Vyhodnocení dopadu nové definice služby Azure Policy
Azure Policy je výkonný nástroj pro správu prostředků Azure, který vyhovuje potřebám dodržování obchodních standardů. Azure Policy kontroluje požadavky lidí, procesů a kanálů na vytvoření nebo aktualizaci prostředků. Pokud je efekt definice zásady upraven, připojte nebo nasaďteIfNotExists, zásada změní požadavek nebo ji přidá. Pokud je účinek definice zásady audit nebo auditIfNotExists, zásady způsobí vytvoření položky protokolu aktivit pro nové a aktualizované prostředky. A když je účinek definice zásady odepřen nebo odepřít, zásada zastaví vytvoření nebo změnu požadavku.
Tyto výsledky odpovídají očekávání, pokud víte, že jsou zásady správně definované. Před povolením změny nebo blokování práce je ale důležité ověřit, jestli nové zásady fungují podle očekávání. Ověření musí zajistit, aby ve výsledcích byly nesprávně zahrnuty pouze zamýšlené prostředky, které nedodržují předpisy, a žádné vyhovující prostředky se do výsledků nesprávně nezahrnou (označují se jako falešně pozitivní).
Doporučený přístup k ověřování nové definice zásad je následující postup:
- Úzce definujte zásady.
- Otestujte efektivitu zásad.
- Auditujte nové nebo aktualizované požadavky na prostředky.
- Nasaďte zásady do prostředků.
- Průběžné monitorování.
Těsné definování zásad
Je důležité pochopit, jak se obchodní zásady implementují jako definice zásad a vztah prostředků Azure s jinými službami Azure. Tento krok se provádí identifikací požadavků a určením vlastností prostředku. Je ale také důležité vidět nad rámec úzké definice obchodních zásad. Uvádí vaše zásady například, že všechny virtuální počítače musí...? A co další služby Azure, které využívají virtuální počítače, jako je HDInsight nebo Azure Kubernetes Service (AKS)? Při definování zásady musíme zvážit, jak tato zásada ovlivňuje prostředky používané jinými službami.
Z tohoto důvodu by definice zásad měly být co nejtěsněji definované a zaměřené na prostředky a vlastnosti, které potřebujete k vyhodnocení dodržování předpisů.
Otestování efektivity zásad
Než budete chtít spravovat nové nebo aktualizované prostředky pomocí nové definice zásad, je nejlepší zjistit, jak vyhodnocuje omezenou podmnožinu existujících prostředků, jako je testovací skupina prostředků. Rozšíření Azure Policy VS Code umožňuje izolované testování definic proti existujícím prostředkům Azure pomocí kontroly vyhodnocení na vyžádání. Definici můžete také přiřadit v vývojovém prostředí pomocí režimu vynucení zakázaného (doNotEnforce) pro přiřazení zásady, aby se zabránilo tomu, že by se efekt aktivoval nebo aby se položky protokolu aktivit nevytvořily.
Tento krok vám umožní vyhodnotit výsledky dodržování předpisů nových zásad pro stávající prostředky bez dopadu na pracovní tok. Zkontrolujte, jestli se žádné vyhovující prostředky nezobrazují jako nevyhovující (falešně pozitivní) a že všechny prostředky, které očekáváte, že nedodržují předpisy, jsou označeny správně. Jakmile se počáteční podmnožina prostředků ověří podle očekávání, pomalu rozbalte vyhodnocení na více existujících prostředků a více oborů.
Vyhodnocení stávajících prostředků tímto způsobem také poskytuje příležitost napravit nevyhovující prostředky před úplnou implementací nové zásady. Toto vyčištění lze provést ručně nebo prostřednictvím úlohy nápravy, pokud je deployIfNotExists
efekt definice zásady nebo modify
.
Definice zásad s deployIfNotExists
využitím šablony Azure Resource Manageru by měly používat šablonu Azure Resource Manageru , co když chcete ověřit a otestovat změny, ke kterým dochází při nasazování šablony ARM.
