Share via

حالات التوافق مع نهج Azure

  • مقالة

كيف يعمل الامتثال

عند تعيين تعريفات المبادرة أو النهج، يحدد نهج Azure الموارد القابلة للتطبيق ثم يقيم تلك التي لم يتم استبعادها أو إعفاءها. ينتج عن التقييم حالات التوافق استنادا إلى الشروط في قاعدة النهج والتزام كل مورد بهذه المتطلبات.

حالات التوافق المتوفرة

غير متوافق

تعتبر تعيينات النهج ذات التأثيرات أو غير متوافقة للموارد الجديدة أو المحدثة أو الموجودة عند تقييم شروط قاعدة النهج إلى TRUE.modifyauditIfNotExistsaudit

تعتبر تعيينات النهج ذات appendالتأثيرات denyو و deployIfNotExists غير متوافقة مع الموارد الموجودة عند تقييم شروط قاعدة النهج إلى TRUE. تتم معالجة الموارد الجديدة والمحدثة تلقائيا أو رفضها في وقت الطلب لفرض التوافق. عند تحديث مورد غير متوافق موجود مسبقا، تظل حالة التوافق غير متوافقة حتى اكتمال نشر الموارد وتقييم النهج.

إشعار

تتطلب تأثيرات DeployIfNotExist و AuditIfNotExist أن تكون عبارة الشرط TRUE وأن يكون شرط الوجود FALSE ليكون غير متوافق. عندما تكون القيمة "TRUE"، فإن عبارة الشرط تدعم تقييم شرط وجود الموارد ذات الصلة.

تعتبر تعيينات النهج ذات manual التأثيرات غير متوافقة في ظل ظرفين:

  1. تعريف النهج له حالة توافق افتراضية غير متوافقة ولا يوجد إثبات نشط للمورد القابل للتطبيق ينص على خلاف ذلك.
  2. تم التصديق على المورد على أنه غير متوافق.

لتحديد سبب عدم توافق المورد أو للعثور على التغيير المسؤول، راجع تحديد عدم التوافق. لمعالجة الموارد غير المتوافقة مع deployIfNotExists النهج وmodify، راجع معالجة الموارد غير المتوافقة باستخدام نهج Azure.

متوافق

تعتبر تعيينات النهج ذات auditdeployIfNotExistsappendauditIfNotExistsmodifydenyالتأثيرات أو متوافقة مع الموارد الجديدة أو المحدثة أو الموجودة عند تقييم شروط قاعدة النهج إلى FALSE.

تعتبر تعيينات النهج ذات manual التأثيرات متوافقة في ظل ظرفين:

  1. تعريف النهج له حالة توافق افتراضية متوافقة ولا يوجد أي إثبات نشط للمورد القابل للتطبيق ينص على خلاف ذلك.
  2. تم التصديق على المورد على أنه متوافق.

خطأ

يتم إعطاء حالة توافق الخطأ لتعيينات النهج التي تنشئ خطأ في النظام، مثل خطأ في القالب أو التقييم.

المتعارضه

يعتبر تعيين النهج متعارضا عندما يكون هناك تعيينان أو أكثر من تعيينات النهج الموجودة في نفس النطاق مع قواعد متناقضة أو متعارضة. على سبيل المثال، تعريفان يقومان بإلحاق نفس العلامة بقيم مختلفة.

إعفاء

المورد القابل للتطبيق لديه حالة توافق معفاة لتعيين نهج عندما يكون في نطاق الإعفاء.

إشعار

يختلف الإعفاء عن المستبعد. لمزيد من التفاصيل، راجع النطاق.

غير معروفة

غير معروف هو حالة التوافق الافتراضية للتعريفات ذات manual التأثير، ما لم يتم تعيين الافتراضي بشكل صريح إلى متوافق أو غير متوافق. تشير هذه الحالة إلى أن إثبات التوافق أمر مبرر. تحدث حالة التوافق هذه فقط لتعيينات النهج ذات manual التأثير.

المحميه

تشير الحالة المحمية إلى أن المورد مشمول ضمن تعيين مع تأثير denyAction .

غير مسجل

تكون حالة التوافق هذه مرئية في المدخل عندما لا يتم تسجيل موفر موارد نهج Azure، أو عندما لا يكون للحساب الذي قام بتسجيل الدخول إذن لقراءة بيانات التوافق.

إشعار

إذا تم الإبلاغ عن حالة الامتثال على أنها غير مسجلة، فتحقق من أن موفر مورد Microsoft.PolicyInsights مسجل وأن المستخدم لديه أذونات Azure المناسبة للتحكم في الوصول المستند إلى الدور (Azure RBAC) كما هو موضح في أذونات Azure RBAC في Azure Policy. لتسجيل Microsoft.PolicyInsights، اتبع الخطوات التالية.

