Kiedy należy używać usługi Azure Policy

  • 1 minuta

Jak wspomniano, usługa Azure Policy to usługa używana do tworzenia, przypisywania definicji zasad i zarządzania nimi. Ogólnie rzecz biorąc, zasady odpowiadają na potrzeby zgodności, kontroli lub skalowania .

Te definicje zasad służą do implementowania ładu na potrzeby spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania. Możesz określić wymagania dotyczące konfiguracji dla wszystkich utworzonych zasobów i wykonać jedną z następujących akcji:

  • Zidentyfikuj zasoby, które nie są zgodne.
  • Blokuj tworzenie zasobów.
  • Dodaj wymaganą konfigurację.

Przykładowe scenariusze, w których można użyć usługi Azure Policy:

  • Kontrola kosztów

    • Ogranicz jednostki SKU maszyn wirtualnych, które można utworzyć.
    • Unikaj korzystania z regionów świadczenia usługi Azure, w których koszt zasobu jest wyższy.
    • Ogranicz użycie rozwiązań z witryny Azure Marketplace, które mogą zwiększyć koszty.

  • Bezpieczeństwo

    • Wymuszanie połączeń secure Sockets Layer (SSL) z bazą danych Azure MySQL.
    • Upewnij się, że uwierzytelnianie na maszynach z systemem Linux wymaga kluczy SSH.
    • Upewnij się, że maszyny z systemem Windows spełniają wymagania dotyczące właściwości zapory systemu Windows.

  • Monitorowanie

    • Dzienniki aktywności powinny być przechowywane przez co najmniej jeden rok.
    • Agent usługi Log Analytics powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych.
    • Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń.

  • Tworzenie kopii zapasowych

    • Upewnij się, że wszystkie maszyny wirtualne mają włączoną usługę Azure Backup.
    • Upewnij się, że w usłudze Azure Database for MySQL lub PostgreSQL włączono geograficznie nadmiarową kopię zapasową.
    • Upewnij się, że długoterminowa kopia zapasowa geograficznie nadmiarowa jest włączona w usłudze Azure SQL Database.

  • Nadzór

    • Upewnij się, że odpowiednie użycie tagów i wymuszanie tagów w zasobach.
    • Przeprowadź inspekcję maszyn wirtualnych z oczekującym ponownym uruchomieniem.
    • Zarządzanie wymaganiami dotyczącymi zgodności organizacji. Określ, czy akcja okresu istnienia certyfikatu TLS/SSL jest wyzwalana w określonym procentze jego okresu istnienia, czy na określoną liczbę dni przed wygaśnięciem.

  • Akcje na dużą skalę

    • Wdróż agenta usługi Azure Monitor na wszystkich maszynach wirtualnych.
    • Włącz usługę Azure Backup dla maszyn wirtualnych.
    • Upewnij się, że inspekcja jest włączona dla wszystkich wystąpień usługi Azure SQL Database.
    • Upewnij się, że bezpieczne połączenia (HTTPS) z kontami magazynu.
    • Uniemożliwiaj przychodzące połączenia pulpitu zdalnego lub SSH z Internetu na maszynach wirtualnych.

Zagadnienia dotyczące implementacji usługi Azure Policy

Poniżej przedstawiono cztery ważne zagadnienia dotyczące pomyślnej implementacji usługi Azure Policy:

  • Ocena
  • Test
  • Wdróż
  • Zaznacz

Ocena to miejsce, w którym znajdziesz przegląd stanu środowiska. Następnie przed wprowadzeniem zmian w środowisku za pomocą zasad w celu wykonania akcji przypisz zasady tylko do inspekcji środowiska. Aby uzyskać tę funkcję, możesz użyć opcji Przegląd z menu.

Przed utworzeniem zasad, które wprowadzają zmiany w środowisku, upewnij się, że wszystko jest testowe.

Zweryfikuj składnię zasad, podjęte akcje i zakres używany (grupy zarządzania, subskrypcje i grupy zasobów). Zweryfikuj wszystkie dołączania, wykluczenia i wykluczenia zasad.

W przypadku początkowego wdrożenia upewnij się, że zasady są uruchamiane względem kontrolowanego środowiska lub dedykowanej subskrypcji. Przypisania usługi Azure Policy nie wchodzą w życie natychmiast. Istnieje opóźnienie oceny zasad, czyli około 30 minut. Inspekcja zasobów może zająć trochę czasu, ponieważ aparat usługi Azure Policy musi ocenić wszystkie zasoby względem reguł zasad w przypisanym zakresie.

Na koniec użyj pozycji Zgodność , aby sprawdzić wyniki przypisań zasad.

Ekran ze zgodnością usługi Azure Policy.