Przed rozważeniem wdrożenia ważne jest, aby organizacja wprowadziła zabezpieczenia. Za pomocą zasad platformy Azure można zaimplementować ład na potrzeby spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.
Tło
Podstawową zasadą analizy w skali chmury jest ułatwienie tworzenia, odczytywania, aktualizowania i usuwania zasobów zgodnie z potrzebami. Jednak przy jednoczesnym daniu nieograniczonego dostępu do zasobów deweloperom może zwiększyć elastyczność, może to również prowadzić do niezamierzonych konsekwencji kosztów. Rozwiązaniem tego problemu jest zarządzanie dostępem do zasobów. Ten ład to ciągły proces zarządzania, monitorowania i inspekcji korzystania z zasobów platformy Azure w celu spełnienia celów i wymagań organizacji.
Strefa docelowa Rozpoczynanie pracy z platformą Cloud Adoption Framework w skali przedsiębiorstwa korzysta już z tej koncepcji. Analiza w skali chmury dodaje niestandardowe zasady platformy Azure, aby opierać się na tych standardach. Standardy są następnie stosowane do stref docelowych zarządzania danymi i stref docelowych danych.
Diagram przedstawiający sposób działania ładu platformy Azure.
Usługa Azure Policy jest ważna podczas zapewniania bezpieczeństwa i zgodności w ramach analizy w skali chmury. Pomaga wymuszać standardy i oceniać zgodność na dużą skalę. Zasady mogą służyć do oceniania zasobów na platformie Azure i porównywania ich z żądanymi właściwościami. Kilka zasad lub reguł biznesowych można zgrupować w inicjatywę. Poszczególne zasady lub inicjatywy można przypisać do różnych zakresów na platformie Azure. Te zakresy mogą być grupami zarządzania, subskrypcjami, grupami zasobów lub poszczególnymi zasobami. Przypisanie dotyczy wszystkich zasobów w zakresie, a podzakresy można wykluczyć z wyjątkami w razie potrzeby.
Uwagi dotyczące projektowania
Zasady platformy Azure w analizie w skali chmury zostały opracowane z uwzględnieniem następujących zagadnień projektowych:
Zasady platformy Azure umożliwiają implementowanie ładu i wymuszanie reguł spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.
Użyj dostępnych wstępnie utworzonych zasad, aby zaoszczędzić czas.
Przypisz zasady do najwyższego poziomu możliwego w drzewie grup zarządzania, aby uprościć zarządzanie zasadami.
Ogranicz przypisania usługi Azure Policy w zakresie głównej grupy zarządzania, aby uniknąć zarządzania za pomocą wykluczeń w dziedziczonych zakresach.
W razie potrzeby należy używać tylko wyjątków zasad i wymagają zatwierdzenia.
Zasady platformy Azure na potrzeby analizy w skali chmury
Usługa Azure Policy powinna być podstawowym instrumentem zespołu platformy Azure (Data) w celu zapewnienia zgodności zasobów w strefie docelowej zarządzania danymi, strefach docelowych danych i innych strefach docelowych w dzierżawie organizacji. Ta funkcja platformy powinna służyć do wprowadzania barier zabezpieczających i wymuszania przestrzegania ogólnej zatwierdzonej konfiguracji usługi w odpowiednim zakresie grupy zarządzania. Zespoły platformy mogą używać usługi Azure Policy do wymuszania prywatnych punktów końcowych dla wszystkich kont magazynu hostowanych w środowisku platformy danych lub wymuszania szyfrowania TLS 1.2 podczas przesyłania wszystkich połączeń z kontami magazynu. Gdy jest poprawnie wdrożona, zasady te zabraniają zespołom aplikacji danych hostowania usług w stanie niespełniającym zgodności w odpowiednim zakresie dzierżawy.
Odpowiedzialne zespoły IT powinny korzystać z tej funkcji platformy, aby rozwiązać problemy związane z zabezpieczeniami i zgodnością oraz otworzyć podejście samoobsługowe w strefach docelowych (danych).
Analiza w skali chmury zawiera niestandardowe zasady związane z zarządzaniem zasobami i kosztami, uwierzytelnianiem, szyfrowaniem, izolacją sieci, rejestrowaniem, odpornością i nie tylko.
