Před zvážením nasazení je důležité, aby vaše organizace zavedla mantinely. Pomocí zásad Azure můžete implementovat zásady správného řízení pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.
Pozadí
Základním principem analýzy na úrovni cloudu je snadné vytvářet, číst, aktualizovat a odstraňovat prostředky podle potřeby. I když ale vývojářům poskytuje neomezený přístup k prostředkům, může to vést k nechtěným důsledkům nákladů. Řešením tohoto problému je zásady správného řízení přístupu k prostředkům. Toto řízení je průběžný proces správy, monitorování a auditování využití prostředků Azure ke splnění cílů a požadavků vaší organizace.
Tento koncept už používá cílová zóna architektury přechodu na cloud na podnikové úrovni. Analýzy na úrovni cloudu přidávají vlastní zásady Azure, které budou založené na těchto standardech. Standardy se pak použijí na cílové zóny správy dat a cílové zóny dat.
Diagram znázorňující fungování zásad správného řízení Azure
Azure Policy je důležité při zajišťování zabezpečení a dodržování předpisů v rámci analýz na úrovni cloudu. Pomáhá vynucovat standardy a vyhodnocovat dodržování předpisů ve velkém měřítku. Zásady je možné použít k vyhodnocení prostředků v Azure a jejich porovnání s požadovanými vlastnostmi. Do iniciativy je možné seskupit několik zásad nebo obchodních pravidel. Jednotlivé zásady nebo iniciativy je možné přiřadit k různým rozsahům v Azure. Tyto obory můžou být skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení platí pro všechny prostředky v rámci oboru a v případě potřeby je možné dílčí obory vyloučit s výjimkami.
Aspekty návrhu
Zásady Azure v analýzách na úrovni cloudu byly vyvinuty s následujícími aspekty návrhu:
Pomocí zásad Azure můžete implementovat zásady správného řízení a vynucovat pravidla pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.
Pokud chcete ušetřit čas, použijte dostupné předem připravené zásady.
Přiřaďte zásady na nejvyšší možnou úroveň ve stromu skupiny pro správu, aby se zjednodušila správa zásad.
Omezte přiřazení azure Policy provedená v oboru kořenové skupiny pro správu, abyste se vyhnuli správě prostřednictvím vyloučení v zděděných oborech.
Výjimky zásad používejte pouze v případě potřeby a vyžadují schválení.
Zásady Azure pro analýzy v cloudovém měřítku
Implementace vlastních zásad umožňuje provádět další akce se službou Azure Policy. Analýza na úrovni cloudu obsahuje sadu předem vytvořených zásad, které vám pomůžou implementovat všechny požadované mantinely ve vašem prostředí.
Azure Policy by měla být základním nástrojem týmu datové platformy Azure, která zajistí dodržování předpisů prostředků v přistávací zóně pro správu dat, přistávacích zónách dat a dalších přistávacích zónách v rámci tenantu organizace. Tato funkce platformy by se měla použít k zavedení mantinelí a vynucování dodržování celkové schválené konfigurace služby v rámci příslušného oboru skupiny pro správu. Týmy platformy můžou azure Policy použít například k vynucení privátních koncových bodů pro všechny účty úložiště hostované v prostředí datové platformy nebo vynutit přenášené šifrování TLS 1.2 pro všechna připojení k účtům úložiště. Pokud je to provedeno správně, toto pravidlo zakazuje všem týmům datových aplikací hostovat služby v nevyhovujícím stavu v příslušném rozsahu tenanta.
Zodpovědné IT týmy by tuto funkci platformy měly využít k řešení problémů se zabezpečením a dodržováním předpisů a otevřít samoobslužný přístup v rámci cílových zón (data).
Analýzy v cloudu obsahují vlastní zásady související se správou prostředků a nákladů, ověřováním, šifrováním, izolací sítě, protokolováním, odolností a dalšími prostředky.
Zásady by se měly zobrazovat jenom jako pokyny a je možné je použít v závislosti na obchodních požadavcích. Zásady by se měly vždy použít na nejvyšší možnou úroveň a ve většině případů se jedná o skupinu pro správu.
