Quando usar o Azure Policy
Conforme mencionado anteriormente, o Azure Policy é um serviço que você pode usar para criar, atribuir e gerenciar definições de políticas. Em geral, as políticas abordam as necessidades de conformidade, controle ou escala.
Essas definições de política são usadas para implementar governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. Você pode especificar os requisitos de configuração para todos os recursos que são criados e executar uma destas ações:
- Identificar os recursos que estão fora de conformidade.
- Bloquear a criação de recursos.
- Adicionar a configuração necessária.
Exemplos de cenários em que você pode usar o Azure Policy:
Controle de custo
- Restrinja os SKUs das máquinas virtuais que podem ser criadas.
- Evite usar regiões do Azure em que o custo de um recurso é maior.
- Restrinja o uso de soluções do Azure Marketplace que podem aumentar seus custos.
Segurança
- Imponha conexões por protocolo SSL ao Banco de Dados do Azure para MySQL.
- Garanta que a autenticação nos computadores Linux exija chaves SSH.
- Garanta que os computadores Windows atendam aos requisitos de Propriedades do Firewall do Windows.
Monitoring
- Os logs de atividades devem ser retidos por, pelo menos, um ano.
- O Agente do Log Analytics deve ser habilitado para as imagens de máquina virtual listadas.
- Um alerta do log de atividades deve existir para Operações de segurança específicas.
Backup
- Verifique se todas as suas máquinas virtuais estão com o Backup do Azure habilitado.
- Verifique se o backup com redundância geográfica está habilitado no Banco de Dados do Azure para MySQL ou no PostgreSQL.
- Verifique se o backup com redundância geográfica de longo prazo está habilitado no Banco de Dados SQL do Azure.
Governança
- Garanta o uso de marcação adequada, bem como a imposição de marcação em recursos.
- Audite máquinas virtuais com uma reinicialização pendente.
- Gerencie seus requisitos de conformidade organizacional. Especifique se uma ação de tempo de vida do certificado TLS/SSL é disparada em um percentual específico do tempo de vida ou em um número definido de dias antes da expiração dele.
Ações em escala
- Implantar o agente do Azure Monitor em todas as suas máquinas virtuais.
- Habilitar o Backup do Azure para máquinas virtuais.
- Garantir que a auditoria esteja habilitada para todas as suas instâncias do Banco de Dados SQL do Azure.
- Garantir conexões seguras (HTTPS) para contas de armazenamento.
- Impedir conexões de entrada da Área de Trabalho Remota ou SSH da Internet em suas máquinas virtuais.
Considerações sobre a implementação do Azure Policy
Estes são quatro considerações importantes para uma implementação bem-sucedida do Azure Policy:
- Avaliação
- Teste
- Implantar
- Verificação
A avaliação é onde você tem uma visão geral sobre o status do seu ambiente. Em seguida, antes de fazer alterações em seu ambiente por meio de políticas para realizar ações, atribua uma política apenas para auditar seu ambiente. Você pode usar a opção Visão geral no menu para obter essa funcionalidade.
Antes de criar políticas que fará alterações em seu ambiente, certifique-se de testar tudo.
Valide a sintaxe da política, as ações que serão tomadas e o escopo em uso (Grupos de Gerenciamento, Assinaturas e Grupos de recursos). Valide todas as inclusões, exclusões e isenções da política.
Para a implantação inicial, verifique se você está executando sua política em um ambiente controlado ou uma assinatura dedicada. As atribuições do Azure Policy não entram em vigor imediatamente. Há um atraso na avaliação da política de cerca de 30 minutos. Além disso, a auditoria de seus recursos pode levar algum tempo, pois o mecanismo do Azure Policy precisa avaliar todos os recursos em relação às regras da política dentro do escopo atribuído.
Por fim, use Conformidade para verificar os resultados das atribuições da política.