Zasady powinny być wyświetlane tylko jako wskazówki i można je stosować w zależności od wymagań biznesowych. Zasady powinny być zawsze stosowane do najwyższego poziomu, a w większości przypadków będzie to grupa zarządzania.
Odmów prywatnych punktów końcowych zasobom spoza dzierżawy i subskrypcji firmy Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint
Izolacja sieci
Wdraża konfiguracje grupy strefy Prywatna strefa DNS według parametru prywatnego punktu końcowego usługi. Służy do wymuszania konfiguracji do pojedynczej strefy Prywatna strefa DNS.
DiagnosticSettings-{Service}-LogAnalytics
Rejestrowanie
Wysyłanie ustawień diagnostycznych dla usługi Azure Cosmos DB do obszaru roboczego usługi Log Analytics.
Storage
Nazwa zasady
Obszar zasad
opis
Dołączanie szyfrowania magazynu
Szyfrowanie
Wymuszanie szyfrowania dla kont magazynu.
Deny-Storage-AllowBlobPublicAccess
Izolacja sieci
Wymusza brak publicznego dostępu do wszystkich obiektów blob ani kontenerów na koncie magazynu.
Deny-Storage-ContainerDeleteRetentionPolicy
Odporność
Wymuś zasady przechowywania usuwania kontenera większe niż siedem dni dla konta magazynu.
Deny-Storage-CorsRules
Izolacja sieci
Odmów reguł cors dla konta magazynu.
Deny-Storage-InfrastructureEncryption
Szyfrowanie
Wymuszanie szyfrowania infrastruktury (podwójnej) dla kont magazynu.
Deny-Storage-MinimumTlsVersion
Szyfrowanie
Wymusza minimalną wersję protokołu TLS 1.2 dla konta magazynu.
Deny-Storage-NetworkAclsBypass
Izolacja sieci
Wymusza obejście sieci do żadnej dla konta magazynu.
Deny-Storage-NetworkAclsIpRules
Izolacja sieci
Wymusza reguły adresów IP sieci dla konta magazynu.
Deny-Storage-NetworkAclsVirtualNetworkRules
Izolacja sieci
Odrzuca reguły sieci wirtualnej dla konta magazynu.
Deny-Storage-Sku
Zarządzanie zasobami
Wymusza jednostki SKU konta magazynu.
Deny-Storage-SupportsHttpsTrafficOnly
Szyfrowanie
Wymusza ruch https dla konta magazynu.
Deploy-Storage-BlobServices
Zarządzanie zasobami
Wdróż domyślne ustawienia usług blob services dla konta magazynu.
Deny-Storage-RoutingPreference
Izolacja sieci
Rodzaj odmowy magazynu
Zarządzanie zasobami
Deny-Storage-NetworkAclsDefaultAction
Izolacja sieci
Key Vault
Nazwa zasady
Obszar zasad
opis
Audit-KeyVault-PrivateEndpointId
Izolacja sieci
Przeprowadź inspekcję publicznych punktów końcowych utworzonych w innych subskrypcjach magazynu kluczy.
Deny-KeyVault-NetworkAclsBypass
Izolacja sieci
Wymusza obejście reguł poziomu sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsDefaultAction
Izolacja sieci
Wymusza domyślną akcję poziomu listy ACL sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsIpRules
Izolacja sieci
Wymusza reguły adresów IP sieci dla magazynu kluczy.
Deny-KeyVault-NetworkAclsVirtualNetworkRules
Izolacja sieci
Odrzuca reguły sieci wirtualnej dla magazynu kluczy.
Deny-KeyVault-PurgeProtection
Odporność
Wymusza ochronę przed przeczyszczeniem magazynu kluczy.
Deny-KeyVault-SoftDelete
Odporność
Wymusza usuwanie nietrwałe z minimalną liczbą dni przechowywania magazynu kluczy.
Deny-KeyVault-TenantId
Zarządzanie zasobami
Wymuszanie identyfikatora dzierżawy dla magazynu kluczy.
Azure Data Factory
Nazwa zasady
Obszar zasad
opis
Append-DataFactory-IdentityType
Uwierzytelnianie
Wymusza użycie tożsamości przypisanej przez system dla fabryki danych.
Deny-DataFactory-ApiVersion
Zarządzanie zasobami
Nie zezwala na starą wersję interfejsu API dla fabryki danych w wersji 1.