Когда следует использовать Политику Azure

  • 1 минута

Как мы уже узнали, Политика Azure — это служба, которая используется для создания и назначения определений политик, а также управления ими. Как правило, политики решают требования к соответствию, контролю или масштабированию.

Эти определения политик используются для реализации управления согласованности ресурсов, соответствия нормативным требованиям, безопасности, затратам и управлению. Вы можете указать требования к конфигурации для всех создаваемых ресурсов и выполнить одно из следующих действий:

  • Определите ресурсы, которые не соответствуют требованиям.
  • Заблокируйте создание ресурсов.
  • Добавьте требуемую конфигурацию.

Ниже приведены примеры сценариев, в которых можно использовать Политику Azure.

  • Управление затратами

    • Ограничить номера SKU виртуальных машин, которые можно создать.
    • Избегайте использования регионов Azure, где стоимость ресурса выше.
    • Ограничить использование решений из Azure Marketplace, которые могут увеличить затраты.

  • Безопасность

    • Принудительное применение подключений уровня SSL к базе данных Azure MySQL.
    • Убедитесь, что для проверки подлинности на компьютерах Linux требуются ключи SSH.
    • Убедитесь, что компьютеры Windows соответствуют требованиям к свойствам брандмауэра Windows.

  • Мониторинг

    • Журналы действий должны храниться не менее одного года.
    • Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин.
    • Оповещение журнала действий должно существовать для определенных операций безопасности.

  • Azure Backup

    • Убедитесь, что все виртуальные машины включены в Azure Backup.
    • Убедитесь, что геоизбыточное резервное копирование включено в База данных Azure для MySQL или PostgreSQL.
    • Убедитесь, что долгосрочное геоизбыточное резервное копирование включено в База данных SQL Azure.

  • Система управления

    • Убедитесь в правильном использовании тегов и применении тегов к ресурсам.
    • Аудит виртуальных машин с ожидающей перезагрузкой.
    • Управление требованиями к соответствию организации. Укажите, активируется ли действие времени существования SSL-сертификата в определенном проценте времени существования или в заданном количестве дней до истечения срока действия.

  • Действия в масштабе

    • Разверните агент Azure Monitor на всех виртуальных машинах.
    • Включите Azure Backup для виртуальных машин.
    • Убедитесь, что аудит включен для всех База данных SQL Azure экземпляров.
    • Убедитесь, что безопасные подключения (HTTPS) к учетным записям хранения.
    • Предотвращение входящих подключений к удаленному рабочему столу или SSH из Интернета на виртуальных машинах.

Рекомендации по реализации Политики Azure

Ниже приведены четыре важных соображения для успешной реализации Политика Azure.

  • Оценка
  • Тестирование
  • Развернуть
  • Проверить

Оценка находится в том месте, где вы найдете обзор состояния вашей среды. Затем, прежде чем вносить изменения в среду с помощью политик для выполнения действий, назначьте политику только для аудита среды. Для получения этой функции можно использовать пункт "Обзор" в меню.

Прежде чем создавать политики, которые вносят изменения в среду, обязательно протестируйте все.

Проверьте синтаксис политики, выполняемые действия и область использования (группы управления, подписки и группы ресурсов). Проверьте всех включения и исключения.

Для первоначального развертывания убедитесь, что вы выполняете политику в управляемой среде или выделенной подписке. Политика Azure назначения не вступают в силу немедленно. Существует задержка на оценку политики, которая составляет около 30 минут. Кроме того, аудит ресурсов может занять некоторое время, так как обработчику Политики Azure необходимо оценить все ресурсы в соответствии с правилами политики в назначенной области.

Наконец, используйте соответствие требованиям , чтобы проверить результаты назначений политик.

Снимок экрана: соответствие Политике Azure.