لم يبدأ

تشير حالة التوافق هذه إلى أن دورة التقييم لم تبدأ للنهج أو المورد.

مثال

الآن بعد أن أصبح لديك فهم حول حالات التوافق الموجودة وما يعنيه كل منها، دعنا ننظر إلى مثال باستخدام الحالات المتوافقة وغير المتوافقة.

لنفترض أن لديك مجموعة موارد - ContosoRG، مع بعض حسابات التخزين (المميزة باللون الأحمر) التي تتعرض للشبكات العامة.

Diagram of storage accounts exposed to public networks in the Contoso R G resource group.

في هذا المثال، يجب أن تكون حذراً من مخاطر الأمان. افترض أنك تقوم بتعيين تعريف نهج يقوم بالتدقيق لحسابات التخزين التي تتعرض للشبكات العامة، وأنه لم يتم إنشاء أي استثناءات لهذا التعيين. يتحقق النهج من الموارد القابلة للتطبيق (التي تتضمن جميع حسابات التخزين في مجموعة موارد ContosoRG)، ثم يقيم تلك الموارد غير المستبعدة من التقييم. يقوم بمراجعة حسابات التخزين الثلاثة المعرضة للشبكات العامة، وتغيير حالات التوافق الخاصة بها إلى غير متوافقة. أما الباقي فيوضع عليه علامة متوافق.

Diagram of storage account compliance in the Contoso R G resource group.

مجموعة التوافق

يتم تحديد حالة التوافق لكل مورد، لكل تعيين نهج. ومع ذلك، غالبا ما نحتاج إلى عرض صورة كبيرة لحالة البيئة، وهو المكان الذي يدخل فيه الامتثال الكلي حيز التنفيذ.

هناك عدة طرق لعرض نتائج التوافق المجمعة في المدخل:

عرض التوافق التجميعي العوامل التي تحدد حالة التوافق
Scope كافة النهج ضمن النطاق المحدد
المبادرة جميع النهج داخل المبادرة
مجموعة المبادرة أو عنصر التحكم كافة النهج داخل المجموعة أو عنصر التحكم
وثيقة تأمين جميع الموارد القابلة للتطبيق
مورد جميع النهج المعمول بها

مقارنة حالات التوافق المختلفة

فكيف يتم تحديد حالة التوافق الكلي إذا كانت الموارد أو النهج المتعددة لها حالات امتثال مختلفة نفسها؟ يصنف نهج Azure كل حالة امتثال بحيث "تفوز" واحدة على أخرى في هذه الحالة. ترتيب الرتبة هو:

  1. غير متوافق
  2. متوافق
  3. خطأ
  4. المتعارضه
  5. محمي (معاينة)
  6. اعفاء
  7. غير معروف (معاينة)

إشعار

لم يتم البدء وعدم التسجيل في حسابات مجموعة التوافق.

مع هذا الترتيب، إذا كانت هناك حالات غير متوافقة ومتوافقة، فإن التجميع الذي تم طرحه سيكون غير متوافق، وهكذا. لنلقِ نظرة على مثال:

افترض أن المبادرة تحتوي على 10 نهج، ويتم إعفاء المورد من نهج واحد ولكنه متوافق مع النهج التسعة المتبقية. نظرا لأن الحالة المتوافقة لها مرتبة أعلى من الحالة المعفاة، فسيسجل المورد على أنه متوافق في الملخص الطرح للمبادرة. لذلك، لا يظهر المورد على أنه معفى للمبادرة بأكملها إلا إذا كان معفا من كل سياسة أخرى قابلة للتطبيق في تلك المبادرة أو كان لديه امتثال غير معروف لها. ومن ناحية أخرى، فإن المورد غير المتوافق مع سياسة واحدة على الأقل قابلة للتطبيق في المبادرة له حالة امتثال شاملة غير متوافقة، بغض النظر عن النهج المطبقة المتبقية.

النسبة المئوية للتوافق

يتم تحديد النسبة المئوية للتوافق عن طريق قسمة الموارد المتوافقة والإعفاء وغير المعروفة على إجمالي الموارد. تتضمن الموارد الإجمالية موارد ذات حالات متوافقة وغير متوافقة وغير معروفة ومعفاة ومتضاربة وخطأ.

overall compliance % = (compliant + exempt + unknown + protected)  / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)

في الصورة المعروضة، هناك 20 موردا مميزا قابلا للتطبيق وواحد فقط غير متوافق. الامتثال العام للموارد هو 95% (19 من 20).

Screenshot of policy compliance details from Compliance page.

الخطوات التالية