Odepřít privátní koncové body prostředkům mimo tenanta a předplatného Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint
Izolace sítě
Nasadí konfigurace skupiny zón Privátní DNS podle parametru privátního koncového bodu služby. Používá se k vynucení konfigurace do jedné zóny Privátní DNS.
DiagnosticSettings-{Service}-LogAnalytics
Protokolování
Odeslání nastavení diagnostiky pro službu Azure Cosmos DB do pracovního prostoru služby Log Analytics
Úložiště
Název zásady
Oblast zásad
Popis
Připojení k úložišti – šifrování
Šifrování
Vynucujte šifrování pro účty úložiště.
Odepřít-Storage-AllowBlobPublicAccess
Izolace sítě
Vynucuje žádný veřejný přístup ke všem objektům blob nebo kontejnerům v účtu úložiště.
Deny-Storage-ContainerDeleteRetentionPolicy
Odolnost
Vynucujte zásady uchovávání informací o odstranění kontejneru pro účet úložiště větší než sedm dnů.
Odepření úložiště – CorsRules
Izolace sítě
Odepřít pravidla cors pro účet úložiště.
Odepření úložiště –InfrastructureEncryption
Šifrování
Vynucujte šifrování infrastruktury (double) pro účty úložiště.
Deny-Storage-MinimumTlsVersion
Šifrování
Vynucuje minimální protokol TLS verze 1.2 pro účet úložiště.
Odepřít-Storage-NetworkAclsBypass
Izolace sítě
Vynucuje vynechání sítě pro účet úložiště.
Odepřít-Storage-NetworkAclsIpRules
Izolace sítě
Vynucuje pravidla síťových IP adres pro účet úložiště.
Deny-Storage-NetworkAclsVirtualNetworkRules
Izolace sítě
Odmítne pravidla virtuální sítě pro účet úložiště.
Odepřít skladovou položku Storage
Správa zdrojů
Vynucuje skladové položky účtu úložiště.
Deny-Storage-SupportsHttpsTrafficOnly
Šifrování
Vynucuje provoz https pro účet úložiště.
Nasazení služby Storage–BlobServices
Správa zdrojů
Nasaďte výchozí nastavení služby Blob Services pro účet úložiště.
Odepřít-Storage-RoutingPreference
Izolace sítě
Odepřít druh úložiště
Správa zdrojů
Odepřít-Storage-NetworkAclsDefaultAction
Izolace sítě
Key Vault
Název zásady
Oblast zásad
Popis
Audit-KeyVault-PrivateEndpointId
Izolace sítě
Auditujte veřejné koncové body vytvořené v jiných předplatných pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsBypass
Izolace sítě
Vynucuje vynechání pravidel na úrovni sítě pro trezor klíčů.
Deny-KeyVault-NetworkAclsDefaultAction
Izolace sítě
Vynucuje výchozí akci na úrovni seznamu ACL sítě pro trezor klíčů.
Odepřít-KeyVault-NetworkAclsIpRules
Izolace sítě
Vynucuje pravidla síťových IP adres pro trezor klíčů.
Deny-KeyVault-NetworkAclsVirtualNetworkRules
Izolace sítě
Odmítne pravidla virtuální sítě pro trezor klíčů.
Deny-KeyVault-PurgeProtection
Odolnost
Vynucuje ochranu před vymazáním trezoru klíčů.
Deny-KeyVault-SoftDelete
Odolnost
Vynucuje obnovitelné odstranění s minimálním počtem dnů uchovávání pro trezor klíčů.
Deny-KeyVault-TenantId
Správa zdrojů
Vynucujte ID tenanta pro trezor klíčů.
Azure Data Factory
Název zásady
Oblast zásad
Popis
Append-DataFactory-IdentityType
Ověřování
Vynucuje použití identity přiřazené systémem pro datovou továrnu.
Deny-DataFactory-ApiVersion
Správa zdrojů
Odmítne starou verzi rozhraní API pro objekt pro vytváření dat V1.