Opis przeznaczenia usługi Azure Policy
Jak upewnić się, że zasoby pozostają zgodne? Czy można otrzymywać alerty, jeśli konfiguracja zasobu uległa zmianie?
Azure Policy to usługa platformy Azure, która umożliwia tworzenie i przypisywanie zasad kontrolujących lub przeprowadzających inspekcję zasobów oraz zarządzanie nimi. Te zasady wymuszają różne reguły w konfiguracjach zasobów, aby te konfiguracje były zgodne ze standardami firmy.
Jak usługa Azure Policy definiuje zasady?
Usługa Azure Policy umożliwia definiowanie indywidualnych zasad i grup powiązanych zasad, znanych jako inicjatywy. Usługa Azure Policy ocenia zasoby i wyróżnia te, które nie są zgodne z utworzonymi zasadami. Usługa Azure Policy może również uniemożliwiać tworzenie niezgodnych zasobów.
Zasady platformy Azure można ustawić na każdym poziomie, umożliwiając ustawianie zasad dla określonego zasobu, grupy zasobów, subskrypcji itd. Ponadto zasady platformy Azure są dziedziczone, więc jeśli ustawisz zasady na wysokim poziomie, zostaną one automatycznie zastosowane do wszystkich grup należących do elementu nadrzędnego. Jeśli na przykład ustawisz usługę Azure Policy w grupie zasobów, wszystkie zasoby utworzone w tej grupie zasobów będą automatycznie otrzymywać te same zasady.
Usługa Azure Policy zawiera wbudowane definicje zasad i inicjatyw dla magazynu, sieci, obliczeń, usługi Security Center i monitorowania. Jeśli na przykład zdefiniujesz zasady, które zezwalają na użycie tylko określonego rozmiaru maszyn wirtualnych w danym środowisku, te zasady są wywoływane podczas tworzenia nowej maszyny wirtualnej i za każdym razem, gdy zmieniasz rozmiar istniejących maszyn wirtualnych. Usługa Azure Policy ocenia i monitoruje również wszystkie bieżące maszyny wirtualne w danym środowisku, w tym maszyny wirtualne, które zostały utworzone przed utworzeniem zasad.
W niektórych przypadkach usługa Azure Policy może automatycznie korygować niezgodne zasoby i konfiguracje, aby zapewnić integralność stanu zasobów. Jeśli na przykład wszystkie zasoby w określonej grupie zasobów powinny być oznakowane tagiem AppName i wartością "SpecialOrders", usługa Azure Policy automatycznie zastosuje ten tag, jeśli go brakuje. Jednak nadal zachowujesz pełną kontrolę nad środowiskiem. Jeśli masz określony zasób, którego nie chcesz automatycznie naprawić usługi Azure Policy, możesz oznaczyć ten zasób jako wyjątek — a zasady nie będą automatycznie naprawiać tego zasobu.
Usługa Azure Policy integruje się również z usługą Azure DevOps, stosując wszelkie zasady potoku ciągłej integracji i dostarczania, które odnoszą się do faz przed wdrożeniem i po wdrożeniu aplikacji.
Co to są inicjatywy usługi Azure Policy?
Inicjatywa usługi Azure Policy to sposób grupowania powiązanych zasad. Definicja inicjatywy zawiera wszystkie definicje zasad, aby ułatwić śledzenie stanu zgodności na potrzeby ogólnego celu.
Na przykład usługa Azure Policy zawiera inicjatywę o nazwie Włącz monitorowanie w usłudze Azure Security Center. Jego celem jest monitorowanie wszystkich dostępnych zaleceń dotyczących zabezpieczeń dla wszystkich typów zasobów platformy Azure w usłudze Azure Security Center.
W ramach tej inicjatywy zawarte są następujące definicje zasad:
- Monitoruj niezaszyfrowaną bazę danych SQL Database w usłudze Security Center . Te zasady monitorują niezaszyfrowane bazy danych SQL i serwery.
- Monitoruj luki w zabezpieczeniach systemu operacyjnego w usłudze Security Center Te zasady monitorują serwery, które nie spełniają skonfigurowanych punktów odniesienia luk w zabezpieczeniach systemu operacyjnego.
- Monitoruj brak programu Endpoint Protection w usłudze Security Center . Te zasady są monitorowane dla serwerów, które nie mają zainstalowanego agenta ochrony punktu końcowego.
W rzeczywistości inicjatywa Włącz monitorowanie w usłudze Azure Security Center zawiera ponad 100 oddzielnych definicji zasad.