Azure Policy를 사용해야 하는 경우
설명한 대로 Azure Policy는 정책 정의를 만들고 할당하고 관리하는 데 사용하는 서비스입니다. 일반적으로 정책은 규정 준수, 제어 또는 스케일링 요구를 해결합니다.
이러한 정책 정의는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스를 구현하는 데 사용됩니다. 생성되는 모든 리소스에 대한 구성 요구 사항을 지정하고 다음 조치 중 한 가지를 취할 수 있습니다.
- 규정을 준수하지 않는 리소스를 확인합니다.
- 리소스 생성을 차단합니다.
- 필요한 구성을 추가합니다.
Azure Policy를 사용할 수 있는 예제 시나리오:
비용 제어
- 만들 수 있는 가상 머신의 SKU를 제한합니다.
- 리소스 비용이 더 높은 Azure 지역을 사용하지 않도록 합니다.
- 비용을 늘릴 수 있는 Azure Marketplace의 솔루션 사용을 제한합니다.
보안
- Azure MySQL 데이터베이스에 SSL(Secure Sockets Layer) 연결을 적용합니다.
- Linux 컴퓨터에서 인증에 SSH 키를 사용하도록 요구합니다.
- Windows 컴퓨터가 Windows 방화벽 속성에 대한 요구 사항을 충족하는지 확인합니다.
Monitoring
- 활동 로그는 1년 이상 보존해야 합니다.
- 나열된 가상 머신 이미지에 대해 Log Analytics 에이전트를 사용하도록 설정해야 합니다.
- 특정 보안 운영에 대해 활동 로그 경고가 있어야 합니다.
Backup
- 모든 가상 머신에 Azure Backup이 사용하도록 설정되어 있는지 확인합니다.
- Azure Database for MySQL 또는 PosgreSQL에서 지역 복제 백업이 사용하도록 설정되어 있는지 확인합니다.
- Azure SQL Database에 대해 장기 지역 중복 백업이 사용하도록 설정되어 있는지 확인합니다.
거버넌스
- 리소스에 대한 적절한 태그 사용과 태그 적용을 확인합니다.
- 재부팅이 보류 중인 가상 머신을 감사합니다.
- 조직 규정 준수 요구 사항을 관리합니다. TLS/SSL 인증서 수명 작업이 해당 수명 중 특정 백분율로 트리거되는지, 만료 전 설정된 기간(일 수)로 트리거되는지를 지정합니다.
대규모 작업
- 모든 가상 머신에 Azure Monitor 에이전트를 배포합니다.
- 가상 머신에 Azure Backup을 사용하도록 설정합니다.
- 모든 Azure SQL Database 인스턴스에 대해 감사가 사용하도록 설정되어 있는지 확인합니다.
- 스토리지 계정에 대한 HTTPS(보안 연결)를 확인합니다.
- 가상 머신의 인터넷에서 인바운드 원격 데스크톱 또는 SSH 연결을 방지합니다.
Azure Policy 구현 고려 사항
성공적인 Azure Policy 구현을 위해서는 다음 네 가지 주요 사항을 고려해야 합니다.
- 평가
- 테스트
- 배포
- 확인
평가에서는 환경의 상태에 대한 개요를 확인합니다. 그런 다음, 조치를 취하기 위해 정책을 통해 환경을 변경하기 전에 환경을 감사하기 위한 정책을 할당합니다. 메뉴의 개요 옵션을 사용하여 이 기능을 이용할 수 있습니다.
환경을 변경하는 정책을 만들기 전에 모든 항목을 테스트해야 합니다.
정책 구문, 수행할 작업, 사용 중인 범위(관리 그룹, 구독, 리소스 그룹)의 유효성을 검사합니다. 모든 정책 포함, 제외, 예외의 유효성을 검사합니다.
처음 배포하는 경우에는 제어된 환경이나 전용 구독에 대해 정책을 실행할 것인지 확인합니다. Azure Policy 할당은 즉시 적용되지 않습니다. 약 30분 정도인 정책 평가 지연이 있습니다. 또한 Azure Policy 엔진이 할당된 범위 내의 정책 규칙에 대해 모든 리소스를 평가해야 하므로 리소스를 감사하는 데 다소 시간이 걸릴 수 있습니다.
마지막으로 규정 준수를 사용하여 정책 할당의 결과를 확인합니다.
