Ochrona zasobów za pomocą blokad zasobów

  • 7 min

Podczas ostatniej rozmowy Twój menedżer wspomniał, że z niektórych wystąpień omyłkowo usunięto krytyczne zasoby platformy Azure. Ponieważ w środowisku platformy Azure wystąpiła dezorganizacja, dobre intencje czyszczenia niepotrzebnych zasobów spowodowały przypadkowe usunięcie zasobów krytycznych dla innych systemów. Wiesz już, że na platformie Azure są dostępne blokady zasobu. Sądzisz, że możesz zapobiec występowaniu takich przypadków w przyszłości, i informujesz o tym menedżera. Przyjrzyjmy się, jak można użyć blokad zasobu do rozwiązania tego problemu.

Co to są blokady zasobu?

Blokady zasobów to ustawienie, które można zastosować do dowolnego zasobu w celu zablokowania modyfikacji lub usunięcia. Blokady zasobów można ustawić na Wartość Usuń lub Tylko do odczytu. Funkcja Delete zezwala na wszystkie operacje względem zasobu, ale blokuje możliwość jego usunięcia. Opcja Tylko do odczytu zezwala tylko na odczytywanie zasobu, blokując wszelkie próby modyfikacji lub usunięcia. Blokady zasobów można stosować do subskrypcji, grup zasobów i poszczególnych zasobów. Blokady zasobów są dziedziczone po zastosowaniu na wyższych poziomach.

Uwaga

Zastosowanie tylko do odczytu może prowadzić do nieoczekiwanych wyników, ponieważ niektóre operacje, które wydają się operacjami odczytu, rzeczywiście wymagają dodatkowych akcji. Na przykład nałożenie blokady Tylko do odczytu na konto magazynu uniemożliwia wszystkim użytkownikom wyświetlenie ich kluczy. Operacje listy kluczy są obsługiwane za pomocą żądania POST, ponieważ zwrócone klucze są dostępne dla operacji zapisu.

Po zastosowaniu blokady zasobu należy najpierw usunąć blokadę, aby wykonać to działanie. Wprowadzenie dodatkowego kroku przed zezwoleniem na podjęcie akcji na zasobie pomaga chronić zasoby przed przypadkowymi akcjami i pomaga chronić administratorów przed wykonywaniem czynności, których nie zamierza wykonywać. Blokady zasobu stosują się niezależnie od uprawnień RBAC. Nawet jeśli jesteś właścicielem zasobu, musisz nadal usunąć blokadę, zanim rzeczywiście będzie można wykonać zablokowane działanie.

Przyjrzyjmy się blokadzie zasobu w działaniu.

Tworzenie blokady zasobu

Przypomnij sobie grupę zasobów msftlearn-core-infrastructure-rg. Masz teraz dwie sieci wirtualne i konto magazynu. Uważasz, że te zasoby mają krytyczne znaczenie dla środowiska platformy Azure i chcesz mieć pewność, że nie zostaną one błędnie usunięte. Aby uniemożliwić usunięcie grupy zasobów i zawartych w niej zasobów, zastosuj blokadę zasobu do grupy zasobów.

  1. W przeglądarce internetowej przejdź do witryny Azure Portal, jeśli jeszcze tego nie zrobiono. W polu wyszukiwania na górnym pasku nawigacyjnym wyszukaj ciąg msftlearn-core-infrastructure-rg i wybierz grupę zasobów.

  2. W sekcji Ustawienia w menu po lewej stronie wybierz pozycję Blokady. Powinno być widoczne, że zasób obecnie nie ma blokad. Dodasz ją.

  3. Wybierz + Dodaj. Nadaj blokadzie nazwę BlokujUsuwanie, a dla pola Typ blokady wybierz opcję Usuwanie. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający witrynę Azure Portal podczas konfigurowania nowej blokady usuwania zasobu.

    Teraz masz blokadę zastosowaną do grupy zasobów, która uniemożliwia usunięcie grupy. Blokada jest dziedziczona przez wszystkie zasoby w grupie zasobów. Spróbujesz usunąć jedną z sieci wirtualnych, aby zobaczyć, co się stanie.

  4. Wróć do pozycji Przegląd i wybierz pozycję msftlearn-vnet1.

  5. W górnej części okienka Przegląd dla sieci msftlearn-vnet1 wybierz pozycję Usuń. Zostanie wyświetlony komunikat o błędzie informujący, że istnieje blokada zasobu, która uniemożliwia jego usunięcie.

  6. W sekcji Ustawienia w menu po lewej stronie wybierz pozycję Blokady. Sieć msftlearn-vnet1 ma blokadę dziedziczona z grupy zasobów.

  7. Wróć do grupy zasobów msftlearn-core-infrastructure-rg i przejdź do pozycji Blokady. Usuniesz blokadę, aby można było ją wyczyścić. Wybierz pozycję Usuń w blokadzie BlockDeletion .

Używanie blokad zasobów w praktyce

Wiesz już, jak blokady zasobów mogą chronić przed przypadkowym usunięciem. W celu usunięcia sieci wirtualnej trzeba było usunąć blokadę. Taka skoordynowana akcja pozwala upewnić się, że intencją jest rzeczywiście usunięcie lub zmodyfikowanie danego zasobu.

Należy używać blokad zasobu, aby chronić kluczowe elementy platformy Azure, których usunięcie lub zmodyfikowanie może mieć duży wpływ na infrastrukturę. Niektóre przykłady to obwody usługi ExpressRoute, sieci wirtualne, krytyczne bazy danych i kontrolery domeny. Oceń zasoby i zastosuj blokady, w których chcesz mieć dodatkową warstwę ochrony przed przypadkowymi akcjami.

Oczyszczanie zasobów

Teraz wyczyścimy utworzone zasoby. Należy usunąć utworzoną grupę zasobów oraz przypisanie zasad i definicję zasad.

  1. Przejdź do witryny Azure Portal w przeglądarce internetowej.

  2. W polu wyszukiwania na górnym pasku menu wyszukaj ciąg msftlearn-core-infrastructure-rg i wybierz grupę zasobów.

  3. W okienku Przegląd wybierz pozycję Usuń grupę zasobów. Wprowadź nazwę grupy zasobów msftlearn-core-infrastructure-rg, aby potwierdzić, a następnie wybierz pozycję Usuń. Wybierz ponownie pozycję Usuń , aby potwierdzić usunięcie.

    Uwaga

    Ponieważ przydzielone zasoby zostały usunięte z zawierającą grupą zasobów, nie będzie żadnych przypisań pozostawionych w tych zasadach. Zwykle w przypadku przypisywania zasad do zasobu można usunąć przypisanie bez usuwania tutaj związanego z nimi zasobu. W tym celu wybierz pozycję Przypisania, wybierz wielokropek (...) dla przypisania, a następnie wybierz pozycję Usuń przypisanie.

  4. W polu wyszukiwania wyszukaj pozycję Zasady i wybierz usługę Zasady .

  5. Wybierz pozycję Przypisania i usuń utworzone przypisanie.

  6. Wybierz pozycję Definicje i wyszukaj utworzone zasady: Wymuszaj tag na zasobie.

  7. Wybierz definicję ... i wybierz pozycję Usuń definicję. Wybierz Tak, aby potwierdzić usunięcie.