Partager via

Sécuriser vos ressources Test de charge Azure avec Azure Policy

  • Article

Azure Policy est un outil de gouvernance qui vous permet d’appliquer des normes organisationnelles et d’évaluer la conformité à grande échelle. Les stratégies vous permettent d’effectuer des audits, une application en temps réel et une correction de votre environnement Azure. Les résultats d’audit sont disponibles dans votre tableau de bord de conformité. Dans le tableau de bord, vous pouvez examiner quelles ressources et composants sont conformes et non conformes, et effectuer des actions de correction. Pour plus d’informations, reportez-vous à la rubrique Présentation du service Azure Policy.

Utilisez Azure Policy pour gérer vos ressources de test de charge dans des scénarios tels que :

  • Les tests privés
    • Lorsque vous souhaitez vous assurer que les tests de charge dans Test de charge Azure peuvent être créés uniquement en mode de trafic de test privé.
    • Lorsque vous souhaitez vous assurer que les ressources telles que les machines virtuelles, le groupe de sécurité réseau (NSG), l’équilibreur de charge Azure et l’adresse IP publique créées par le service Test de charge Azure sont créées uniquement dans un ensemble de réseaux virtuels de votre abonnement.
  • Clés gérées par le client
    • Vous souhaitez utiliser des clés gérées par le client (CMK) pour gérer le chiffrement au repos de votre ressource Test de charge Azure.

Types d’effets des stratégies et conseils

Lors de l’application d’une stratégie, vous pouvez déterminer son effet sur l’évaluation obtenue. Pour chaque définition de stratégie, vous pouvez choisir l’un des multiples effets. Par conséquent, l’application de la stratégie peut entraîner des comportements différents selon le type d’opération que vous évaluez. Voici généralement les effets des stratégies qui s’intègrent à Test de charge Azure :

  • Audit : quand l’effet d’une stratégie est défini sur Audit, celle-ci n’entraîne aucun changement cassant sur votre environnement. La stratégie vous avertit des ressources Test de charge Azure qui ne sont pas conformes aux définitions de stratégie dans une étendue spécifiée. Les composants sont marqués comme non conformes dans le tableau de bord de conformité de la stratégie. La valeur Audit est le paramètre par défaut si aucun effet de stratégie n’est sélectionné.

  • Refus : lorsque l’effet d’une stratégie est défini sur Deny, la stratégie bloque la création d’une nouvelle exécution de test qui ne respecte pas la définition de stratégie. Les exécutions de test non conformes existantes et les ressources ne sont pas affectées. Les capacités « Audit » continuent de fonctionner.

  • Désactivé : lorsque l’effet d’une stratégie est défini sur Disabled, la stratégie est évaluée, mais l’application ne prend pas effet. Cet effet est utile pour désactiver la stratégie pour une condition spécifique, mais pas pour toutes les conditions.

Définitions de stratégie intégrées

Les stratégies prédéterminées, appelées « intégrées », permettent une gouvernance de vos ressources de test de charge. Il n’est ainsi pas nécessaire d’écrire des stratégies personnalisées au format JSON pour appliquer les règles couramment utilisées qui sont associées aux meilleures pratiques de sécurité. Bien que les stratégies intégrées soient prédéterminées, vous devez parfois définir des paramètres. En définissant l’effet de la stratégie par exemple, vous pouvez auditer la ressource de test de charge avant d’appliquer une opération de refus pour éviter les pannes. Consultez Stratégies intégrées pour Test de charge Azure pour afficher les stratégies intégrées actuellement disponibles pour le test de charge Azure.

Activer et gérer une stratégie de test de charge

Sélectionner une définition de stratégie

  1. Connectez-vous au portail Azure. 1.Recherchez Stratégie dans la barre de recherche et sélectionnez Stratégie.

    Capture d’écran montrant la barre de recherche.

  2. Dans la fenêtre Stratégie, sélectionnez Définitions.

    Capture d’écran mettant en évidence l’option Définitions.

