Evaluación del efecto de una nueva definición de Azure Policy
Azure Policy es una herramienta eficaz para administrar los recursos de Azure de forma que se cumplan las necesidades de cumplimiento normativo de los estándares empresariales. Cuando las personas, los procesos o las canalizaciones crean o actualizan recursos, Azure Policy revisa la solicitud. Cuando el efecto de la definición de la directiva es modify, append o deployIfNotExists, la directiva modifica la solicitud o la aumenta. Cuando el efecto de la definición de la directiva es audit o auditIfNotExists, la directiva provoca la creación de una entrada del registro de actividad para los recursos nuevos y actualizados. Y cuando el efecto de la definición de directiva es deny o denyAction, la directiva detiene la creación o modificación de la solicitud.
Estos resultados son exactamente lo que se desea cuando se sabe que la directiva se ha definido correctamente. Sin embargo, es importante validar que una nueva directiva funciona según lo previsto antes de permitirle cambiar o bloquear el trabajo. La validación debe asegurarse de que solo se determina que los recursos deseados no son compatibles y que no se incluyen correctamente los recursos compatibles (lo que se conoce como falso positivo) en los resultados.
El enfoque recomendado para validar una nueva definición de directiva es seguir estos pasos:
- Definición de la directiva de forma estricta
- Pruebe la eficacia de la directiva.
- Auditoría de las solicitudes de recursos nuevas o actualizadas
- Implementación de la directiva en los recursos
- Supervisión continua.
Definición de la directiva de forma estricta
Es importante comprender cómo se implementa la directiva empresarial como una definición de directiva y la relación de los recursos de Azure con otros servicios de Azure. Este paso se realiza mediante la identificación de los requisitos y la determinación de las propiedades del recurso. Pero también es importante ver más allá de la definición de directiva empresarial. Por ejemplo, ¿la directiva indica que todas las máquinas virtuales...? ¿Qué ocurre con otros servicios de Azure que hacen uso de máquinas virtuales, como HDInsight o Azure Kubernetes Service (AKS)? Al definir una directiva, debemos tener en cuenta cómo afecta esta directiva a los recursos utilizados por otros servicios.
Por esta razón, las definiciones de directiva deben ser tan definidas y centradas en los recursos y las propiedades que se necesitan para evaluar su cumplimiento como sea posible.
Prueba de la eficacia de la directiva
Antes de considerar la administración de recursos nuevos o actualizados con la nueva definición de directiva, es mejor ver cómo evalúa un subconjunto limitado de recursos existentes, como un grupo de recursos de prueba. La extensión VS Code de Azure Policy permite realizar pruebas aisladas de las definiciones en los recursos de Azure existentes mediante el examen de evaluación a petición. También puede asignar la definición en un entorno de desarrollo mediante el modo de cumplimiento Disabled (DoNotEnforce) en la asignación de directiva para impedir el efecto de desencadenar o crear entradas del registro de actividad.
Este paso le ofrece la oportunidad de evaluar los resultados de cumplimiento de la nueva directiva en los recursos existentes sin afectar al flujo de trabajo. Compruebe que los recursos no conformes se muestren como tal (falso positivo) y que todos los recursos que espera que sean no conformes estén marcados correctamente. Una vez que el subconjunto inicial de recursos se valide según lo previsto, amplíe lentamente la evaluación a más recursos existentes y más ámbitos.
La evaluación de los recursos existentes de esta manera también ofrece la posibilidad de corregir recursos no compatibles antes de la implementación completa de la nueva directiva. Esta limpieza se puede realizar manualmente o mediante una tarea de corrección si el efecto de definición de directiva es deployIfNotExists
o modify
.
Las definiciones de directiva con un valor deployIfNotExists
deben usar la plantilla de Azure Resource Manager what-if para validar y probar los cambios que se producen al implementar la plantilla de ARM.
Auditoría de recursos nuevos o actualizados
Después de validar que la nueva definición de directiva se notifica correctamente en los recursos existentes, es el momento de examinar el efecto de la directiva cuando se crean o actualizan recursos. Si la definición de directiva admite la parametrización de efectos, use audit o auditIfNotExist. Esta configuración permite supervisar la creación y actualización de recursos para ver si la nueva definición de directiva desencadena una entrada en el registro de actividad de Azure para un recurso que no es compatible sin que afecte a las solicitudes o al trabajo existente.
Se recomienda que actualice y cree recursos que coincidan con la definición de directiva para ver que el efecto audit
o auditIfNotExists
se desencadena correctamente cuando se espera. Preste atención a las solicitudes de recursos que no deben verse afectadas por la nueva definición de directiva que desencadena el efecto audit
o auditIfNotExists
. Estos recursos afectados son otro ejemplo de falsos positivos y deben corregirse en la definición de directiva antes de la implementación completa.
Si la definición de directiva se cambia en esta fase de pruebas, se recomienda repetir el proceso de validación con la auditoría de los recursos existentes. Es probable que un cambio en la definición de directiva para un falso positivo en los recursos nuevos o actualizados también afecte a los recursos existentes.
Implementación de la directiva en los recursos
Después de completar la validación de la nueva definición de directiva con los recursos existentes y las solicitudes de recursos nuevos o actualizados, comienza el proceso de implementación de directiva. Se recomienda crear la asignación de directiva para la nueva definición de directiva en un subconjunto de todos los recursos, como un grupo de recursos. Puede filtrar aún más por tipo de recurso o ubicación mediante la propiedad resourceSelectors dentro de la asignación de directiva. Después de validar la implementación inicial, amplíe el ámbito de la directiva a un grupo de recursos más amplio. Después de validar la implementación inicial, expanda el efecto de la directiva mediante el ajuste de los filtros de resourceSelector
para dirigirse a más ubicaciones o tipos de recursos. O bien, puede quitar la asignación y reemplazarla por una nueva en ámbitos más amplios, como suscripciones y grupos de administración. Continúe con esta implementación gradual hasta que se asigne al ámbito completo de los recursos que debe cubrir la nueva definición de directiva.
Durante el lanzamiento, si se encuentran recursos que deben estar exentos de la nueva definición de directiva, puede solucionarlos de una de las siguientes maneras:
- Actualice la definición de directiva para que sea más explícita a fin de reducir los efectos impacto no previstos.
- Cambio del ámbito de la asignación de directivas (al eliminar y crear una nueva asignación)
- Adición del grupo de recursos a la lista de exclusión para la asignación de directivas
Cualquier cambio en el ámbito (nivel o exclusiones) debe validarse y comunicarse completamente con las organizaciones de seguridad y cumplimiento para garantizar que no haya lagunas en la cobertura.
Supervisión de la directiva y cumplimiento
La implementación y asignación de la definición de directiva no es el paso final. Supervise continuamente el nivel de cumplimiento de los recursos con la nueva definición de directiva y configure las alertas y notificaciones de Azure Monitor adecuadas para la configuración de los dispositivos no compatibles. Se recomienda evaluar la definición de directiva y las asignaciones relacionadas de forma programada para validar que la definición de directiva cumple las necesidades de cumplimiento y directivas empresariales. Las directivas deben quitarse si ya no se necesitan. Las directivas también necesitan actualizarse de vez en cuando a medida que los recursos de Azure subyacentes evolucionan y agregan nuevas propiedades y funcionalidades.
Pasos siguientes
- Más información sobre la estructura de la definición de directiva.
- Más información sobre la estructura de asignaciones de directivas
- Obtenga información acerca de cómo se pueden crear directivas mediante programación.
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información sobre cómo corregir recursos no compatibles.
- En Organización de los recursos con grupos de administración de Azure, obtendrá información sobre lo que es un grupo de administración.