Quando usare Criteri di Azure
Come accennato, il servizio Criteri di Azure consente di creare, assegnare e gestire le definizioni dei criteri. In generale, i criteri soddisfano le esigenze in termini di conformità, controllo o scalabilità.
Queste definizioni dei criteri vengono usate per implementare la governance in termini di coerenza delle risorse, conformità alle normative, sicurezza, costi e gestione. È possibile specificare i requisiti di configurazione per tutte le risorse create ed eseguire una delle azioni seguenti:
- Identificare le risorse non conformi.
- Impedire la creazione delle risorse.
- Aggiungere la configurazione necessaria.
Di seguito sono riportati alcuni scenari esemplificativi in cui è possibile usare Criteri di Azure:
Controllo dei costi
- Limitare gli SKU delle macchine virtuali che è possibile creare.
- Evitare di usare le aree di Azure con costi superiori per le risorse.
- Limitare l'utilizzo delle soluzioni di Azure Marketplace che possono comportare costi più elevati.
Sicurezza
- Applicare connessioni SSL (Secure Sockets Layer) al database MySQL di Azure.
- Assicurarsi che l'autenticazione nei computer Linux richieda chiavi SSH.
- Verificare che i computer Windows soddisfino i requisiti per Proprietà Windows Firewall.
Monitoraggio
- I log attività devono essere conservati per almeno un anno.
- L'agente di Log Analytics deve essere abilitato per le immagini delle macchine virtuali elencate.
- Per operazioni per la sicurezza specifiche deve esistere un avviso del log attività.
Backup
- Assicurarsi che Backup di Azure sia abilitato in tutte le macchine virtuali.
- Assicurarsi che il backup con ridondanza geografica sia abilitato in Database di Azure per MySQL o PosgreSQL.
- Assicurarsi che il backup con ridondanza geografica a lungo termine sia abilitato in Database SQL di Azure.
Governance
- Verificare l'uso corretto dei tag e l'applicazione dei tag nelle risorse.
- Controllare le macchine virtuali con un riavvio in sospeso.
- Gestire i requisiti di conformità dell'organizzazione. Specificare se un'azione di durata del certificato TLS/SSL viene attivata a una percentuale specifica della durata o a un numero impostato di giorni prima della scadenza.
Azioni su larga scala
- Distribuire l'agente di Monitoraggio di Azure in tutte le macchine virtuali.
- Abilitare Backup di Azure per le macchine virtuali.
- Verificare l'abilitazione del controllo per tutte le istanze di database SQL di Azure.
- Garantire connessioni sicure (HTTPS) per gli account di archiviazione.
- Impedire connessioni Remote Desktop o SSH in ingresso da Internet nelle macchine virtuali.
Considerazioni sull'implementazione di Criteri di Azure
Di seguito sono riportate quattro considerazioni importanti per un'implementazione corretta di Criteri di Azure:
- Valutazione
- Test
- Distribuisci
- Segno di spunta
La valutazione consente di ottenere una panoramica sullo stato dell'ambiente. Prima di apportare modifiche all'ambiente tramite i criteri ed eseguire le azioni desiderate, è quindi possibile assegnare un criterio soltanto per controllare l'ambiente. A tal scopo, è possibile usare l'opzione Panoramica dal menu.
Prima di creare criteri che modificano l'ambiente, assicurarsi di testare tutti gli elementi.
Convalidare la sintassi dei criteri, le azioni che vengono eseguite e l'ambito in uso (gruppi di gestione, sottoscrizioni e gruppi di risorse). Convalidare tutte le inclusioni, le esclusioni e le esenzioni dei criteri.
Per la distribuzione iniziale, assicurarsi di eseguire i criteri in un ambiente controllato o in una sottoscrizione dedicata. Le assegnazioni dei Criteri di Azure non vengono applicate immediatamente. ma subiscono un ritardo di circa 30 minuti per la valutazione. Inoltre, il controllo delle risorse potrebbe richiedere del tempo, dal momento che il motore di Criteri di Azure deve valutare tutte le risorse rispetto alle regole dei criteri all'interno dell'ambito assegnato.
Infine, usare Conformità per controllare i risultati delle assegnazioni dei criteri.
