Beskriva syftet med Azure Policy
Hur ser du till att dina resurser är kompatibla? Kan du aviseras om en resurss konfiguration har ändrats?
Azure Policy är en tjänst i Azure som hjälper dig att skapa, tilldela och hantera principer som styr eller granskar dina resurser. Dessa principer tillämpar olika regler i dina resurskonfigurationer så att dessa konfigurationer följer företagets standarder.
Hur definieras principer i Azure Policy?
Med Azure Policy kan du definiera både enskilda principer och grupper med relaterade principer, så kallade initiativ. Azure Policy utvärderar resurserna och markerar de som inte efterlever de principer du skapat. Azure Policy kan även förhindra att icke-kompatibla resurser som inte uppfyller efterlevnadskraven skapas.
Azure-principer kan anges på varje nivå, så att du kan ange principer för en specifik resurs, resursgrupp, prenumeration och så vidare. Dessutom ärvs Azure-principer, så om du anger en princip på en hög nivå tillämpas den automatiskt på alla grupper som ingår i den överordnade. Om du till exempel anger en Azure Policy för en resursgrupp får alla resurser som skapas i den resursgruppen automatiskt samma princip.
Azure Policy levereras med inbyggda princip- och initiativdefinitioner för Lagring, Nätverk, Beräkning, Security Center och Övervakning. Om du till exempel definierar en princip som endast tillåter att en viss storlek för de virtuella datorerna används i din miljö anropas principen när du skapar en ny virtuell dator och när du ändrar storlek på befintliga virtuella datorer. Azure Policy utvärderar och övervakar även alla aktuella virtuella datorer i din miljö, inklusive virtuella datorer som skapades innan principen skapades.
I vissa fall kan Azure Policy automatiskt reparera icke-kompatibla resurser och konfigurationer så att resursernas integritet upprätthålls. Om till exempel alla resurser i en viss resursgrupp ska taggas med AppName-taggen och värdet "SpecialOrders" tillämpas den taggen automatiskt om den saknas. Men du behåller fortfarande fullständig kontroll över din miljö. Om du har en specifik resurs som du inte vill att Azure Policy ska åtgärda automatiskt kan du flagga resursen som ett undantag – och principen åtgärdar inte resursen automatiskt.
Azure Policy integreras också med Azure DevOps genom att tillämpa alla principer för kontinuerlig integrering och leveranspipeline som gäller för faserna före distribution och efter distribution av dina program.
Vad är Azure Policy-initiativ?
Ett Azure Policy-initiativ är ett sätt att gruppera relaterade principer tillsammans. Initiativdefinitionen innehåller alla principdefinitioner så att du enkelt kan spåra efterlevnaden för ett mer omfattande mål.
Azure Policy har till exempel ett initiativ med namnet Aktivera övervakning i Azure Security Center. Målet är att övervaka alla tillgängliga säkerhetsrekommendationer för alla Azure-resurstyper i Azure Security Center.
I det här initiativet ingår följande principdefinitioner:
- Övervaka okrypterad SQL Database i Security Center Den här principen övervakar okrypterade SQL-databaser och servrar.
- Övervaka säkerhetsproblem i Security Center Den här principen övervakar servrar som inte uppfyller den konfigurerade operativsystemets säkerhetsbaslinje.
- Övervaka saknat Endpoint Protection i Security Center Den här principen övervakar servrar som inte har någon installerad slutpunktsskyddsagent.
Initiativet Aktivera övervakning i Azure Security Center har i själva verket fler än 100 separata principdefinitioner.