Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas incorporadas Azure Policy para Azure Service Bus Messaging. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Azure Service Bus Messaging
| Nome (portal Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Service Bus deve ser Redundante de Zona | O Service Bus pode ser configurado para ser redundante de zona ou não. Quando a propriedade 'zoneRedundant' está definida como 'false' para um Service Bus, significa que não está configurada para redundância de zonas. Esta política identifica e aplica a configuração de Redundância de Zona para instâncias de Service Bus. | Auditoria, Negar, Desativado | 1.0.0-preview |
| Todas as regras de autorização, exceto RootManageSharedAccessKey, devem ser removidas do espaço de nomes Service Bus | Os clientes Service Bus não devem usar uma política de acesso ao nível do namespace que forneça acesso a todas as filas e tópicos num namespace. Para alinhar com o modelo de segurança de privilégios mínimos, você deve criar políticas de acesso no nível da entidade para filas e tópicos para fornecer acesso apenas à entidade específica | Auditoria, Negar, Desativado | 1.0.1 |
| Os namespaces Azure Service Bus devem ter os métodos de autenticação locais desativados | Desativar os métodos de autenticação locais melhora a segurança ao garantir que os namespaces do Azure Service Bus requerem exclusivamente identidades do Microsoft Entra ID para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Service Bus espaços de nomes devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear endpoints privados para namespaces do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Configure Azure Service Bus namespaces para desativar a autenticação local | Desative os métodos de autenticação locais para que os seus namespaces do Azure ServiceBus exijam exclusivamente identidades do Microsoft Entra ID para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Modificar, Desativado | 1.0.1 |
| Configure Service Bus namespaces com endpoints privados | Os endpoints privados ligam a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. Ao mapear endpoints privados para os namespaces do Service Bus, pode reduzir os riscos de fuga de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Service Bus no Hub de Eventos | Implementa as definições de diagnóstico do Service Bus para transmitir para um Event Hub regional quando qualquer Service Bus que não tenha estas definições de diagnóstico for criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Service Bus no espaço de trabalho do Log Analytics | Implementa as definições de diagnóstico do Service Bus para serem transmitidas para um espaço regional de Log Analytics quando qualquer Service Bus que não tenha estas definições de diagnóstico for criado ou atualizado. | DeployIfNotExists, desativado | 2.3.0 |
| Ative o registo por grupo de categorias para Service Bus Namespaces (microsoft.servicebus/namespaces) no Event Hub | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um Event Hub para Service Bus Namespaces (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ative o registo por grupo de categorias para Service Bus Namespaces (microsoft.servicebus/namespaces) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Service Bus Namespaces (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Ative o registo por grupo de categorias para Service Bus Namespaces (microsoft.servicebus/namespaces) para Storage | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para uma Conta de Armazenamento para os Namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Os registos de recursos no Service Bus devem estar ativados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Service Bus Os espaços de nomes devem desativar o acesso à rede pública | O Azure Service Bus deve ter o acesso à rede pública desativado. A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Auditoria, Negar, Desativado | 1.1.0 |
| Os espaços de nomes Service Bus devem ter a dupla encriptação ativada | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 1.0.0 |
| Service Bus os espaços de nomes premium devem usar uma chave gerida pelo cliente para encriptação | O Azure Service Bus suporta a opção de encriptar dados em repouso com chaves geridas pela Microsoft (por defeito) ou chaves geridas pelo cliente. Escolher encriptar dados usando chaves geridas pelo cliente permite-lhe atribuir, rodar, desativar e revogar o acesso às chaves que o Service Bus usará para encriptar dados no seu namespace. Note que o Service Bus só suporta encriptação com chaves geridas pelo cliente para namespaces premium. | Auditoria, Desativado | 1.0.0 |
| Service Bus os espaços de nomes Premium devem usar uma chave gerida pelo cliente para encriptação em plataformas de missão | Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Exigir que os namespaces premium encriptem com chaves geridas pelo cliente mantém o controlo do material de encriptação dentro do tenant da missão e satisfaz obrigações rigorosas de proteção de dados. | Auditar, Desativar, Recusar | 1.0.0 |
| Service Bus deve restringir o acesso a endpoints privados externos | Esta política aplica-se exclusivamente aos produtos e serviços da Mission Platform; o uso fora destes âmbitos não é suportado. Limitar as aprovações de endpoints privados a subscrições in-tenant impede a exfiltração de dados entre inquilinos e limita Service Bus conectividade às cargas de trabalho aprovadas das missões; ver https://learn.microsoft.com/azure/service-bus-messaging/private-endpoint-service. | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.