使用 Azure 原則保護 Nexus 資源
在本文中,您可以了解如何使用 Azure 原則來保護及驗證連接點資源的合規性狀態。
開始之前
如果您不熟悉 Azure 原則,以下是一些實用的資源,可讓您更熟悉 Azure 原則。
- Azure 原則文件
- 互動式學習課程模組:Microsoft Learn 的 Azure 原則訓練
了解原則定義和指派
- 原則定義:您的資源需要遵守的規則。 它們可以內建或自訂。
- 指派:將原則定義套用至資源的程序。
安全性強制執行步驟
- 探索內建原則:檢閱與連接點裸機電腦 (BMM) 和計算叢集資源相關的內建原則。
- 自訂原則:自訂原則以解決資源的特定需求。
- 原則指派:透過 Azure 入口網站指派原則,以確保範圍正確。
- 監視與合規性:使用 Azure 工具定期監視原則合規性。
- 疑難排解:解決原則指派期間出現的常見問題。
視覺指南和範例
- 逐步原則指派:在 Azure 入口網站中指派原則
- 疑難排解指南:常見的原則指派問題
必要條件
一或多個透過 Arc 連線至 Azure 的內部部署 Nexus 資源。
注意
運算子連接點不需要您安裝 Undercloud Kubernetes 連線叢集或 BMM 連線機器資源的 Azure 原則附加元件,因為延伸模組會在叢集部署期間自動安裝。
訂用帳戶中具有適當角色的使用者帳戶:
- 資源原則參與者或擁有者可以檢視、建立、指派和停用原則。
- 參與者或讀者可以檢視原則和原則指派。
準備檢查清單:
- 熟悉 Azure CLI 或 PowerShell 以進行原則管理。
- 檢閱組織的安全性和合規性需求。
- 識別與您的需求相關的特定 Azure 原則功能。
注意
操作員 Nexus 受控基礎結構資源可能不符合根據平臺管理和發行模式的自定義內部原則。 此外,需要輸入的 Azure 基準原則(例如授權埠清單)或已安裝的擴充功能預期(例如,Azure Kubernetes Service 叢集應該已安裝 Kubernetes 的附加元件 Azure 原則 附加元件)預設會失敗。 叢集管理員等 Nexus 受控資源不適合直接客戶互動,也不支援客戶部署的延伸模組或整合。
使用 Azure 原則保護 Nexus BMM 資源
運算子連接點服務提供內建原則定義,建議將其指派給您的連接點 BMM 資源。 此原則定義稱為 [預覽]:Nexus 計算機器應符合安全性基準。 此原則定義用於確保 Nexus BMM 資源已設定業界最佳做法安全性設定。
使用 Azure 原則保護您的連接點 Kubernetes 計算叢集資源
運算子連接點服務提供內建行動方案定義,建議將其指派給您的連接點 Kubernetes 計算叢集資源。 此行動方案定義稱為 [預覽]:連接點計算叢集應符合安全性基準。 此行動方案定義用於確保連接點 Kubernetes 計算叢集資源已設定業界最佳做法安全性設定。
自訂原則
- 自訂考慮了具體資源獨特層面的原則。
- 如需指引,請參閱自訂原則定義。
套用和驗證 Nexus 資源的原則
無論您要保護連接點 BMM 資源或連接點 Kubernetes 計算叢集,套用和驗證原則的程序都很類似。 以下是一般化方法:
識別適用的原則:
- 針對 Nexus 裸機機器資源,請考慮建議的 [預覽]:Nexus 計算機器應符合安全性基準原則。
- 若為連接點 Kubernetes 計算叢集,請考慮所建議的 [預覽]:連接點計算叢集應符合安全性基準行動方案。
指派原則:
- 利用 Azure 入口網站將這些原則指派給您的 Nexus 資源。
- 請確定指派的正確範圍,其可能位於訂用帳戶、資源群組或個別資源層級。
- 針對自訂原則,請遵循建立自訂原則定義中的指導方針。
驗證原則應用程式:
- 指派後,請驗證原則已正確套用並有效地監視合規性。
- 利用 Azure 合規性工具和儀表板來進行持續監視和報告。
- 如需驗證的詳細步驟,請參閱驗證 Azure 原則。
此方法可確保所有運算子連接點資源 (不論其類型為何) 都會受到保護並符合組織原則的規範,並利用 Azure 原則的強大功能。