Прежде чем рассматривать возможность развертывания, необходимо ввести в организации ограничения. Используя политики Azure, можно реализовать контроль согласованности ресурсов, соответствия нормативным требованиям, безопасности, расходов и управления.
Общие сведения
Основной принцип облачной аналитики заключается в том, чтобы упростить создание, чтение, обновление и удаление ресурсов по мере необходимости. При этом, если предоставить разработчикам неограниченный доступ к ресурсам, это может сделать их гибкими и в то же время привести к незапланированным расходам. Решением этой проблемы является управление доступом к ресурсам. Такое управление представляет собой текущий процесс управления, мониторинга и аудита используемых ресурсов Azure для достижения целей и выполнения требований организации.
В начале работы с целевыми зонами корпоративного масштаба Cloud Adoption Framework уже используется эта концепция. Аналитика в масштабе облака добавляет пользовательские политики Azure для создания этих стандартов. Затем эти стандарты применяются к нашим целевым зонам управления данными и целевым зонам данных.
Схема, показывающая, как работает управление Azure.
Политика Azure важна при обеспечении безопасности и соответствия требованиям в облачной аналитике. Это позволит применять стандарты и оценивать соответствие требованиям в больших масштабах. Политики можно использовать для оценки ресурсов в Azure и их сравнения с требуемыми свойствами. Некоторые политики или бизнес-правила можно сгруппировать в инициативу. Отдельные политики или инициативы могут назначать разным областям в Azure. Это могут быть группы управления, подписки, группы ресурсов или отдельные ресурсы. Назначение применяется ко всем ресурсам в области. При необходимости подобласти можно исключать с определенными исключениями.
Рекомендации по проектированию
Политики Azure в облачной аналитике были разработаны со следующими рекомендациями по проектированию:
политики Azure позволяют вводить и применять правила для обеспечения согласованности ресурсов, соответствия требованиям, безопасности, расходов и управления;
доступные предустановленные политики помогают экономить время;
политики должны назначаться наивысшему возможному уровню в дереве группы управления, что упрощает управление политиками;
ограничение количества назначений Политики Azure, выполняемых в области корневой группы управления, позволяет избежать обработки исключений в унаследованных областях;
При необходимости используйте только исключения политики, и они требуют утверждения.
Политики Azure для облачной аналитики
Реализация пользовательских политик позволяет выполнять больше различных действий с помощью Политики Azure. Аналитика в масштабе облака поставляется с набором готовых политик, которые помогут реализовать все необходимые средства защиты в вашей среде.
Политика Azure должна быть основным инструментом группы платформы данных Azure для обеспечения соответствия ресурсов в посадочной зоне управления данными, посадочных зонах данных и других посадочных зонах в тенанте организации. Эту функцию платформы следует использовать для внедрения охранников и обеспечения соблюдения общей утвержденной конфигурации службы в соответствующей области группы управления. Команды платформы могут использовать Политика Azure для принудительного применения частных конечных точек для любых учетных записей хранения, размещенных в среде платформы данных или принудительного шифрования TLS 1.2 при передаче для любых подключений, выполняемых с учетными записями хранения. При правильном выполнении эта политика запрещает всем командам, занимающимся приложениями данных, размещать службы в несоответствующем состоянии в рамках области клиента.
Ответственные ИТ-отделы должны использовать эту функцию платформы для решения проблем безопасности и соответствия требованиям и открытия для самостоятельного подхода в целевых зонах (Data).
Аналитика в масштабе облака содержит настраиваемые политики, связанные с управлением ресурсами и затратами, проверкой подлинности, шифрованием, сетевой изоляцией, ведением журнала, устойчивостью и т. д.
Политики должны рассматриваться как только рекомендации и могут применяться в зависимости от бизнес-требований. Политики всегда должны применяться к наивысшему возможному уровню. В большинстве случаев это группа управления.
