Auswerten der Auswirkung einer neuen Azure Policy-Definition

Azure Policy ist ein leistungsstarkes Tool zur Verwaltung Ihrer Azure-Ressourcen nach geschäftsspezifischen Standards und zur Erfüllung von Complianceanforderungen. Wenn Personen, Prozesse oder Pipelines Ressourcen erstellen oder aktualisieren, überprüft Azure Policy die Anforderung. Wenn die Auswirkung der Richtliniendefinition Modify, Append oder DeployIfNotExists lautet, ändert Azure Policy die Anforderung oder ergänzt sie. Wenn die Auswirkung der Richtliniendefinition Audit oder AuditIfNotExists lautet, veranlasst Azure Policy die Erstellung eines Aktivitätsprotokolleintrags für neue und aktualisierte Ressourcen. Und wenn die Auswirkung der Richtliniendefinition Deny lautet, stoppt Azure Policy die Erstellung oder Änderung der Anforderung.

Wenn Sie wissen, dass die Richtlinie ordnungsgemäß definiert ist, entsprechen diese Ergebnisse genau den Erwartungen. Es ist jedoch wichtig zu überprüfen, dass eine neue Richtlinie ordnungsgemäß funktioniert, bevor ihr gestattet wird, die Arbeit zu ändern oder zu blockieren. Die Überprüfung muss sicherstellen, dass nur die vorgesehenen Ressourcen als nicht konform eingestuft und keine konformen Ressourcen fälschlicherweise in die Ergebnisse einbezogen werden (bekannt als False Positive).

Der empfohlene Ansatz für die Überprüfung einer neuen Richtliniendefinition besteht darin, die folgenden Schritte auszuführen:

  • Präzises Definieren Ihrer Richtlinie
  • Überprüfen Ihrer vorhandenen Ressourcen
  • Überprüfen von neuen oder aktualisierten Ressourcenanforderungen
  • Bereitstellen Ihrer Richtlinie für Ressourcen
  • Kontinuierliche Überwachung

Präzises Definieren Ihrer Richtlinie

Es ist wichtig zu verstehen, wie die Geschäftsrichtlinie als Richtliniendefinition und die Beziehung von Azure-Ressourcen zu anderen Azure-Diensten implementiert wird. Dieser Schritt wird durch Identifizieren der Anforderungen und Bestimmen der Ressourceneigenschaften durchgeführt. Aber es ist auch wichtig, über die knappe Definition Ihrer Geschäftsrichtlinie hinauszuschauen. Steht in Ihrer Richtlinie z. B. „Alle virtuellen Computer müssen...“? Was ist mit anderen Azure-Diensten, die virtuelle Computer nutzen, z. B. HDInsight oder AKS? Bei der Definition einer Richtlinie müssen wir berücksichtigen, wie sich diese Richtlinie auf Ressourcen auswirkt, die von anderen Diensten genutzt werden.

Aus diesem Grund sollten Ihre Richtliniendefinitionen so präzise wie möglich definiert sein und sich auf die Ressourcen und Eigenschaften konzentrieren, die Sie für die Compliance auswerten müssen.

Überwachen vorhandener Ressourcen

Bevor Sie mit Ihrer neuen Richtliniendefinition neue oder aktualisierte Ressourcen verwalten, ist es am besten zu prüfen, wie sie eine begrenzte Teilmenge vorhandener Ressourcen, z. B. eine Testressourcengruppe, auswertet. Verwenden Sie den ErzwingungsmodusDeaktiviert (DoNotEnforce) bei Ihrer Richtlinienzuweisung, um zu verhindern, dass die Auswirkung ausgelöst oder Einträge im Aktivitätsprotokoll erstellt werden.

Dieser Schritt bietet Ihnen die Möglichkeit, die Complianceergebnisse der neuen Richtlinie für vorhandene Ressourcen auszuwerten, ohne den Workflow zu beeinträchtigen. Überprüfen Sie, dass keine konformen Ressourcen als nicht konform gekennzeichnet sind (False Positive) und dass alle Ressourcen, von denen Sie erwarten, dass sie nicht konform sind, korrekt gekennzeichnet sind. Nachdem die anfängliche Teilmenge der Ressourcen wie erwartet überprüft wurde, erweitern Sie die Auswertung langsam auf alle vorhandenen Ressourcen.

Die auf diese Weise durchgeführte Auswertung der vorhandenen Ressourcen bietet auch die Möglichkeit, nicht konforme Ressourcen vor der vollständigen Implementierung der neuen Richtlinie zu bereinigen. Diese Bereinigung kann manuell oder über einen Wartungstask erfolgen, wenn die Auswirkung der Richtliniendefinition DeployIfNotExists lautet.

