使用英语阅读

通过

使用 Azure Policy 审核 Azure 服务总线命名空间的最低 TLS 版本的符合性

  • 项目
  • 2025/04/22

如果有大量 Azure 服务总线命名空间,可能需要执行审核,以确保为组织所需的最低 TLS 版本配置所有命名空间。 若要审核一组服务总线命名空间的符合性,请使用 Azure Policy。 Azure Policy 是一项服务,可用于创建、分配和管理将规则应用于 Azure 资源的策略。 Azure Policy 可帮助你确保这些资源始终符合公司标准和服务级别协议。 有关详细信息,请参阅 Azure Policy 概述

创建具有审核效果的策略

Azure Policy 支持的效果决定了针对资源评估某个策略规则时会发生什么情况。 当资源不符合要求但不会停止请求时,审核效果将创建警告。 有关效果的详细信息,请参阅了解 Azure Policy 效果

若要使用 Azure 门户为最低 TLS 版本创建具有审核效果的策略,请执行以下步骤:

  1. 在 Azure 门户中,导航到 Azure Policy 服务。

  2. 在“编写”部分下,选择“定义”。

  3. 选择“添加策略定义”以创建新的策略定义。

  4. 对于“定义位置”字段,选择“更多”按钮以指定审核策略资源所在的位置。

  5. 指定策略的名称。 还可以指定说明和类别。

  6. “策略”规则 下,将以下策略定义添加到 policyRule 节。

    {
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "audit"
    }
  }
}

  7. 保存策略。

分配策略

接下来,将策略分配给资源。 策略的作用域对应于该资源及其下的所有资源。 有关策略分配的详细信息,请参阅 Azure Policy 分配结构

若要在 Azure 门户中分配策略,请执行下列步骤:

  1. 在 Azure 门户中,导航到 Azure Policy 服务。
  2. 在“创作”部分下,选择“分配”
  3. 选择“分配策略”以创建新的策略分配。
  4. 对于“作用域”字段,请选择策略分配的作用域。
  5. 对于“策略定义”字段,请选择“更多”按钮,然后从列表中选择你在上一部分定义的策略。
  6. 提供策略分配的名称。 说明是可选的。
  7. 让“策略强制实施”设置为“启用”状态。 此设置对审核策略没有影响。
  8. 选择“查看 + 创建”以创建分配。

查看合规性报告

分配策略后,可以查看符合性报告。 审核策略的符合性报告提供有关哪些服务总线命名空间不符合策略的信息。 有关详细信息,请参阅获取策略合规性数据

创建策略分配后,合规性报告可能需要几分钟时间才会变得可用。

若要在 Azure 门户中查看合规性报告,请执行以下步骤:

  1. 在 Azure 门户中,导航到 Azure Policy 服务。
  2. 选择“合规性”。
  3. 筛选你在上一步创建的策略分配名称的结果。 该报告显示有多少资源不符合策略。
  4. 可以深入查看报表以了解更多详细信息,包括不符合规定的服务总线命名空间列表。

使用 Azure Policy 强制实施最低 TLS 版本

Azure Policy 可以确保 Azure 资源符合要求和标准,从而为云治理提供支持。 若要对组织中的服务总线命名空间强制实施最低 TLS 版本要求,可以创建一个策略,防止创建新的服务总线命名空间,该命名空间将最低 TLS 要求设置为较旧版本的 TLS,而不是策略所决定的。 如果该命名空间的最低 TLS 版本设置不符合该策略,此策略还会阻止对现有命名空间所做的所有配置更改。

强制策略使用拒绝效果来防止创建或修改服务总线命名空间的请求,使最低 TLS 版本不再遵守组织的标准。 有关效果的详细信息,请参阅了解 Azure Policy 效果

若要为低于 TLS 1.2 的最低 TLS 版本创建拒绝效果的策略,请在策略定义的 policyRule 部分中提供以下 JSON:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

创建具有拒绝效果的策略并将其分配给范围后,用户无法创建最低 TLS 版本低于 1.2 的服务总线命名空间。 用户也不能对当前要求低于 1.2 的最低 TLS 版本的现有服务总线命名空间进行任何配置更改。 如果尝试这样做,将会导致错误。 服务总线命名空间所需的最低 TLS 版本必须设置为 1.2 才能继续创建或配置命名空间。

如果尝试创建最低 TLS 版本设置为 TLS 1.0 的服务总线命名空间,则会出现错误,如果具有拒绝效果的策略要求将最低 TLS 版本设置为 TLS 1.2。

后续步骤

有关详细信息,请参阅以下文档。