使用 Azure 原則的時機

已完成

如先前所述，Azure 原則是一個服務，可用來建立、指派和管理原則定義。 一般而言，原則可用來解決「合規性」、「控制」或「規模調整」需求。

那些原則定義可用來實作資源一致性、法規合規性、安全性、成本和管理的治理。 您可以為已建立的任何資源指定設定需求，並採取下列其中一個動作：

• 識別不符合規範的資源。
• 阻止建立資源。
• 新增必要的設定。

可使用 Azure 原則的範例案例：

• 成本控制

  • 限制可建立的虛擬機器 SKU。
  • 避免使用資源成本較高的 Azure 區域。
  • 限制使用 Azure Marketplace 中可能會增加成本的解決方案。

• 安全性

  • 對 Azure MySQL 資料庫強制執行安全通訊端層 (SSL) 連線。
  • 確定 Linux 機器上的驗證需要 SSH 金鑰。
  • 確定 Windows 機器符合 Windows 防火牆屬性的需求。

• 監視

  • 活動記錄至少應保留一年。
  • 應針對列出的虛擬機器映像啟用 Log Analytics 代理程式。
  • 特定安全性作業應有活動記錄警示。

• Backup

  • 確定您的所有虛擬機器都已啟用 Azure 備份。
  • 確定已在適用於 MySQL 或 PostgreSQL 的 Azure 資料庫上啟用異地備援備份。
  • 確定已在 Azure SQL Database 上啟用長期異地備援備份。

• 治理

  • 確定對資源正確地使用標籤並強制執行標籤。
  • 針對正在等候重新開機的虛擬機器進行稽核。
  • 管理組織合規性需求。 指定 TLS/SSL 憑證存留期動作是在其存留期的特定百分比觸發，還是在其到期前某個設定天數觸發。

• 大規模動作

  • 將 Azure 監視器代理程式部署至您的所有虛擬機器。
  • 針對虛擬機器啟用 Azure 備份。
  • 確定已對您的所有 Azure SQL Database 執行個體啟用稽核功能。
  • 確定能與儲存體帳戶進行安全連線 (HTTPS)。
  • 防止來自虛擬機器網際網路的輸入遠端桌面或 SSH 連線。

Azure 原則實作考量

以下是成功實作 Azure 原則的四個重要考量：

• 評量
• 測試
• 部署
• 勾選

評量可讓您概略了解環境的狀態。 然後，在透過原則採取動作以對環境進行變更之前，先指派只會稽核環境的原則。 您可以使用功能表中的 [概觀] 選項來取得此功能。

建立會在環境中進行變更的原則之前，請務必完成所有測試。

驗證您的原則語法、採取的動作，以及使用的範圍 (管理群組、訂用帳戶和資源群組)。 驗證所有原則的包含、排除和豁免。

針對初始部署，請務必針對受控環境或專用訂用帳戶執行原則。 Azure 原則指派不會立即生效。 原則評估會延遲 30 分鐘左右。 此外，稽核資源可能也需要一些時間，因為 Azure 原則引擎需要針對所指派範圍內的原則規則來評估所有資源。

最後，使用 [合規性] 來檢查原則指派的結果。