Criar, atribuir e interpretar políticas e iniciativas de segurança na Política do Azure

  • 7 minutos

Quando se trata de proteger seu ambiente do Azure, você encontrará duas ferramentas essenciais: Políticas de Segurança do Azure e Iniciativas de Segurança do Azure. Ambos desempenham papéis críticos na manutenção da conformidade, mas servem propósitos diferentes. Vamos detalhar seus recursos e casos de uso.

Políticas de Segurança do Azure:

  • Definição: a Política do Azure é como um guardião diligente que garante que seus recursos sigam regras específicas. Ele permite que você defina e aplique políticas em seu ambiente do Azure.

  • Componentes:

    • Definição de política: especifica as condições que você deseja controlar (por exemplo, tipos de recursos permitidos, tags obrigatórias).
    • Atribuição de política: determina onde a política entra em vigor (recursos individuais, grupos de recursos, grupos de gerenciamento).
    • Parâmetros da política: Personaliza o comportamento da política (por exemplo, Unidades de Manutenção de Estoque de Máquina Virtual, local).

  • Casos de uso:

    • Aplicação coerente de regras específicas.
    • Garantir uma etiquetagem uniforme.
    • Controlando tipos de recursos.

Iniciativas de Segurança do Azure:

  • Definição: Pense nas Iniciativas do Azure como pacotes de políticas. Eles agrupam definições de política do Azure relacionadas para uma finalidade específica.

  • Componentes:

    • Definições (Políticas): um conjunto de políticas agrupadas em um único item.
    • Atribuição: as iniciativas são aplicadas a um escopo (por exemplo, assinatura, grupo de recursos).
    • Parâmetros: Personalize o comportamento da iniciativa.

  • Casos de uso:

    • Alcançar objetivos de conformidade mais amplos (por exemplo, Padrão de Segurança de Dados do Setor de Cartões de Pagamento, Portabilidade de Seguro de Saúde e Lei de Responsabilidade).
    • Gerir as políticas relacionadas de forma coesa.

Quando usar Qual:

  • Azure Policy:

    • Use-o para políticas individuais quando regras específicas precisarem ser aplicadas.
    • Por vezes, basta uma única política.

  • Iniciativas do Azure:

    • Recomendado até mesmo para uma única política porque simplifica o gerenciamento.
    • As iniciativas permitem que você gerencie várias políticas como uma unidade coesa.
    • Exemplo: Em vez de lidar com 20 políticas separadas para conformidade com PCI-DSS, use uma iniciativa que avalie todas elas simultaneamente.

As Políticas de Segurança do Azure concentram-se no controlo granular, enquanto as Iniciativas de Segurança do Azure fornecem uma abordagem consolidada. Escolha sabiamente com base nas necessidades da sua organização e na complexidade da conformidade. Ambas são ferramentas essenciais na sua caixa de ferramentas de segurança do Azure.

Criar e gerir políticas para impor a conformidade

Compreender como criar e gerir políticas no Azure é importante para manter a conformidade com os seus padrões empresariais e contratos de nível de serviço. Neste exemplo, você aprende a usar a Política do Azure para executar algumas das tarefas mais comuns relacionadas à criação, atribuição e gerenciamento de políticas em sua organização, como:

  • Atribuir uma política para impor uma condição para os recursos que criar no futuro
  • Criar e atribuir uma definição de iniciativa para controlar a conformidade de vários recursos
  • Resolver um recurso negado ou em não conformidade
  • Implementar uma nova política numa organização

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Atribuir uma política

O primeiro passo para impor a conformidade com o Azure Policy consiste em atribuir uma definição de política. Uma definição de política define sob que condição é imposta uma política e qual o efeito a ter. Neste exemplo, atribua a definição de política interna chamada Herdar uma tag do grupo de recursos se faltar adicionar a tag especificada com seu valor do grupo de recursos pai a recursos novos ou atualizados que faltam na tag.

  1. Vá para o portal do Azure para atribuir políticas. Pesquise e selecione Política.

Captura de ecrã a mostrar como navegar no portal do Azure para atribuir uma política.

  1. Selecione Atribuições no lado esquerdo da página Azure Policy. Uma atribuição é uma política que foi atribuída para ter lugar num âmbito específico.

Captura de ecrã a mostrar como configurar atribuições na página Política.

  1. Selecione Atribuir Política na parte superior da página Política - Atribuições.

Captura de tela mostrando como atribuir a política na página de atribuições de criação.

  1. Na página Atribuir Política e na guia Noções básicas, selecione o Escopo selecionando as reticências e selecionando um grupo de gerenciamento ou assinatura. Opcionalmente, selecione um grupo de recursos. Um âmbito determina quais os recursos ou agrupamento de recursos em que a atribuição de política será imposta. Em seguida, clique em Selecionar na parte inferior da página Âmbito. Este exemplo utiliza a subscrição da Contoso. A sua subscrição vai ser diferente.
  2. Os recursos podem ser excluídos com base no Âmbito. As Exclusões começam num nível inferior ao nível do Âmbito. As Exclusões são opcionais. Por isso, deixe-as em branco por enquanto.
  3. Selecione as reticências de Definição de política para abrir a lista de definições disponíveis. Você pode filtrar a definição de política Tipo para Interno para exibir todos e ler suas descrições.
  4. Selecione Herdar uma marca do grupo de recursos, se faltar. Se não conseguir encontrá-la imediatamente, digite herdar uma tag na caixa de pesquisa e pressione ENTER ou selecione fora da caixa de pesquisa. Clique em Selecionar na parte inferior da página Definições Disponíveis depois de encontrar e selecionar a definição de política.

Captura de ecrã a mostrar como ver os tipos de definição de política do Azure disponíveis.

  1. O Nome da atribuição é automaticamente preenchido com o nome da política que selecionou, mas pode alterá-lo. Neste exemplo, deixe Herdar uma marca do grupo de recursos se faltar. Também pode adicionar uma Descrição opcional. A descrição fornece detalhes sobre esta atribuição de política.
  2. Deixe a aplicação da política como Habilitada. Quando Desabilitado, essa configuração permite testar o resultado da política sem acionar o efeito. Para obter mais informações, consulte modo de imposição.
  3. Atribuído por é preenchido automaticamente com base em quem está conectado. Este campo é opcional,por isso pode introduzir valores personalizados.
  4. Selecione a guia Parâmetros na parte superior do assistente.
  5. Em Nome da tag, insira Ambiente.
  6. Selecione a guia Correção na parte superior do assistente.
  7. Deixe a opção Criar uma tarefa de correção desmarcada. Esta caixa permite criar uma tarefa para alterar recursos existentes, além de recursos novos ou atualizados.
  8. Criar uma Identidade Gerenciada é verificado automaticamente, pois essa definição de política usa o efeito de modificação. As permissões são definidas como Colaborador automaticamente com base na definição da política. Para obter mais informações, consulte identidades gerenciadas e como funciona o controle de acesso de correção.
  9. Selecione a guia Mensagens de não conformidade na parte superior do assistente.
  10. Defina a mensagem de não conformidade como Este recurso não tem a tag necessária. Esta mensagem personalizada é exibida quando um recurso é negado ou para recursos não compatíveis durante a avaliação regular.
  11. Selecione a guia Revisar + criar na parte superior do assistente.
  12. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.