Grundlegendes zum Zweck von Azure Policy

Abgeschlossen

Wie stellen Sie sicher, dass Ihre Ressourcen konform bleiben? Wie können Sie benachrichtigt werden, wenn sich die Konfiguration einer Ressource geändert hat?

Azure Policy ist ein Dienst in Azure, der es Ihnen ermöglicht, Richtlinien zu erstellen, zuzuweisen und zu verwalten, die Ihre Ressourcen steuern oder überwachen. Mit diesen Richtlinien werden unterschiedliche Regeln für Ressourcenkonfigurationen erzwungen, damit diese Konfigurationen stets mit Ihren Unternehmensstandards konform bleiben.

Wie definiert Azure Policy Richtlinien?

Mit Azure Policy können Sie sowohl einzelne Richtlinien als auch Gruppen verwandter Richtlinien definieren, die als Initiativen bezeichnet werden. Azure Policy wertet Ihre Ressourcen aus und hebt die Ressourcen hervor, die nicht mit den von Ihnen erstellten Richtlinien konform sind. Azure Policy kann auch verhindern, dass nicht konforme Ressourcen erstellt werden.

Azure-Richtlinien können auf jeder Ebene festgelegt werden, sodass Sie Richtlinien für eine bestimmte Ressource, eine Ressourcengruppe, ein Abonnement usw. festlegen können. Azure-Richtlinien werden außerdem vererbt. Wenn Sie also eine Richtlinie auf einer höheren Ebene festlegen, wird sie automatisch auf alle Gruppierungen unter der übergeordneten Richtlinie angewendet. Wenn Sie beispielsweise eine Azure-Richtlinie für eine Ressourcengruppe festlegen, wird diese Richtlinie von allen in dieser Ressourcengruppe erstellten Ressourcen automatisch übernommen.

Azure Policy enthält integrierte Richtlinien- und Initiativendefinitionen für Speicher, Netzwerk, Compute, Security Center und Überwachung. Wenn Sie beispielsweise eine Richtlinie definieren, die nur eine bestimmte Größe für die virtuellen Computer (VMs) in Ihrer Umgebung zulässt, wird diese Richtlinie beim Erstellen einer neuen VM und bei jeder Größenänderung vorhandener VMs aufgerufen. Darüber hinaus werden mit Azure Policy auch alle aktuellen VMs in der Umgebung ausgewertet und überwacht, darunter auch VMs, die vor der Richtlinie erstellt wurden.

In einigen Fällen kann Azure Policy nicht konforme Ressourcen und Konfigurationen automatisch korrigieren, um die Integrität des Zustands der Ressourcen zu gewährleisten. Wenn zum Beispiel alle Ressourcen in einer bestimmten Ressourcengruppe mit dem Tag „AppName“ und dem Wert „SpecialOrders“ gekennzeichnet werden sollen, wendet Azure Policy dieses Tag automatisch erneut an, wenn es fehlt. Sie behalten jedoch weiterhin die vollständige Kontrolle über Ihre Umgebung. Wenn Sie über eine bestimmte Ressource verfügen, die von Azure Policy nicht automatisch korrigiert werden soll, können Sie diese Ressource als Ausnahme kennzeichnen, sodass diese Ressource durch die Richtlinie nicht automatisch korrigiert wird.

Azure Policy kann auch in Azure DevOps integriert werden, indem alle Continuous Integration- bzw. Continuous Delivery-Pipelinerichtlinien angewendet werden, die sich auf die Schritte vor und nach der Bereitstellung Ihrer Anwendungen beziehen.

Was sind Azure Policy-Initiativen?

Eine Azure Policy-Initiative ist eine Möglichkeit, verwandte Richtlinien zu gruppieren. Eine Initiativendefinition enthält alle Richtliniendefinitionen, um Ihren Konformitätsstatus zur Erreichung eines größeren Ziels besser nachverfolgen können.

Azure Policy enthält z. B. eine Initiative namens Überwachung in Azure Security Center aktivieren. Ihr Ziel ist es, alle verfügbaren Sicherheitsempfehlungen für alle Azure-Ressourcentypen in Azure Security Center zu überwachen.

Im Rahmen dieser Initiative sind die folgenden Richtliniendefinitionen enthalten:

  • Überwachung von unverschlüsselten SQL-Datenbanken in Security Center: Diese Richtlinie dient zum Überwachen von unverschlüsselten SQL-Datenbanken und -Servern.
  • Überwachung von Betriebssystem-Sicherheitsrisiken in Security Center: Diese Richtlinie überwacht Server, welche die konfigurierte Sicherheitsrisikobaseline des Betriebssystems nicht erfüllen.
  • Überwachung des fehlenden Endpoint Protection-Schutzes in Security Center: Diese Richtlinie überwacht Server, auf denen kein Endpoint Protection-Agent installiert ist.

Tatsächlich enthält die Initiative Überwachung in Azure Security Center aktivieren mehr als 100 separate Richtliniendefinitionen.