共用方式為

使用 Azure 原則稽核 Azure 服務總線命名空間的最低 TLS 版本合規性

如果您有大量Microsoft Azure 服務總線命名空間,您可能會想要執行稽核,以確定所有命名空間都已針對組織所需的最低 TLS 版本進行設定。 若要稽核一組服務總線命名空間的合規性,請使用 Azure 原則。 Azure 原則是一項服務,可讓您用來建立、指派和管理將規則套用至 Azure 資源的原則。 Azure 原則幫助您確保這些資源符合您的公司標準和服務等級協定規範。 如需詳細資訊,請參閱 Azure 原則概觀

建立具有稽核效果的原則

Azure 原則支援的效果可判斷對資源評估原則規則時所發生的情況。 稽核效果會在資源不符合規範時建立警告,但不會停止要求。 如需有關效果的詳細資訊,請參閱了解 Azure 原則效果

若要使用 Azure 入口網站建立具有最低 TLS 版本稽核效果的原則,請遵循下列步驟:

  1. 在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。

  2. 在 [編寫] 區段底下,選取 [定義]

  3. 選取 [新增原則定義] 以建立新的原則定義。

  4. 在 [ 定義位置] 欄位中,選取 [更多] 按鈕以指定稽核原則資源所在的位置。

  5. 請指定政策的名稱。 您可以選擇性指定說明和類別。

  6. 在 [ 原則規則] 下,將下列原則定義新增至 policyRule 區段。

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. 儲存原則。

指派原則

接下來,將原則指派給資源。 政策的範圍會對應至該資源及其之下的所有資源。 如需原則指派的詳細資訊,請參閱 Azure 原則指派結構

若要透過 Azure 入口網站指派政策,請依照以下步驟進行:

  1. 在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。
  2. 在 [編寫] 區段底下,選取 [指派]
  3. 選取 [指派原則] 以建立新的原則指派。
  4. 在 [範圍] 欄位中,選取原則指派的範圍。
  5. 在 [原則定義] 欄位中,選取 [更多] 按鈕,然後從清單中選取您在上一節中定義的原則。
  6. 提供原則指派的名稱。 描述是選擇性的。
  7. 將 [原則強制執行] 的設定保留為 [已啟用]。 此設定不會影響稽核原則。
  8. 選取 [檢閱 + 建立] 以建立指派。

檢視合規性報告

指派原則之後,您可以檢視合規性報告。 審核策略的合規性報告會提供哪些服務總線命名空間不符合原則的資訊。 如需詳細資訊,請參閱取得原則合規性資料

在建立原則指派之後,可能需要幾分鐘的時間,合規性報告才會變成可用狀態。

若要在 Azure 入口網站中檢視合規性報告,請遵循下列步驟:

  1. 在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。
  2. 選擇 合規性
  3. 篩選您在上一個步驟中建立的原則指派名稱結果。 報告會顯示有多少資源不符合原則。
  4. 您可以向下切入報表以取得其他詳細數據,包括不符合規範的服務總線命名空間清單。

使用 Azure 原則強制執行最低 TLS 版本

Azure 原則可藉由確保 Azure 資源遵循需求和標準,以支援雲端治理。 若要對組織中的服務總線命名空間強制執行最低 TLS 版本需求,您可以建立原則,以防止建立新的服務總線命名空間,將最低 TLS 需求設定為舊版 TLS,而不是原則所決定。 如果該命名空間的最低 TLS 版本設定不符合原則規範,此原則也會防止現有命名空間的所有組態變更。

強制執行原則會使用拒絕效果來防止建立或修改服務總線命名空間的要求,讓最低 TLS 版本不再遵守貴組織的標準。 如需有關效果的詳細資訊,請參閱了解 Azure 原則效果

若要為小於 TLS 1.3 的最低 TLS 版本建立拒絕效果的原則,請在原則定義的 policyRule 區段中提供下列 JSON:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

在您建立具有拒絕效果的原則並將其指派給範圍之後,使用者就無法建立最低 TLS 版本超過 1.3 的服務總線命名空間。 使用者也無法對目前需要 1.3 以上最低 TLS 版本的現有服務總線命名空間進行任何設定變更。 嘗試這樣做會導致錯誤。 服務總線命名空間所需的最低 TLS 版本必須設定為 1.3,才能繼續建立或設定命名空間。

如果您嘗試建立服務總線命名空間,且最低 TLS 版本設定為 TLS 1.2,當具有拒絕效果的原則要求最低 TLS 版本設定為 TLS 1.3 時,就會顯示錯誤。

後續步驟

請參閱下列文件以取得詳細資訊。

  • Last updated on