Betriebsbezogene Compliance in Azure
Die betriebsbezogene Compliance ist die zweite Disziplin in jeder Cloudverwaltungsbaseline.
Durch das Verbessern der betriebsbezogenen Compliance reduziert sich die Wahrscheinlichkeit eines Ausfalls durch Konfigurationsabweichungen oder die Wahrscheinlichkeit von Sicherheitsrisiken durch nicht ordnungsgemäß gepatchte Systeme.
In dieser Tabelle wird für jede Umgebung auf Unternehmensniveau der empfohlene Mindestwert für eine Verwaltungsbaseline aufgeführt.
| Prozess | Tool | Zweck |
|---|---|---|
| Patchverwaltung | Azure Automation-Updateverwaltung | Verwaltung und Zeitplanung von Updates |
| Durchsetzung von Richtlinien | Azure Policy | Automatisierte Richtliniendurchsetzung zum Sicherstellen der Compliance von Umgebung und Gastsystemen |
| Umgebungskonfiguration | Infrastructure-as-Code (IaC) | Automatische Umgebungserstellung, Konfiguration und Vermeidung von Konfigurationsabweichungen |
| Ressourcenkonfiguration | Konfigurieren des gewünschten Zustands (Desired State Configuration, DSC) | Automatisierte Konfiguration für das Gastbetriebssystem und einige Aspekte der Umgebung |
Updateverwaltung
Computer, die von der Lösung „Updateverwaltung“ für Azure Automation verwaltet werden, verwenden die folgenden Konfigurationen für die Bewertung und Aktualisierung von Bereitstellungen:
- Log Analytics-Agent für Windows oder Linux
- PowerShell DSC für Linux.
- Azure Automation Hybrid Runbook Worker.
- Microsoft Update oder Windows Server Update Services (WSUS) für Windows-Computer.
Weitere Informationen finden Sie unter Updateverwaltungslösung für Azure Automation.
Warnung
Bevor Sie die Updateverwaltung verwenden, müssen Sie virtuelle Computer oder ein ganzes Abonnement in Log Analytics und Azure Automation integrieren.
Es gibt zwei Ansätze für das Onboarding:
Sie sollten einem folgen, bevor Sie mit der Updateverwaltung fortfahren.
Verwalten von Updates
So wenden Sie eine Richtlinie auf eine Ressourcengruppe an:
- Wechseln Sie zu Azure Automation.
- Wählen Sie Automation-Konten und dann eines der aufgeführten Konten aus.
- Wechseln Sie zu Konfigurationsverwaltung.
- Verwenden Sie die Zustandskonfiguration (DSC), um den Zustand und die Betriebskonformität der verwalteten virtuellen Computer zu steuern.
Azure Policy
Azure Policy wird während der gesamten Governanceprozesse eingesetzt. Es ist auch in Cloudverwaltungsprozessen äußerst wertvoll. Mit Azure Policy können Sie Azure-Ressourcen überprüfen und korrigieren sowie Einstellungen auf einem Computer überprüfen und konfigurieren. Für die Überprüfung verwenden Sie die Computerkonfigurationserweiterung und den zugehörigen Client. Die Erweiterung überprüft über den Client u. a. die folgenden Einstellungen:
- Betriebssystemkonfiguration
- Die Konfiguration oder das Vorhandensein der Anwendung
- Umgebungseinstellungen
Ein wichtiger Teil dieses Prozesses ist der Unterhalt und die Aktualisierung der Azure Policy-Zuweisungen, wenn Ihr Governanceprozess dies erfordert. Die Verwendung von IaC kann Ihnen helfen, Ihre Richtlinieninfrastruktur zu aktualisieren und zu unterhalten. Weitere Informationen finden Sie unter Verwenden von IaC zum Aktualisieren von Azure-Zielzonen.
Aktion
Weisen Sie einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe eine integrierte Richtlinie zu.
Anwenden einer Richtlinie
So wenden Sie eine Richtlinie auf eine Ressourcengruppe an:
- Wechseln Sie zu Azure Policy.
- Wählen Sie Richtlinie zuweisen.
Weitere Informationen
Weitere Informationen finden Sie unter: