Creación, asignación e interpretación directivas e iniciativas de seguridad en Azure Policy

Completado

Cuando se trata de proteger el entorno de Azure, encontrará dos herramientas esenciales: Directivas de seguridad de Azure e Iniciativas de seguridad de Azure. Ambos desempeñan roles críticos para mantener el cumplimiento, pero sirven para distintos propósitos. Vamos a desglosar sus características y casos de uso.

Directivas de seguridad de Azure:

• Definición: Azure Policy es como un guardián que garantiza que los recursos se adhieren a reglas específicas. Te permite definir y aplicar directivas en todo el entorno de Azure.

• Componentes:

  • Definición de directiva: especifica las condiciones que deseas controlar (por ejemplo, tipos de recursos permitidos, etiquetas obligatorias).
  • Asignación de directiva: Determina dónde surte efecto la directiva (recursos individuales, grupos de recursos, grupos de administración).
  • Parámetros de directiva: personaliza el comportamiento de la directiva (por ejemplo, unidades de mantenimiento de existencias de máquina virtual, ubicación).

• Casos de uso:

  • Aplicar reglas específicas de forma coherente.
  • Garantizar el etiquetado uniforme.
  • Controlar los tipos de recursos.

Iniciativas de seguridad de Azure

• Definición: Imagine que las Iniciativas de Azure son agrupaciones de directivas. Agrupan definiciones de directivas de Azure relacionadas para un propósito específico.

• Componentes:

  • Definiciones (directivas): una colección de directivas agrupadas en un solo elemento.
  • Asignación: Las iniciativas se aplican a un ámbito (por ejemplo, suscripción, grupo de recursos).
  • Parámetros: personalizan el comportamiento de la iniciativa.

• Casos de uso:

  • Lograr objetivos de cumplimiento más amplios (por ejemplo, estándar de seguridad de datos del sector de tarjetas de pago, ley de transferencia y responsabilidad de seguros de salud (HIPAA)).
  • Administrar directivas relacionadas de forma coherente.

Cuándo usar el qué

• Azure Policy:

  • Úsala para directivas individuales cuando las reglas específicas necesiten aplicarlas.
  • A veces basta con una sola directiva.

• Iniciativas de Azure:

  • Se recomienda incluso para una sola directiva porque simplifica la administración.
  • Las iniciativas permiten administrar varias directivas como una unidad cohesiva.
  • Ejemplo: en lugar de controlar 20 directivas independientes para el cumplimiento de PCI-DSS, usa una iniciativa que las evalúe todas simultáneamente.

Las directivas de seguridad de Azure se centran en el control pormenorizado, mientras que las iniciativas de seguridad de Azure proporcionan un enfoque consolidado. Elige sabiamente en función de las necesidades y la complejidad del cumplimiento de tu organización. Ambas son herramientas esenciales en el cuadro de herramientas de seguridad de Azure.

Creación y administración de directivas para aplicar el cumplimiento

Comprender cómo se crean y administran las directivas en Azure es importante para mantener el cumplimiento de los estándares corporativos y los contratos de nivel de servicio. En este ejemplo, aprenderá a usar Azure Policy para realizar algunas de las tareas más comunes relacionadas con la creación, la asignación y la administración de directivas en toda la organización, como, por ejemplo:

• Asignar una directiva para aplicar una condición a los recursos que se creen en el futuro
  
• Crear y asignar una definición de iniciativa para realizar un seguimiento del cumplimiento para varios recursos
• Resolución de un recurso que no cumpla o que sea denegado
• Implementar una nueva directiva en toda la organización

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Asignación de una directiva

El primer paso para aplicar cumplimientos con Azure Policy es asignar una definición de directiva. Una definición de directiva precisa en qué condiciones se aplica una directiva y qué efecto debe tener. En este ejemplo, asigne la definición de directiva integrada llamada Heredar una etiqueta del grupo de recursos si falta para agregar la etiqueta especificada con su valor del grupo de recursos primario a los recursos nuevos o actualizados a los que les falta la etiqueta.

1. Vaya a Azure Portal para asignar directivas. Busque y seleccione Directiva.

2. Seleccione Asignaciones en el panel izquierdo de la página de Azure Policy. Una asignación es una directiva que se asignó para que se lleve a cabo dentro de un ámbito específico.
   

3. Seleccione Asignar directiva en la parte superior de la página Policy - Asignaciones.

4. En la página Asignar directiva y en la pestaña Aspectos básicos, seleccione los puntos suspensivos y seleccione una suscripción o un grupo de administración como Ámbito. Opcionalmente, seleccione un grupo de recursos. Un ámbito determina en qué recursos o agrupación de recursos se implementa la asignación de directiva. Después, haga clic en Seleccionar en la parte inferior de la página Ámbito. En este ejemplo se usa la suscripción de Contoso. Su suscripción variará.
5. Los recursos se pueden excluir según el ámbito. Las exclusiones comienzan en un nivel inferior al nivel del ámbito. Las exclusiones son opcionales, así que déjelas en blanco por ahora.
   
6. Seleccione los puntos suspensivos de Definición de directiva para abrir la lista de definiciones disponibles. Puede filtrar el campo Tipo de la definición de directiva por Integrada para verlas todas y leer sus descripciones.
7. Seleccione Heredar una etiqueta del grupo de recursos si falta. Si no la encuentra inmediatamente, escriba heredar una etiqueta en el cuadro de búsqueda y, después, presione ENTRAR o haga clic fuera del cuadro de búsqueda. Haga clic en Seleccionar en la parte inferior de la página Definiciones disponibles después de encontrar y seleccionar la definición de directiva.

8. Nombre de asignación se rellena automáticamente con el nombre de directiva seleccionado, pero puede cambiarlo. En este ejemplo, deje Heredar una etiqueta del grupo de recursos si falta. También puede agregar una Descripción opcional. La descripción ofrece detalles sobre esta asignación de directiva.
9. Deje Cumplimiento de directivas como Habilitado. Cuando esta Deshabilitado, esta configuración permite probar el resultado de la directiva sin desencadenar el efecto. Para más información, consulte Modo de cumplimiento.
10. Asignado por: se rellena automáticamente en función de quién ha iniciado sesión. Este campo es opcional, así que se pueden especificar valores personalizados.
    
11. Seleccione la pestaña Parámetros en la parte superior del asistente.
    
12. En Nombre de etiqueta, escriba Entorno.
    
13. Seleccione la pestaña Corrección en la parte superior del asistente.
    
14. Deje sin marcar Crear una tarea de corrección. Este cuadro permite crear una tarea para modificar los recursos existentes, además de los recursos nuevos o actualizados.
    
15. La casilla Crear una identidad administrada se activa automáticamente, ya que esta definición de directiva usa el efecto modify. Permisos se establece automáticamente en Colaborador según la definición de directiva. Para obtener más información, consulte las identidades administradas y cómo funciona la seguridad de corrección.
    
16. Seleccione la pestaña Non-compliance messages (Mensajes de no cumplimiento) en la parte superior del asistente.
    
17. Establezca Non-compliance message (Mensaje de no cumplimiento) enThis resource doesn't have the required tag (Este recurso no tiene la etiqueta necesaria). Este mensaje personalizado se muestra cuando se deniega un recurso o cuando hay recursos no compatibles durante la evaluación periódica.
    
18. Seleccione la pestaña Revisar y crear en la parte superior del asistente.
    
19. Revise las selecciones y, luego, seleccione Crear en la parte inferior de la página.