Vyhodnocení dopadu nové definice služby Azure Policy

Azure Policy je výkonný nástroj pro správu prostředků Azure, který vyhovuje potřebám dodržování obchodních standardů. Azure Policy kontroluje požadavky lidí, procesů a kanálů na vytvoření nebo aktualizaci prostředků. Pokud je efekt definice zásady Modify, Append nebo DeployIfNotExists, zásada změní požadavek nebo ji přidá. Pokud je efekt definice zásady Audit nebo AuditIfNotExists, způsobí zásada vytvoření položky protokolu aktivit pro nové a aktualizované prostředky. A když je efekt definice zásady Deny nebo DenyAction, zásada zastaví vytvoření nebo změnu požadavku.

Tyto výsledky odpovídají očekávání, pokud víte, že jsou zásady správně definované. Před povolením změny nebo blokování práce je ale důležité ověřit, jestli nové zásady fungují podle očekávání. Ověření musí zajistit, aby ve výsledcích byly nesprávně zahrnuty pouze zamýšlené prostředky, které nedodržují předpisy, a žádné vyhovující prostředky se do výsledků nesprávně nezahrnou (označují se jako falešně pozitivní).

Doporučený přístup k ověřování nové definice zásad je následující postup:

• Těsné definování zásad
• Otestování efektivity zásad
• Auditování nových nebo aktualizovaných požadavků na prostředky
• Nasazení zásad do prostředků
• Průběžné sledování

Těsné definování zásad

Je důležité pochopit, jak se obchodní zásady implementují jako definice zásad a vztah prostředků Azure s jinými službami Azure. Tento krok se provádí identifikací požadavků a určením vlastností prostředku. Je ale také důležité vidět nad rámec úzké definice obchodních zásad. Je váš stav zásad například "Všechny virtuální počítače musí..."? A co další služby Azure, které využívají virtuální počítače, jako je HDInsight nebo AKS? Při definování zásady musíme zvážit, jak tato zásada ovlivňuje prostředky používané jinými službami.

Z tohoto důvodu by definice zásad měly být co nejtěsněji definované a zaměřené na prostředky a vlastnosti, které potřebujete k vyhodnocení dodržování předpisů.

Otestování efektivity zásad

Než budete chtít spravovat nové nebo aktualizované prostředky pomocí nové definice zásad, je nejlepší zjistit, jak vyhodnocuje omezenou podmnožinu existujících prostředků, jako je testovací skupina prostředků. Rozšíření Azure Policy VS Code umožňuje izolované testování definic proti existujícím prostředkům Azure pomocí kontroly vyhodnocení na vyžádání. Definici můžete také přiřadit v vývojovém prostředí pomocí režimuvynucení Zakázané (DoNotEnforce) pro přiřazení zásad, aby se zabránilo tomu, že se efekt aktivuje nebo položky protokolu aktivit nevytvořily.

Tento krok vám umožní vyhodnotit výsledky dodržování předpisů nových zásad pro stávající prostředky bez dopadu na pracovní tok. Zkontrolujte, jestli se žádné vyhovující prostředky nezobrazují jako nevyhovující (falešně pozitivní) a že všechny prostředky, které očekáváte, že nedodržují předpisy, jsou označeny správně. Jakmile se počáteční podmnožina prostředků ověří podle očekávání, pomalu rozbalte vyhodnocení na více existujících prostředků a více oborů.

Vyhodnocení stávajících prostředků tímto způsobem také poskytuje příležitost napravit nevyhovující prostředky před úplnou implementací nové zásady. Toto vyčištění lze provést ručně nebo prostřednictvím úlohy nápravy, pokud je efekt definice zásady DeployIfNotExists nebo Modify.

Definice zásad s deployIfNotExist by měly využít šablonu Azure Resource Manageru, co když chcete ověřit a otestovat změny, ke kterým dochází při nasazování šablony ARM.

