de atribuição de política.
  5. Para o campo Definição de política, escolha o botão Mais e, em seguida, escolha a política que você definiu na seção anterior na lista.
  6. Forneça um nome para a atribuição de política. A descrição é opcional.
  7. Mantenha Imposição de política definido como Habilitado. Essa configuração não tem efeito sobre a política de auditoria.
  8. Escolha Examinar + criar para criar a atribuição.

Exibir relatório de conformidade

Depois de atribuir a política, você pode exibir o relatório de conformidade. O relatório de conformidade de uma política de auditoria mostra informações sobre quais namespaces do Barramento de Serviço não estão em conformidade com a política. Para obter mais informações, confira Obter dados de conformidade da política.

Pode levar vários minutos para que o relatório de conformidade fique disponível depois que a atribuição de política for criada.

Para exibir o relatório de conformidade no portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até o serviço Azure Policy.
  2. Selecione Conformidade.
  3. Filtre os resultados para o nome da atribuição de política que você criou na etapa anterior. O relatório mostra quantos recursos não estão em conformidade com a política.
  4. Você pode fazer uma busca detalhada no relatório para obter mais detalhes, incluindo uma lista de namespaces do Barramento de Serviço que não estão em conformidade.

Usar o Azure Policy para impor a versão mínima do TLS

O Azure Policy dá suporte à governança de nuvem, garantindo que os recursos do Azure sigam os requisitos e padrões. Para impor um requisito mínimo de versão do TLS para os namespaces do Barramento de Serviço em sua organização, você pode criar uma política que impede a criação de um novo namespace do Barramento de Serviço que define o requisito mínimo de TLS para uma versão mais antiga do TLS do que a que é ditada pela política. Essa política também impedirá todas as alterações de configuração em um namespace existente se a configuração mínima de versão do TLS para esse namespace não estiver em conformidade com a política.

A política de imposição usa o efeito de negação para impedir uma solicitação que criaria ou modificaria um namespace do Service Bus para que a versão mínima do TLS não atenda mais aos padrões da sua organização. Para saber mais sobre efeitos, consulte Entender os efeitos da Azure Policy.

Para criar uma política com um efeito de negação para uma versão mínima do TLS menor que o TLS 1.3, forneça o seguinte JSON na seção policyRule da definição de política:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Depois de criar a política com o efeito de negação e atribuí-la a um escopo, um usuário não poderá criar um namespace do Barramento de Serviço com uma versão mínima do TLS anterior à 1.3. Um usuário também não pode fazer alterações de configuração em um namespace existente do Barramento de Serviço que atualmente exige uma versão mínima do TLS que seja anterior à 1.3. Caso isso seja feito, será gerado um erro. A versão mínima do TLS necessária para o namespace do Barramento de Serviço deve ser definida como 1.3 para continuar com a criação ou configuração do namespace.

Um erro será mostrado se você tentar criar um namespace do Barramento de Serviço com a versão mínima do TLS como TLS 1.2, quando uma política com um efeito de negação exigir que a versão mínima do TLS seja definida como TLS 1.3.

Próximas etapas

Para saber mais, confira a documentação a seguir.

  • Last updated on