Azure Policy を使用して、Azure Service Bus 名前空間の最小 TLS バージョンのコンプライアンスを監査する

Microsoft Azure Service Bus 名前空間が多数ある場合は、監査を実行して、組織が必要とする TLS の最小バージョンに対してすべての名前空間が構成されていることを確認できます。 Service Bus 名前空間のセットのコンプライアンスを監査するには、Azure Policy を使用します。 Azure Policy は、Azure リソースにルールを適用するポリシーの作成、割り当て、管理に使用できるサービスです。 Azure Policy を使用すると、それらのリソースが会社の標準やサービス レベル アグリーメントに準拠した状態を維持するのに役立ちます。 詳細については、Azure Policy の概要に関するページを参照してください。

監査効果を持つポリシーを作成する

Azure Policy では、ポリシー規則がリソースに対して評価されたときに実行される動作を決定する効果がサポートされています。 監査機能は、リソースが準拠していない場合に警告を発しますが、要求を停止することはありません。 効果の詳細については、「Azure Policy 効果について」を参照してください。

Azure portal で最小 TLS バージョンの監査効果を持つポリシーを作成するには、次の手順に従います。

1. Azure portal で、Azure Policy サービスに移動します。

2. [作成] セクションで [定義] を選択します。

3. [ポリシー定義の追加] を選択して、新しいポリシー定義を作成します。

4. [定義の場所] フィールドで、 [More](詳細) ボタンを選択して、監査ポリシーのリソースがある場所を指定します。

5. ポリシーの名前を指定します。 必要に応じて説明およびカテゴリを指定することもできます。

6. [ ポリシールール ] で、次のポリシー定義を policyRule セクションに追加します。

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.ServiceBus/namespaces"
           },
           {
             "not": {
               "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
               "equals": "1.3"
             }
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. ポリシーを保存します。

ポリシーを割り当てる

次に、ポリシーをリソースに割り当てます。 ポリシーのスコープは、そのリソースとその下にあるすべてのリソースに対応します。 ポリシー割り当ての詳細については、「Azure Policy の割り当ての構造」を参照してください。

Azure portal でポリシーを割り当てるには、次の手順を実行します。

1. Azure portal で、Azure Policy サービスに移動します。
2. [作成] セクションで [割り当て] を選択します。
3. 新しいポリシー割り当てを作成するために、 [ポリシーの割り当て] を選択します。
4. [スコープ] フィールドで、ポリシー割り当てのスコープを選択します。
5. [ポリシー定義] フィールドで、 [More](詳細) ボタンを選択して、前のセクションで定義したポリシーを一覧から選択します。
6. ポリシー割り当て用の名前 を入力します。 説明は省略できます。
7. [ポリシーの適用] を "有効" のままに設定しておきます。 この設定は、監査ポリシーには影響しません。
8. [確認および作成] を選択して割り当てを作成します。

コンプライアンス レポートを表示する

ポリシーを割り当てた後、コンプライアンス レポートを表示できます。 監査ポリシーのコンプライアンス レポートには、ポリシーに準拠していない Service Bus 名前空間に関する情報が表示されます。 詳細については、ポリシーのコンプライアンス データを取得することに関する記事を参照してください。

ポリシー割り当てが作成された後、コンプライアンス レポートが使用可能になるまで数分かかる場合があります。

Azure portal でコンプライアンス レポートを表示するには、次の手順を実行します。

1. Azure portal で、Azure Policy サービスに移動します。
2. [コンプライアンス] を選択します。
3. 前の手順で作成したポリシー割り当ての名前の結果をフィルター処理します。 このレポートには、ポリシーに準拠していないリソースの数が表示されます。
4. レポートにドリルダウンして、準拠していない Service Bus 名前空間の一覧など、詳細を確認できます。

Azure Policy を使用して最小 TLS バージョンを適用する

Azure Policy は、Azure リソースが要件と標準に準拠していることを保証することによって、クラウド ガバナンスをサポートします。 組織内の Service Bus 名前空間に対して TLS の最小バージョン要件を適用するには、新しい Service Bus 名前空間の作成を禁止するポリシーを作成します。これにより、最小 TLS 要件が、ポリシーによって規定されているバージョンよりも古いバージョンの TLS に設定されます。 このポリシーは、その名前空間の最小 TLS バージョン設定がポリシーに準拠していない場合、既存の名前空間に対するすべての構成変更を防ぎます。

適用ポリシーでは、拒否効果を使用して、最小 TLS バージョンが組織の標準に準拠しなくなったように、Service Bus 名前空間を作成または変更する要求を防ぎます。 効果の詳細については、「Azure Policy 効果について」を参照してください。

TLS 1.3 未満の最小 TLS バージョンに対して拒否効果を持つポリシーを作成するには、ポリシー定義の policyRule セクションに次の JSON を指定します。

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.ServiceBus/namespaces"
        },
        {
          "not": {
            "field": "Microsoft.ServiceBus/namespaces/minimumTlsVersion",
            "equals": "1.3"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

拒否効果を持つポリシーを作成し、それをスコープに割り当てた後、ユーザーは 1.3 より古い最小 TLS バージョンの Service Bus 名前空間を作成できません。 また、ユーザーは、現在 1.3 より古い最小 TLS バージョンを必要とする既存の Service Bus 名前空間に対して構成を変更することもできません。 この操作を行おうとすると、エラーが発生します。 名前空間の作成または構成を続行するには、Service Bus 名前空間に必要な最小 TLS バージョンを 1.3 に設定する必要があります。

拒否効果を持つポリシーで最小 TLS バージョンを TLS 1.3 に設定する必要がある場合に、TLS 1.2 の最小バージョンを設定して Service Bus 名前空間を作成しようとすると、エラーが表示されます。

次のステップ

詳細については、以下のドキュメントを参照してください。

• Service Bus 名前空間への要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) の適用
• Service Bus 名前空間の最小 TLS バージョンを構成する