Auditování nových nebo aktualizovaných prostředků
Jakmile ověříte, že se nová definice zásad správně hlásí u existujících prostředků, je čas podívat se na účinek zásady při vytváření nebo aktualizaci prostředků. Pokud definice zásady podporuje parametrizaci efektu, použijte audit nebo auditIfNotExist. Tato konfigurace umožňuje monitorovat vytváření a aktualizaci prostředků a zjistit, jestli nová definice zásad aktivuje položku v protokolu aktivit Azure pro prostředek, který nedodržuje předpisy, aniž by to ovlivnilo stávající práci nebo požadavky.
Doporučuje se aktualizovat a vytvořit nové prostředky, které odpovídají definici zásad, aby bylo vidět, že audit
se správně aktivuje efekt auditIfNotExists
, když se očekává. Buďte na vyhledávání požadavků na prostředky, které by neměly být ovlivněny novou definicí zásad, která aktivuje audit
nebo auditIfNotExists
efekt. Tyto ovlivněné prostředky jsou dalším příkladem falešně pozitivních výsledků a musí být opraveny v definici zásady před úplnou implementací.
V případě, že se v této fázi testování změní definice zásady, doporučujeme zahájit proces ověřování auditem existujících prostředků. Změna definice zásady pro falešně pozitivní výsledky u nových nebo aktualizovaných prostředků bude pravděpodobně mít vliv také na existující prostředky.
Nasazení zásad do prostředků
Po dokončení ověření nové definice zásady s existujícími prostředky i novými nebo aktualizovanými požadavky na prostředky zahájíte proces implementace zásady. Doporučujeme nejprve vytvořit přiřazení zásady pro novou definici zásady podmnožině všech prostředků, jako je například skupina prostředků. Pomocí vlastnosti resourceSelectors v rámci přiřazení zásad můžete dále filtrovat podle typu prostředku nebo umístění. Po ověření počátečního nasazení rozšiřte rozsah zásad na širší určitou skupinu prostředků. Po ověření počátečního nasazení rozbalte účinek zásady úpravou resourceSelector
filtrů tak, aby cílily na více umístění nebo typů prostředků. Nebo odebráním přiřazení a nahrazením novým oborem, jako jsou předplatná a skupiny pro správu. Pokračujte v tomto postupném zavádění, dokud nebude přiřazený k úplnému rozsahu prostředků určených k pokrytí vaší novou definicí zásad.
Pokud se během zavádění nacházejí prostředky, které by měly být z vaší nové definice zásad vyloučené, vyřešte je jedním z následujících způsobů:
- Aktualizujte definici zásad tak, aby byla explicitnější, aby se snížily nezamýšlené účinky.
- Změňte rozsah přiřazení zásady (odebráním a vytvořením nového přiřazení).
- Přidejte skupinu prostředků do seznamu vyloučení pro přiřazení zásad.
Všechny změny rozsahu (úrovní nebo vyloučení) by se měly plně ověřit a komunikovat s vašimi organizacemi v oblasti zabezpečení a dodržování předpisů, aby nedošlo k žádným mezerám v pokrytí.
Monitorování zásad a dodržování předpisů
Implementace a přiřazení definice zásady není posledním krokem. Nepřetržitě monitorujte úroveň dodržování předpisů pro novou definici zásad a nastavte odpovídající výstrahy a oznámení služby Azure Monitor pro identifikaci zařízení, která nedodržují předpisy. Doporučením je vyhodnotit definici zásad a související přiřazení podle plánu, aby se ověřilo, že definice zásady splňuje potřeby obchodních zásad a dodržování předpisů. Pokud už zásady nepotřebujete, měly by se odebrat. Zásady se také musí aktualizovat čas od času, protože základní prostředky Azure se vyvíjejí a přidávají nové vlastnosti a možnosti.
Další kroky
- Seznamte se se strukturou definic zásad.
- Přečtěte si o struktuře přiřazení zásad.
- Seznamte se s programovým vytvářením zásad.
- Zjistěte, jak získat data dodržování předpisů.
- Zjistěte, jak napravit nevyhovující prostředky.
- Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.