Popis účelu služby Azure Policy
Jak zajistíte, aby vaše prostředky dodržovaly předpisy? Můžete být upozorněni, pokud se změnila konfigurace prostředku?
Azure Policy je služba v Azure, která umožňuje vytvářet, přiřazovat a spravovat zásady, které řídí nebo auditují vaše prostředky. Tyto zásady vynucují různá pravidla napříč konfiguracemi prostředků, aby tyto konfigurace zůstaly v souladu s firemními standardy.
Jak Azure Policy definuje zásady?
Azure Policy vám umožní definovat jednotlivé zásady i skupiny souvisejících zásad označované jako iniciativy. Azure Policy vyhodnotí vaše prostředky a zvýrazní ty, které nevyhovují vámi vytvořeným zásadám. Azure Policy může také zabránit ve vytváření nevyhovujících prostředků.
Zásady Azure je možné nastavit na jednotlivých úrovních, což vám umožní nastavit zásady pro konkrétní prostředek, skupinu prostředků, předplatné atd. Zásady Azure se navíc dědí, takže pokud nastavíte zásadu na vysoké úrovni, automaticky se použije na všechny seskupení, které spadají do nadřazeného objektu. Pokud například nastavíte Azure Policy pro skupinu prostředků, budou všechny prostředky vytvořené v této skupině prostředků automaticky přijímat stejné zásady.
Azure Policy obsahuje integrované definice zásad a iniciativ pro úložiště, sítě, výpočty, security center a monitorování. Pokud například definujete zásadu, která umožňuje, aby se ve vašem prostředí používala jenom určitá velikost virtuálních počítačů, tato zásada se vyvolá při vytváření nového virtuálního počítače a při každé změně velikosti existujících virtuálních počítačů. Azure Policy také vyhodnocuje a monitoruje všechny aktuální virtuální počítače ve vašem prostředí, včetně virtuálních počítačů vytvořených před vytvořením zásady.
V některých případech může Azure Policy automaticky opravit nevyhovující prostředky a konfigurace, aby se zajistila integrita stavu prostředků. Pokud by například všechny prostředky v určité skupině prostředků měly být označené značkou AppName a hodnotou "SpecialOrders", Azure Policy tuto značku automaticky použije, pokud chybí. Přesto si ale zachováte úplnou kontrolu nad prostředím. Pokud máte konkrétní prostředek, který nechcete, aby služba Azure Policy automaticky opravuje, můžete tento prostředek označit příznakem výjimky a zásady tento prostředek automaticky neopraví.
Azure Policy se také integruje s Azure DevOps tím, že použije všechny zásady průběžné integrace a kanálu doručování, které se týkají fází před nasazením a po nasazení vašich aplikací.
Co jsou iniciativy Azure Policy?
Iniciativa Azure Policy je způsob, jak seskupit související zásady dohromady. Definice iniciativy obsahuje všechny definice zásad, aby pomohla se sledováním stavu dodržování předpisů pro nějaký rozsáhlejší cíl.
Azure Policy třeba obsahuje iniciativu s názvem Povolit monitorování ve službě Azure Security Center. Jejím cílem je monitorovat všechna dostupná doporučení zabezpečení pro všechny typy prostředků Azure ve službě Azure Security Center.
Tato iniciativa zahrnuje tyto definice zásad:
- Monitorování nešifrované databáze SQL ve službě Security Center Tato zásada monitoruje nešifrované databáze a servery SQL.
- Monitorování ohrožení zabezpečení operačního systému ve službě Security Center Tato zásada monitoruje servery, které nevyhovují nakonfigurovaným standardním hodnotám ohrožení zabezpečení operačního systému.
- Monitorování chybějící služby Endpoint Protection ve službě Security Center Tato zásada monitoruje servery, které nemají nainstalovaného agenta ochrany koncových bodů.
Iniciativa Povolit monitorování ve službě Azure Security Center ve skutečnosti obsahuje přes 100 samostatných definic zásad.