많은 수의 Microsoft Azure Service Bus 네임스페이스가 있는 경우 감사를 수행하여 조직에 필요한 최소 버전의 TLS에 대해 모든 네임스페이스를 구성해야 할 수 있습니다. 준수에 대한 Service Bus 네임스페이스 집합을 감사하려면 Azure Policy를 사용합니다. Azure Policy는 Azure 리소스에 규칙을 적용하는 정책을 만들고, 할당하고, 관리하는 데 사용할 수 있는 서비스입니다. Azure Policy는 해당 리소스 가 회사 표준 및 서비스 수준 계약을 준수하도록 유지하는 데 도움이 됩니다. 자세한 내용은 Azure Policy 개요를 참조하세요.
감사 효과가 있는 정책 만들기
Azure Policy는 리소스에 대해 정책 규칙을 평가할 때 발생하는 작업을 결정하는 효과를 지원합니다. 감사 효과는 리소스가 규정을 준수하지 않지만 요청을 중지하지 않을 때 경고를 만듭니다. 효과에 대한 자세한 내용은 Azure Policy 효과 이해를 참조하세요.
Azure Portal을 사용하여 최소 TLS 버전에 대한 감사 효과가 있는 정책을 만들려면 다음 단계를 수행합니다.
Azure Portal에서 Azure Policy 서비스로 이동합니다.
작성 섹션에서 정의를 선택합니다.
정책 정의 추가를 선택하여 새 정책 정의를 만듭니다.
정의 위치 필드의 경우 자세히 단추를 선택하여 감사 정책 리소스가 있는 위치를 지정합니다.
정책에 대한 이름을 지정합니다. 필요에 따라 설명 및 범주를 지정할 수 있습니다.
정책 규칙에서 policyRule 섹션에 다음 정책 정의를 추가합니다.
{ "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.ServiceBus/namespaces" }, { "not": { "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion", "equals": "1.3" } } ] }, "then": { "effect": "audit" } } }정책을 저장합니다.
정책을 할당하다
다음으로 리소스에 정책을 할당합니다. 정책의 범위는 해당 리소스 및 그 아래에 있는 모든 리소스에 해당합니다. 정책 할당에 대한 자세한 내용은 Azure Policy 할당 구조를 참조하세요.
Azure Portal에서 정책을 할당하려면 다음 단계를 수행합니다.
- Azure Portal에서 Azure Policy 서비스로 이동합니다.
- 작성 섹션에서 할당을 선택합니다.
- 정책 할당을 선택하여 새 정책 할당을 만듭니다.
- 범위 필드에서 정책 할당의 범위를 선택합니다.
- 정책 정의 필드에서 자세히 단추를 선택한 다음, 이전 섹션에서 정의한 정책을 목록에서 선택합니다.
- 정책 할당의 이름을 제공합니다. 설명은 생략할 수 있습니다.
- 정책 적용을 사용 가능으로 유지합니다. 이 설정은 감사 정책에 영향을 주지 않습니다.
- 검토 + 만들기를 선택하여 할당을 생성합니다.
규정 준수 보고서 보기
정책을 할당한 후에는 준수 보고서를 볼 수 있습니다. 감사 정책에 대한 준수 보고서는 Service Bus 네임스페이스가 정책을 준수하지 않는 정보를 제공합니다. 자세한 내용은 정책 규정 준수 데이터 가져오기를 참조하세요.
정책 할당을 만든 후 규정 준수 보고서를 사용할 수 있게 되는 데 몇 분 정도 걸릴 수 있습니다.
Azure Portal에서 규정 준수 보고서를 보려면 다음 단계를 수행합니다.
- Azure Portal에서 Azure Policy 서비스로 이동합니다.
- 준수를 선택합니다.
- 이전 단계에서 만든 정책 할당의 이름에 대한 결과를 필터링합니다. 이 보고서에는 정책을 준수하지 않는 리소스의 수가 표시됩니다.
- 보고서에서 규정을 준수하지 않는 Service Bus 네임스페이스 목록을 포함한 추가 세부 정보를 확인할 수 있습니다.
Azure Policy를 사용하여 최소 TLS 버전을 적용합니다.
Azure Policy는 Azure 리소스가 요구 사항 및 표준을 준수하도록 하여 클라우드 거버넌스를 지원합니다. 조직의 Service Bus 네임스페이스에 대해 최소 TLS 버전 요구 사항을 적용하려면 최소 TLS 요구 사항을 정책에 의해 결정되는 것보다 이전 버전의 TLS로 설정하는 새 Service Bus 네임스페이스를 만들지 못하게 하는 정책을 만들 수 있습니다. 또한 이 정책은 해당 네임스페이스의 최소 TLS 버전 설정이 정책을 준수하지 않는 경우 기존 네임스페이스에 대한 모든 구성 변경을 방지합니다.
적용 정책은 거부 효과를 사용하여 최소 TLS 버전이 더 이상 조직의 표준을 준수하지 않도록 Service Bus 네임스페이스를 만들거나 수정하는 요청을 방지합니다. 효과에 대한 자세한 내용은 Azure Policy 효과 이해를 참조하세요.
TLS 1.3보다 작은 최소 TLS 버전에 대한 거부 효과가 있는 정책을 만들려면 정책 정의의 policyRule 섹션에 다음 JSON을 제공합니다.
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.ServiceBus/namespaces"
},
{
"not": {
"field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
"equals": "1.3"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
거부 효과가 있는 정책을 만들고 범위에 할당한 후에는 사용자가 최소 TLS 버전이 1.3보다 오래된 Service Bus 네임스페이스를 만들 수 없습니다. 또한 사용자는 현재 1.3보다 오래된 최소 TLS 버전이 필요한 기존 Service Bus 네임스페이스를 구성으로 변경할 수 없습니다. 이렇게 시도하면 오류가 발생합니다. 네임스페이스 만들기 또는 구성을 진행하려면 Service Bus 네임스페이스에 필요한 최소 TLS 버전을 1.3으로 설정해야 합니다.
거부 효과가 있는 정책에서 최소 TLS 버전을 TLS 1.3으로 설정해야 하는 경우 최소 TLS 버전이 TLS 1.2로 설정된 Service Bus 네임스페이스를 만들려고 하면 오류가 표시됩니다.
다음 단계
자세한 내용은 다음 설명서를 참조하세요.