Kdy použít Azure Policy

  • 1 min.

Jak už bylo zmíněno, Azure Policy je služba, kterou používáte k vytváření, přiřazování a správě definic zásad. Obecně platí, že zásady řeší požadavky na dodržování předpisů, řízení nebo škálování .

Tyto definice zásad slouží k implementaci zásad správného řízení pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu. Můžete zadat požadavky na konfiguraci pro všechny vytvořené prostředky a provést jednu z těchto akcí:

  • Identifikujte prostředky, které nejsou v souladu s předpisy.
  • Zablokuje vytváření prostředků.
  • Přidejte požadovanou konfiguraci.

Ukázkové scénáře, ve kterých můžete použít Azure Policy:

  • Řízení nákladů

    • Omezte skladové položky virtuálních počítačů, které je možné vytvořit.
    • Vyhněte se používání oblastí Azure, ve kterých jsou náklady na prostředek vyšší.
    • Omezte využití řešení z Azure Marketplace, která můžou zvýšit náklady.

  • Zabezpečení

    • Vynucujte připojení SSL (Secure Sockets Layer) k databázi Azure MySQL.
    • Ujistěte se, že ověřování na počítačích s Linuxem vyžaduje klíče SSH.
    • Ujistěte se, že počítače s Windows splňují požadavky na vlastnosti brány Windows Firewall.

  • Monitorování

    • Protokoly aktivit by se měly uchovávat alespoň po dobu jednoho roku.
    • Agent Log Analytics by měl být povolený pro uvedené image virtuálních počítačů.
    • Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit.

  • Backup

    • Ujistěte se, že všechny vaše virtuální počítače mají povolenou službu Azure Backup.
    • Ujistěte se, že je ve službě Azure Database for MySQL nebo PostgreSQL povolené geograficky redundantní zálohování.
    • Ujistěte se, že je ve službě Azure SQL Database povolené dlouhodobé geograficky redundantní zálohování.

  • Zásady správného řízení

    • Zajistěte správné použití značek a vynucení značek u prostředků.
    • Auditujte virtuální počítače s čekající restartováním.
    • Spravujte požadavky organizace na dodržování předpisů. Určete, jestli se akce životnosti certifikátu TLS/SSL aktivuje v určitém procentu jeho životnosti nebo v nastaveném počtu dnů před vypršením platnosti.

  • Akce ve velkém měřítku

    • Nasaďte agenta Azure Monitoru do všech vašich virtuálních počítačů.
    • Povolení služby Azure Backup pro virtuální počítače
    • Ujistěte se, že je auditování povolené pro všechny instance služby Azure SQL Database.
    • Zajistěte zabezpečená připojení (HTTPS) k účtům úložiště.
    • Zabrání příchozím připojením ke vzdálené ploše nebo SSH z internetu na virtuálních počítačích.

Důležité informace o implementaci služby Azure Policy

Tady jsou čtyři důležité aspekty úspěšné implementace služby Azure Policy:

  • Posouzení
  • Test
  • Nasadit
  • Zaškrtnout

V posouzení najdete přehled o stavu vašeho prostředí. Potom před provedením změn v prostředí pomocí zásad proveďte akce, přiřaďte zásadu jen pro audit vašeho prostředí. K získání této funkce můžete použít možnost Přehled z nabídky.

Před vytvořením zásad, které ve vašem prostředí dělají změny, nezapomeňte všechno otestovat.

Ověřte syntaxi zásad, provedené akce a obor, který se používá (skupiny pro správu, předplatná a skupiny prostředků). Ověřte všechna zahrnutí zásad, vyloučení a výjimky.

V případě počátečního nasazení se ujistěte, že používáte zásady proti řízenému prostředí nebo vyhrazenému předplatnému. Přiřazení Azure Policy se neprojeví okamžitě. Zpoždění vyhodnocení zásad je přibližně 30 minut. Auditování prostředků může také nějakou dobu trvat, protože modul Azure Policy potřebuje vyhodnotit všechny prostředky proti pravidlům zásad v rámci přiřazeného oboru.

Nakonec pomocí dodržování předpisů zkontrolujte výsledky přiřazení zásad.

Obrazovka s dodržováním předpisů pro Azure Policy