Zabezpieczanie zasobów Nexus przy użyciu usługi Azure Policy

Z tego artykułu dowiesz się, jak zabezpieczyć i zweryfikować stan zgodności zasobów Nexus przy użyciu usługi Azure Policy.

Zanim rozpoczniesz

Jeśli dopiero zaczynasz korzystać z usługi Azure Policy, skorzystaj z przydatnych zasobów, których możesz użyć do zapoznania się z usługą Azure Policy.

• Dokumentacja usługi Azure Policy
• Moduły interaktywnego uczenia: szkolenie usługi Azure Policy w witrynie Microsoft Learn

Opis definicji zasad i przypisań

• Definicje zasad: reguły, z którymi zasoby muszą być zgodne. Mogą być wbudowane lub niestandardowe.
• Przypisania: proces stosowania definicji zasad do zasobów.

Kroki wymuszania zabezpieczeń

1. Zapoznaj się z wbudowanymi zasadami: Przejrzyj wbudowane zasady związane z zasobami Nexus Bare Metal Machine (BMM) i klastrem obliczeniowym.
2. Dostosowywanie zasad: Dostosowywanie zasad w celu zaspokojenia określonych potrzeb zasobów.
3. Przypisanie zasad: Przypisz zasady za pośrednictwem witryny Azure Portal, zapewniając prawidłowy zakres.
4. Monitorowanie i zgodność: Regularnie monitoruj zgodność zasad przy użyciu narzędzi platformy Azure.
5. Rozwiązywanie problemów: rozwiąż typowe problemy występujące podczas przypisywania zasad.

Przewodniki wizualne i przykłady

• Przypisywanie zasad krok po kroku: przypisywanie zasad w witrynie Azure Portal
• Przewodnik rozwiązywania problemów: typowe problemy z przypisywaniem zasad

Wymagania wstępne

• Co najmniej jeden lokalny zasób Nexus połączony z platformą Azure.

  Uwaga

  Operator Nexus nie wymaga zainstalowania dodatku usługi Azure Policy dla połączonego klastra Undercloud Kubernetes lub zasobów maszyny połączonej BMM, ponieważ rozszerzenia są automatycznie instalowane podczas wdrażania klastra.

• Konto użytkownika w subskrypcji z odpowiednią rolą:

  • Współautor lub właściciel zasad zasobów może wyświetlać, tworzyć, przypisywać i wyłączać zasady.
  • Współautor lub Czytelnik może wyświetlać zasady i przypisania zasad.

  Lista kontrolna przygotowania:

  • Zapoznaj się z interfejsem wiersza polecenia platformy Azure lub programem PowerShell na potrzeby zarządzania zasadami.
  • Przejrzyj wymagania organizacji dotyczące zabezpieczeń i zgodności.
  • Zidentyfikuj określone funkcje usługi Azure Policy odpowiednie dla Twoich potrzeb.

  Uwaga

  Zasoby infrastruktury zarządzanej przez operator Nexus mogą nie być zgodne z niestandardowymi zasadami wewnętrznymi opartymi na wzorcach zarządzania i wydawania platformy. Ponadto zasady punktu odniesienia platformy Azure, w których wymagane są dane wejściowe (np. lista autoryzowanych portów) lub oczekiwania dotyczące zainstalowanych rozszerzeń (np. klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes). Zasoby zarządzane na platformie Nexus, takie jak Menedżer klastra, nie są przeznaczone do bezpośredniej interakcji z klientem ani nie obsługują wdrożonych rozszerzeń ani integracji klientów.

Zabezpieczanie zasobów programu Nexus BMM przy użyciu usługi Azure Policy

Usługa Operator Nexus oferuje wbudowaną definicję zasad zalecaną do przypisania do zasobów Nexus BMM. Ta definicja zasad nosi nazwę [wersja zapoznawcza]: Maszyny obliczeniowe Nexus powinny spełniać punkt odniesienia zabezpieczeń. Ta definicja zasad służy do zapewnienia, że zasoby Nexus BMM są skonfigurowane z ustawieniami zabezpieczeń najlepszych rozwiązań branżowych.

• [Wersja zapoznawcza]: Maszyny obliczeniowe Nexus powinny spełniać punkt odniesienia zabezpieczeń

Zabezpieczanie zasobów klastra obliczeniowego Nexus Kubernetes przy użyciu usługi Azure Policy

Usługa Operator Nexus oferuje wbudowaną definicję inicjatywy zalecaną do przypisania do zasobów klastra obliczeniowego Nexus Kubernetes. Ta definicja inicjatywy nosi nazwę [wersja zapoznawcza]: klaster obliczeniowy Nexus powinien spełniać punkt odniesienia zabezpieczeń. Ta definicja inicjatywy służy do zapewnienia, że zasoby klastra obliczeniowego Nexus Kubernetes są skonfigurowane przy użyciu ustawień zabezpieczeń najlepszych rozwiązań branżowych.

• [Wersja zapoznawcza]: Klaster obliczeniowy Nexus powinien spełniać punkt odniesienia zabezpieczeń

Dostosowywanie zasad

• Dostosuj zasady, biorąc pod uwagę unikatowe aspekty określonych zasobów.
• Aby uzyskać wskazówki, zapoznaj się z tematem Niestandardowe definicje zasad.

Stosowanie i weryfikowanie zasad dla zasobów Nexus

Niezależnie od tego, czy zabezpieczasz zasoby Nexus BMM, czy klastry obliczeniowe Nexus Kubernetes, proces stosowania i weryfikowania zasad jest podobny. Oto uogólnione podejście:

1. Zidentyfikuj odpowiednie zasady:

   • W przypadku zasobów Nexus Bare Metal Machine należy wziąć pod uwagę zalecane [wersja zapoznawcza]: Maszyny obliczeniowe Nexus powinny spełniać zasady punktu odniesienia zabezpieczeń.
   • W przypadku klastrów obliczeniowych Nexus Kubernetes rozważ zalecane [wersja zapoznawcza]: klaster obliczeniowy Nexus powinien spełniać inicjatywę punktu odniesienia zabezpieczeń.

2. Przypisz zasady:

   • Użyj witryny Azure Portal, aby przypisać te zasady do zasobów Nexus.
   • Upewnij się, że odpowiedni zakres przypisania, który może znajdować się na poziomie subskrypcji, grupy zasobów lub poszczególnych zasobów.
   • W przypadku zasad niestandardowych postępuj zgodnie z wytycznymi w temacie Tworzenie niestandardowych definicji zasad.

3. Weryfikowanie aplikacji zasad:

   • Po przypisaniu sprawdź, czy zasady są prawidłowo stosowane i skutecznie monitorują zgodność.
   • Korzystaj z narzędzi i pulpitów nawigacyjnych zgodności platformy Azure do ciągłego monitorowania i raportowania.
   • Aby uzyskać szczegółowe instrukcje weryfikacji, zobacz Weryfikowanie usługi Azure Policy.

Takie podejście zapewnia, że wszystkie zasoby Operatora Nexus, niezależnie od ich typu, są zabezpieczone i zgodne z zasadami organizacji, korzystając z zaawansowanych możliwości usługi Azure Policy.