Auditování nových nebo aktualizovaných prostředků

Jakmile ověříte, že se nová definice zásad správně hlásí u existujících prostředků, je čas podívat se na dopad zásad, když se prostředky vytvoří nebo aktualizují. Pokud definice zásady podporuje parametrizaci efektu, použijte Audit nebo AuditIfNotExist. Tato konfigurace umožňuje monitorovat vytváření a aktualizaci prostředků a zjistit, jestli nová definice zásad aktivuje záznam v protokolu aktivit Azure pro prostředek, který nedodržuje předpisy, aniž by to mělo vliv na stávající práci nebo požadavky.

Doporučuje se aktualizovat a vytvořit nové prostředky, které odpovídají definici zásad, aby se zjistilo, že se efekt Audit nebo AuditIfNotExist správně aktivuje, když se očekává. Hledejte požadavky na prostředky, které by neměly být ovlivněny novou definicí zásad, která aktivuje účinek Audit nebo AuditIfNotExist . Tyto ovlivněné prostředky jsou dalším příkladem falešně pozitivních výsledků a musí být opraveny v definici zásady před úplnou implementací.

V případě, že se v této fázi testování změní definice zásady, doporučujeme zahájit proces ověřování auditem existujících prostředků. Změna definice zásady pro falešně pozitivní výsledky u nových nebo aktualizovaných prostředků bude mít pravděpodobně vliv i na stávající prostředky.

Nasazení zásad do prostředků

Po dokončení ověření nové definice zásady s existujícími prostředky i novými nebo aktualizovanými požadavky na prostředky zahájíte proces implementace zásady. Doporučujeme nejprve vytvořit přiřazení zásady pro novou definici zásady podmnožině všech prostředků, jako je například skupina prostředků. Pomocí vlastnosti v rámci přiřazení zásad můžete dále filtrovat podle typu prostředku nebo umístění resourceSelectors . Po ověření počátečního nasazení rozšiřte rozsah zásad na širší určitou skupinu prostředků. Po ověření počátečního nasazení rozbalte dopad zásad úpravou filtrů resourceSelector tak, aby cílily na více umístění nebo typů prostředků, nebo odebráním přiřazení a nahrazením novým oborem, jako jsou předplatná a skupiny pro správu. Pokračujte v tomto postupném zavádění, dokud nebude přiřazený k úplnému rozsahu prostředků určených k pokrytí vaší novou definicí zásad.

Pokud se během zavádění nacházejí prostředky, které by měly být z vaší nové definice zásad vyloučené, vyřešte je jedním z následujících způsobů:

• Aktualizujte definici zásad tak, aby byla explicitnější, aby se snížil nezamýšlený dopad.
• Změna rozsahu přiřazení zásady (odebráním a vytvořením nového přiřazení)
• Přidání skupiny prostředků do seznamu vyloučení pro přiřazení zásad

Všechny změny rozsahu (úrovní nebo vyloučení) by se měly plně ověřit a komunikovat s vašimi organizacemi v oblasti zabezpečení a dodržování předpisů, aby nedošlo k žádným mezerám v pokrytí.

Monitorování zásad a dodržování předpisů

Implementace a přiřazení definice zásady není posledním krokem. Nepřetržitě monitorujte úroveň dodržování předpisů pro novou definici zásad a nastavte odpovídající výstrahy a oznámení služby Azure Monitor pro identifikaci zařízení, která nedodržují předpisy. Doporučuje se také vyhodnotit definici zásad a související přiřazení podle plánu, aby se ověřilo, že definice zásady splňuje potřeby obchodních zásad a dodržování předpisů. Pokud už zásady nepotřebujete, měly by se odebrat. Zásady se také musí aktualizovat čas od času, protože základní prostředky Azure se vyvíjejí a přidávají nové vlastnosti a možnosti.

Další kroky

• Seznamte se se strukturou definic zásad.
• Přečtěte si o struktuře přiřazení zásad.
• Seznamte se s programovým vytvářením zásad.
• Zjistěte, jak získat data dodržování předpisů.
• Zjistěte, jak napravit nevyhovující prostředky.
• Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.