  3. Dans le filtre Catégorie, désélectionnez Sélectionner tout et sélectionnez Test de charge Azure.

    Capture d’écran du filtre Catégorie et la catégorie Test de charge Azure sélectionnée.

  4. Vous devriez maintenant voir toutes les stratégies disponibles pour Test de charge Azure. Assurez-vous de lire et de comprendre les conseils de stratégie et sélectionnez la stratégie que vous voulez attribuer à une étendue.

    Capture d’écran des stratégies disponibles.

Attribuer une stratégie à une étendue

  1. Sélectionnez une stratégie à appliquer. Dans cet exemple, la stratégie Les tests de charge utilisant Test de charge Azure ne doivent être exécutés que sur des points de terminaison privés au sein d’un réseau virtuel. Cliquez sur le bouton Attribuer dans le coin supérieur gauche.

    Cette capture d’écran montre la stratégie Les tests de charge utilisant Test de charge Azure ne doivent être exécutés que sur des points de terminaison privés au sein d’un réseau virtuel.

  2. Sélectionnez l’abonnement dans lequel vous voulez appliquer la stratégie.

    • Vous pouvez choisir de restreindre l’étendue à un seul groupe de ressources au sein d’un abonnement.

    • Si vous souhaitez appliquer la stratégie à l’ensemble de l’abonnement et exclure certains groupes de ressources, vous pouvez également configurer une liste d’exclusions.

    • Définissez le sélecteur d’application de stratégie sur Activé si vous voulez que l’effet de la stratégie (audit ou refuser) se produise ou sur Désactivé pour désactiver l’effet (audit ou refuser).

    Capture d’écran montrant où vous pouvez choisir de restreindre l’étendue à un seul groupe de ressources au sein d’un abonnement.

  3. Pour spécifier l’effet de stratégie, sélectionnez l’onglet Paramètres en haut de l’écran.

    1. Décochez l’option Afficher uniquement les paramètres qui nécessitent une entrée ou une révision.

    2. Sélectionnez l’effet de stratégie Audit, Refus ou Désactivé selon les instructions de stratégie.

    3. Sélectionnez le bouton Vérifier + Créer.

    Capture d’écran de l’onglet Paramètres dans lequel vous pouvez spécifier l’effet de stratégie.

Limites des fonctionnalités

  • La stratégie Les tests de charge utilisant Test de charge Azure ne doivent être exécutés que sur des points de terminaison privés au sein d’un réseau virtuel ne s’appliquent qu’aux tests de charge déclenchés après l’attribution de la stratégie. Si l’effet « audit » est sélectionné, les ressources Test de charge Azure avec des exécutions de test de charge qui ne respectent pas la stratégie s’affichent comme non conformes. Pour corriger ce problème, supprimez les exécutions de test qui violent la stratégie et réaffectez la stratégie.

  • Affecter une stratégie avec l’effet « refus » peut prendre entre 30 minutes (en moyenne) et une heure avant de commencer à refuser la création de ressources non conformes. Ce retard est dû aux scénarios suivants :

    • Une nouvelle stratégie est attribuée.
    • Une attribution de stratégie existante est modifiée.
    • Une nouvelle ressource Test de charge Azure est créée dans une étendue avec des stratégies existantes.

  • L’évaluation de stratégie des composants existants dans une ressource Test de charge Azure peut prendre jusqu’à une heure (une moyenne) ou jusqu’à deux heures avant que les résultats de conformité ne soient visibles dans le portail.

  • Si les résultats de conformité présentent le statut « Non démarré », cela peut être dû aux raisons suivantes :

    • L’évaluation de la stratégie n’est pas terminée. La latence d’évaluation initiale peut prendre jusqu’à deux heures.
    • Il n’existe aucune ressource Test de charge Azure dans l’étendue de l’attribution de stratégie.

Étapes suivantes