Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página é um índice de definições de política internas Azure Policy para Azure Service Bus Messaging. Para obter Azure Policy internos adicionais para outros serviços, consulte Azure Policy definições internas.
O nome de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Version para exibir a origem no repositório Azure Policy GitHub.
Azure Service Bus Messaging
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: Service Bus deve ser Com redundância de zona | Service Bus pode ser configurado para ser Com redundância de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Service Bus, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para instâncias de Service Bus. | Audit, Deny, desabilitado | 1.0.0-preview |
| Todas as regras de autorização, exceto RootManageSharedAccessKey, devem ser removidas do namespace Service Bus | Service Bus clientes não devem usar uma política de acesso em nível de namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar-se ao modelo de segurança com menos privilégios, você deve criar políticas de acesso no nível da entidade para que as filas e os tópicos forneçam acesso somente à entidade específica | Audit, Deny, desabilitado | 1.0.1 |
| Azure Service Bus namespaces devem ter métodos de autenticação locais desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que os namespaces Azure Service Bus exijam exclusivamente Microsoft Entra ID identidades para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Audit, Deny, desabilitado | 1.0.1 |
| Azure Service Bus namespaces devem usar o link privado | Azure Private Link permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Service Bus namespaces, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configuração Azure Service Bus namespaces para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que os namespaces do Azure ServiceBus exijam exclusivamente Microsoft Entra ID identidades para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Modificar, Desabilitado | 1.0.1 |
| namespaces Configure Service Bus com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Service Bus namespaces, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Barramento de Serviço no Hub de Eventos | Implanta as configurações de diagnóstico para Service Bus transmitir para um Hub de Eventos regional quando qualquer Service Bus que está ausente, essas configurações de diagnóstico são criadas ou atualizadas. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as configurações de diagnóstico para Barramento de Serviço no workspace do Log Analytics | Implanta as configurações de diagnóstico para Service Bus transmitir para um workspace de Log Analytics regional quando qualquer Service Bus que está ausente, essas configurações de diagnóstico são criadas ou atualizadas. | DeployIfNotExists, desabilitado | 2.3.0 |
| Enable registro em log por grupo de categorias para namespaces Service Bus (microsoft.servicebus/namespaces) para o Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para namespaces de Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Enable registro em log por grupo de categorias para namespaces Service Bus (microsoft.servicebus/namespaces) para Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace Log Analytics para namespaces Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Enable registro em log por grupo de categorias para namespaces Service Bus (microsoft.servicebus/namespaces) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma conta de armazenamento para namespaces de Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| os logs Resource no Service Bus devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Service Bus Namespaces devem desabilitar o acesso à rede pública | Azure Service Bus deve ter o acesso à rede pública desabilitado. A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, desabilitado | 1.1.0 |
| Service Bus namespaces devem ter criptografia dupla habilitada | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 1.0.0 |
| os namespaces Service Bus Premium devem usar uma chave gerenciada pelo cliente para criptografia | Azure Service Bus dá suporte à opção de criptografar dados em repouso com chaves gerenciadas por Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que Service Bus usarão para criptografar dados em seu namespace. Observe que Service Bus dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Audit, desabilitado | 1.0.0 |
| os namespaces Service Bus Premium devem usar uma chave gerenciada pelo cliente para criptografia em plataformas de missão | Essa política se aplica exclusivamente aos produtos e serviços da Mission Platform; não há suporte para o uso fora desses escopos. Exigir namespaces premium para criptografar com chaves gerenciadas pelo cliente mantém o controle de criptografia-material dentro do locatário da missão e atende a obrigações rígidas de proteção de dados. | Auditoria, desabilitado, negação | 1.0.0 |
| Service Bus deve restringir o acesso a pontos de extremidade privados externos | Essa política se aplica exclusivamente aos produtos e serviços da Mission Platform; não há suporte para o uso fora desses escopos. Limitar as aprovações de ponto de extremidade privado a assinaturas no locatário impede a exfiltração de dados entre locatários e limita Service Bus conectividade com cargas de trabalho de missão aprovadas; consulte https://learn.microsoft.com/azure/service-bus-messaging/private-endpoint-service. | Audit, Deny, desabilitado | 1.0.0 |
Próximas etapas
- Consulte os internos no repositório Azure Policy GitHub.
- Examine a estrutura de definição Azure Policy.
- Revisar Compreendendo os efeitos da política.