Utilize a Política do Azure para auditar a conformidade da versão mínima do TLS para um namespace do Barramento de Serviço do Azure

Se você tiver um grande número de namespaces do Barramento de Serviço do Microsoft Azure, convém executar uma auditoria para garantir que todos os namespaces estejam configurados para a versão mínima do TLS exigida pela sua organização. Para auditar um conjunto de namespaces do Service Bus quanto à sua conformidade, use a Política do Azure. O Azure Policy é um serviço que você pode usar para criar, atribuir e gerenciar políticas que aplicam regras aos recursos do Azure. O Azure Policy ajuda-o a manter esses recursos em conformidade com os seus padrões empresariais e contratos de nível de serviço. Para obter mais informações, consulte Visão geral do Azure Policy.

Criar uma política com um efeito de auditoria

A Política do Azure dá suporte a efeitos que determinam o que acontece quando uma regra de política é avaliada em relação a um recurso. O efeito de auditoria cria um aviso quando um recurso não está em conformidade, mas não interrompe a solicitação. Para obter mais informações sobre efeitos, consulte Compreender os efeitos da Política do Azure.

Para criar uma política com um efeito de auditoria para a versão mínima do TLS com o portal do Azure, siga estas etapas:

1. No portal do Azure, navegue para o serviço Azure Policy.

2. Na seção Autoria, selecione Definições.

3. Selecione Adicionar definição de política para criar uma nova definição de política.

4. Para o campo Localização da definição, selecione o botão Mais para especificar a localização do recurso de política de auditoria.

5. Especifique um nome para a política. Opcionalmente, pode especificar uma descrição e uma categoria.

6. Em Regra de política , adicione a seguinte definição de política à seção policyRule .

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.3"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Guardar a política.

Atribuir política

Em seguida, atribua a política a um recurso. O âmbito da política corresponde a esse recurso e a quaisquer recursos por baixo deste. Para obter mais informações sobre atribuição de política, consulte Estrutura de atribuição de política do Azure.

Para atribuir a política com o portal do Azure, siga estes passos:

1. No portal do Azure, navegue para o serviço Azure Policy.
2. Na seção Autoria, selecione Atribuições.
3. Selecione Atribuir política para criar uma nova atribuição de política.
4. Para o campo Escopo , selecione o escopo da atribuição de política.
5. Para o campo Definição de política , selecione o botão Mais e, em seguida, selecione a política definida na seção anterior na lista.
6. Indique um nome para a atribuição de política. A descrição é opcional.
7. Deixe Aplicação da Política definida como Ativada. Esta definição não tem efeito na política de auditoria.
8. Selecione Rever + criar para criar a tarefa.

Ver relatório de conformidade

Depois de atribuir a política, você pode exibir o relatório de conformidade. O relatório de conformidade para uma política de auditoria fornece informações sobre quais namespaces do Service Bus não estão em conformidade com a política. Para obter mais informações, consulte Obter dados de conformidade de políticas.

Pode levar vários minutos para que o relatório de conformidade fique disponível após a atribuição de política ser criada.

Para exibir o relatório de conformidade no portal do Azure, siga estas etapas:

1. No portal do Azure, navegue para o serviço Azure Policy.
2. Selecione Conformidade.
3. Filtre os resultados para o nome da atribuição de política que você criou na etapa anterior. O relatório mostra quantos recursos não estão em conformidade com a política.
4. Você pode detalhar o relatório para obter detalhes adicionais, incluindo uma lista de namespaces do Service Bus que não estão em conformidade.

Usar a Política do Azure para impor a versão mínima do TLS

A Política do Azure dá suporte à governança da nuvem, garantindo que os recursos do Azure cumpram os requisitos e padrões. Para impor um requisito mínimo de versão TLS para os namespaces do Service Bus em sua organização, você pode criar uma política que impeça a criação de um novo namespace do Service Bus que defina o requisito mínimo de TLS para uma versão mais antiga do TLS do que a ditada pela política. Essa política também impedirá todas as alterações de configuração em um namespace existente se a configuração de versão mínima do TLS para esse namespace não for compatível com a política.

A política de imposição usa o efeito deny para impedir uma solicitação que criaria ou modificaria um namespace do Service Bus para que a versão mínima do TLS não aderisse mais aos padrões da sua organização. Para obter mais informações sobre efeitos, consulte Compreender os efeitos da Política do Azure.

Para criar uma política com um efeito de negação para uma versão mínima do TLS menor que o TLS 1.3, forneça o seguinte JSON na seção policyRule da definição de política:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Depois de criar a política com o efeito deny e atribuí-la a um escopo, um usuário não pode criar um namespace do Service Bus com uma versão TLS mínima mais antiga que 1.3. Um usuário também não pode fazer alterações de configuração em um namespace existente do Service Bus que atualmente requer uma versão mínima do TLS mais antiga que 1.3. Tentar fazer isso resulta em um erro. A versão mínima necessária do TLS para o namespace do Service Bus deve ser definida como 1.3 para prosseguir com a criação ou configuração do namespace.

Um erro será mostrado se você tentar criar um namespace do Service Bus com a versão mínima do TLS definida como TLS 1.2 quando uma política com um efeito de negação exigir que a versão mínima do TLS seja definida como TLS 1.3.

Próximos passos

Consulte a documentação a seguir para obter mais informações.

• Impor uma versão mínima necessária do Transport Layer Security (TLS) para solicitações a um namespace do Service Bus
• Configurar a versão mínima do TLS para um namespace do Service Bus