Überprüfen von neuen oder aktualisierten Ressourcen

Nachdem Sie überprüft haben, dass Ihre neue Richtliniendefinition ordnungsgemäß über vorhandene Ressourcen berichtet, ist es an der Zeit, die Auswirkungen der Richtlinie zu untersuchen, wenn Ressourcen erstellt oder aktualisiert werden. Wenn die Richtliniendefinition die Parametrisierung von Auswirkungen unterstützt, verwenden Sie Überwachen. Mit dieser Konfiguration können Sie die Erstellung und Aktualisierung von Ressourcen überwachen, um festzustellen, ob die neue Richtliniendefinition einen Eintrag im Azure-Aktivitätsprotokoll für eine nicht konforme Ressource auslöst, ohne die vorhandene Arbeit oder Anforderungen zu beeinträchtigen.

Es wird empfohlen, neue Ressourcen zu aktualisieren und zu erstellen, die Ihrer Richtliniendefinition entsprechen, um sicherzustellen, dass die Auswirkung von Überwachen ordnungs- und erwartungsgemäß ausgelöst werden. Achten Sie auf Ressourcenanforderungen, die nicht von der neuen Richtliniendefinition betroffen sein sollten, die die Auswirkung von Überwachen auslöst. Diese betroffenen Ressourcen sind ein weiteres Beispiel für False Positive und müssen vor der vollständigen Implementierung in der Richtliniendefinition festgelegt werden.

Für den Fall, dass die Richtliniendefinition in dieser Phase der Tests geändert wird, wird empfohlen, den Prüfungsprozess mit der Überwachung vorhandener Ressourcen zu beginnen. Eine Änderung der Richtliniendefinition für ein False Positive bei neuen oder aktualisierten Ressourcen wird wahrscheinlich auch Auswirkungen auf vorhandene Ressourcen haben.

Bereitstellen Ihrer Richtlinie für Ressourcen

Nachdem Sie die Überprüfung Ihrer neuen Richtliniendefinition sowohl mit vorhandenen Ressourcen als auch mit neuen oder aktualisierten Ressourcenanforderungen abgeschlossen haben, beginnen Sie mit der Implementierung der Richtlinie. Es wird empfohlen, die Richtlinienzuweisung für die neue Richtliniendefinition zunächst für eine Teilmenge aller Ressourcen zu erstellen, z. B. für eine Ressourcengruppe. Erweitern Sie nach der Überprüfung der anfänglichen Bereitstellung den Geltungsbereich der Richtlinie auf immer umfassendere Ebenen, wie Abonnements und Verwaltungsgruppen. Diese Erweiterung wird erreicht, indem die Zuweisung entfernt und eine neue in den Zielbereichen erstellt wird, bis sie dem gesamten Ressourcenbereich zugewiesen wird, der von Ihrer neuen Richtliniendefinition abgedeckt werden soll.

Wenn während des Rollouts Ressourcen gefunden werden, die von Ihrer neuen Richtliniendefinition ausgenommen sein sollten, gehen Sie wie folgt vor:

  • Aktualisieren Sie die Definition der Richtlinie, um sie expliziter zu formulieren, damit unbeabsichtigte Auswirkungen verringert werden.
  • Ändern des Bereichs der Richtlinienzuweisung (durch Entfernen und Erstellen einer neuen Zuweisung)
  • Hinzufügen der Gruppe von Ressourcen zur Ausschlussliste für die Richtlinienzuweisung

Alle Änderungen am Bereich (Ebene oder Ausschlüsse) sollten vollständig überprüft und mit Ihren Sicherheits- und Complianceorganisationen kommuniziert werden, um sicherzustellen, dass es keine Lücken bei der Abdeckung gibt.

Überwachen Ihrer Richtlinie und Compliance

Die Implementierung und Zuweisung Ihrer Richtliniendefinition ist nicht der letzte Schritt. Überwachen Sie kontinuierlich die Compliance der Ressourcen gemäß Ihrer neuen Richtliniendefinition, und richten Sie geeignete Azure Monitor-Warnungen und -Benachrichtigungen ein, wenn nicht konforme Geräte identifiziert werden. Es wird außerdem empfohlen, die Richtliniendefinition und die damit verbundenen Zuweisungen planmäßig auszuwerten, um zu überprüfen, ob die Richtliniendefinition den Anforderungen der Geschäftsrichtlinie und der Compliance entspricht. Richtlinien sollten entfernt werden, wenn sie nicht mehr benötigt werden. Richtlinien müssen auch von Zeit zu Zeit aktualisiert werden, wenn sich die zugrunde liegenden Azure-Ressourcen weiterentwickeln und neue Eigenschaften und Funktionen hinzufügen.

Nächste Schritte