Запретить частным конечным точкам ресурсы за пределами клиента и подписки Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint
Сетевая изоляция
Развертывает конфигурации группы Частных зон DNS с помощью параметра для частной конечной точки службы. Используется для принудительного применения конфигурации к отдельной Частной зоне DNS.
DiagnosticSettings-{Service}-LogAnalytics
Ведение журнала
Отправка параметров диагностики для Azure Cosmos DB в рабочую область Log Analytics.
Хранилище
Имя политики
Область политики
Description
Append-Storage-Encryption
Шифрование
Принудительное применение шифрования для учетных записей хранения.
Deny-Storage-AllowBlobPublicAccess
Сетевая изоляция
Запрет общего доступа ко всем BLOB-объектам или контейнерам в учетной записи хранения.
Deny-Storage-ContainerDeleteRetentionPolicy
Устойчивость
Принудительное применения политик хранения удаленных контейнеров, превышающих семь дней, для учетной записи хранения.
Deny-Storage-CorsRules
Сетевая изоляция
Запрет правил CORS для учетной записи хранения.
Deny-Storage-InfrastructureEncryption
Шифрование
Принудительное шифрование инфраструктуры (двойное) для учетных записей хранения.
Deny-Storage-MinimumTlsVersion
Шифрование
Принудительное применение минимальной версии протокола TLS 1.2 для учетной записи хранения.
Deny-Storage-NetworkAclsBypass
Сетевая изоляция
Запрет обход сети для учетной записи хранения.
Deny-Storage-NetworkAclsIpRules
Сетевая изоляция
Принудительное применение правил IP-адресов для учетной записи хранения.
Deny-Storage-NetworkAclsVirtualNetworkRules
Сетевая изоляция
Запрет правил виртуальной сети для учетной записи хранения.
Deny-Storage-Sku
Управление ресурсами
Принудительно применение номеров SKU учетных записей хранения.
Deny-Storage-SupportsHttpsTrafficOnly
Шифрование
Принудительное применение трафика HTTPS для учетной записи хранения.
Deploy-Storage-BlobServices
Управление ресурсами
Развертывание параметров служб BLOB-объектов по умолчанию для учетной записи хранения.
Deny-Storage-RoutingPreference
Сетевая изоляция
Deny-Storage-Kind
Управление ресурсами
Deny-Storage-NetworkAclsDefaultAction
Сетевая изоляция
Key Vault
Имя политики
Область политики
Description
Audit-KeyVault-PrivateEndpointId
Сетевая изоляция
Аудит общедоступных конечных точек, созданных в других подписках для хранилища ключей.
Deny-KeyVault-NetworkAclsBypass
Сетевая изоляция
Принудительное применение правил уровня сети обхода для хранилища ключей.
Deny-KeyVault-NetworkAclsDefaultAction
Сетевая изоляция
Принудительное применение действия уровня ACL сети по умолчанию для хранилища ключей.
Deny-KeyVault-NetworkAclsIpRules
Сетевая изоляция
Принудительное применение правил IP-адресов для хранилища ключей.
Deny-KeyVault-NetworkAclsVirtualNetworkRules
Сетевая изоляция
Запрет правил виртуальной сети для хранилища ключей.
Deny-KeyVault-PurgeProtection
Устойчивость
Принудительное применение защиты от очистки для хранилища ключей.
Deny-KeyVault-SoftDelete
Устойчивость
Принудительное применение обратимого удаления с минимальным числом дней хранения для хранилища ключей.
Deny-KeyVault-TenantId
Управление ресурсами
Принудительное применение идентификатора клиента для хранилища ключей.
Azure Data Factory
Имя политики
Область политики
Description
Append-DataFactory-IdentityType
Проверка подлинности
Принудительное использование назначенного системой удостоверения для фабрики данных.
Deny-DataFactory-ApiVersion
Управление ресурсами
Запрещает старую версию API для фабрики данных версии 1.
Схема, показывающая, как работает управление Azure.