Definições internas do Azure Policy para o Messaging do Barramento de Serviço do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Messaging do Barramento de Serviço do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Messaging do Barramento de Serviço do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: o Barramento de Serviço deve ser com redundância de zona | O Barramento de Serviço pode ser configurado para ser Com Redundância de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Barramento de Serviço, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para instâncias do Barramento de Serviço. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Todas as regras de autorização, exceto a RootManageSharedAccessKey, devem ser removidas do namespace do Barramento de Serviço | Os clientes do Service Bus não devem usar uma diretiva de acesso no nível do namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar-se ao modelo de segurança com menos privilégios, você deve criar políticas de acesso no nível da entidade para que as filas e os tópicos forneçam acesso somente à entidade específica | Audit, Deny, desabilitado | 1.0.1 |
| Namespaces do Barramento de Serviço do Azure devem ter métodos de autenticação local desabilitados | Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que os namespaces do Barramento de Serviço do Azure exijam identidades do Microsoft Entra ID exclusivamente para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Audit, Deny, desabilitado | 1.0.1 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar namespaces do Barramento de Serviço do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que os namespaces do Barramento de ServiceBus do Azure exijam de modo exclusivo as identidades do Microsoft Entra ID para executar uma autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Modificar, Desabilitado | 1.0.1 |
| Configurar os namespaces do Barramento de Serviço com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para os namespaces do Barramento de Serviço, poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Barramento de Serviço no Hub de Eventos | Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um Hub de Eventos regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as configurações de diagnóstico para Barramento de Serviço no workspace do Log Analytics | Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um workspace do Log Analytics regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Namespaces do Barramento de Serviço (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os Namespaces do Barramento de Serviço devem desativar o acesso à rede pública | O Barramento de Serviço do Azure deve ter o acesso à rede pública desabilitado. A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, desabilitado | 1.1.0 |
| Os namespaces do Barramento de Serviço devem ter a criptografia dupla habilitada | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Barramento de Serviço usará para criptografar dados em seu namespace. Observe que o Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Audit, desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.