Evaluación del efecto de una nueva definición de Azure Policy

Azure Policy es una herramienta eficaz para administrar los recursos de Azure a los estándares empresariales y satisfacer las necesidades de cumplimiento normativo. Cuando las personas, los procesos o las canalizaciones crean o actualizan recursos, Azure Policy revisa la solicitud. Cuando el efecto de la definición de la directiva es Modify, Append o DeployIfNotExists, la directiva modifica la solicitud o la agrega. Cuando el efecto de la definición de la directiva es Audit o AuditIfNotExists, la directiva provoca la creación de una entrada del registro de actividad para los recursos nuevos y actualizados. Y cuando el efecto de la definición de directiva es Deny, la directiva detiene la creación o modificación de la solicitud.

Estos resultados son exactamente lo que se desea cuando se sabe que la directiva se ha definido correctamente. Sin embargo, es importante validar que una nueva directiva funciona según lo previsto antes de permitirle cambiar o bloquear el trabajo. La validación debe asegurarse de que solo se determina que los recursos deseados no son compatibles y que no se incluyen correctamente los recursos compatibles (lo que se conoce como falso positivo) en los resultados.

El enfoque recomendado para validar una nueva definición de directiva es seguir estos pasos:

  • Definición de la directiva de forma estricta
  • Maximización de los recursos existentes
  • Auditoría de las solicitudes de recursos nuevas o actualizadas
  • Implementación de la directiva en los recursos
  • Supervisión continua

Definición de la directiva de forma estricta

Es importante comprender cómo se implementa la directiva empresarial como una definición de directiva y la relación de los recursos de Azure con otros servicios de Azure. Este paso se realiza mediante la identificación de los requisitos y la determinación de las propiedades del recurso. Pero también es importante ver más allá de la definición de directiva empresarial. ¿Su estado de directiva es que "Todas las máquinas virtuales tienen que..."? ¿Qué ocurre con otros servicios de Azure que hacen uso de máquinas virtuales, como HDInsight o AKS? Al definir una directiva, debemos tener en cuenta cómo afecta esta directiva a los recursos utilizados por otros servicios.

Por esta razón, las definiciones de directiva deben ser tan definidas y centradas en los recursos y las propiedades que se necesitan para evaluar su cumplimiento como sea posible.

Auditoría de recursos existentes

Antes de considerar la administración de recursos nuevos o actualizados con la nueva definición de directiva, es mejor ver cómo evalúa un subconjunto limitado de recursos existentes, como un grupo de recursos de prueba. Use el modo de cumplimientoDeshabilitado (DoNotEnforce) en la asignación de directiva para evitar que se desencadene el efecto o que se creen las entradas del registro de actividad.

Este paso le ofrece la oportunidad de evaluar los resultados de cumplimiento de la nueva directiva en los recursos existentes sin afectar al flujo de trabajo. Compruebe que los recursos no compatibles estén marcados en consecuencia (falso positivo) y que todos los recursos que espera que sean no compatibles se marquen correctamente. Cuando el subconjunto inicial de recursos se valida según lo previsto, amplíe lentamente la evaluación a todos los recursos existentes.

La evaluación de los recursos existentes de esta manera también ofrece la posibilidad de corregir recursos no compatibles antes de la implementación completa de la nueva directiva. Esta limpieza puede realizarse manualmente o a través de una tarea de corrección si el efecto de definición de directiva es DeployIfNotExists.

Auditoría de recursos nuevos o actualizados

Cuando haya validado la nueva definición de directiva que se está notificando correctamente en los recursos existentes, es el momento de examinar el impacto de la directiva cuando se crean o actualizan recursos. Si la definición de directiva admite la parametrización de efectos, use Audit. Esta configuración permite supervisar la creación y actualización de recursos para ver si la nueva definición de directiva desencadena una entrada en el registro de actividad de Azure para un recurso que no es compatible sin que afecte a las solicitudes o al trabajo existente.

Se recomienda que actualice y cree nuevos recursos que coincidan con la definición de directiva para ver que el efecto Audit se está desencadenando correctamente cuando se espera. Esté atento a las solicitudes de recursos que no deben verse afectadas por la nueva definición de directiva que desencadena el efecto Audit. Estos recursos afectados son otro ejemplo de falsos positivos y deben corregirse en la definición de directiva antes de la implementación completa.

Si la definición de directiva se cambia en esta fase de pruebas, se recomienda comenzar el proceso de validación con la auditoría de los recursos existentes. Es probable que un cambio en la definición de directiva para un falso positivo en los recursos nuevos o actualizados también afecte a los recursos existentes.

Implementación de la directiva en los recursos

Después de completar la validación de la nueva definición de directiva con los recursos existentes y las solicitudes de recursos nuevos o actualizados, comienza el proceso de implementación de directiva. Se recomienda crear en primer lugar la asignación de directiva para la nueva definición de directiva en un subconjunto de todos los recursos, como un grupo de recursos. Después de validar la implementación inicial, extienda el ámbito de la directiva a niveles cada vez más amplios, como suscripciones y grupos de administración. Esta expansión se consigue con la eliminación de la asignación y la creación de una nueva en los ámbitos de destino hasta que se asigna al ámbito completo de los recursos que se van a cubrir con la nueva definición de directiva.

Durante el lanzamiento, si se encuentran recursos que deben estar exentos de la nueva definición de directiva, puede solucionarlos de una de las siguientes maneras:

  • Actualización de la definición de directiva para que sea más explícita para reducir el impacto imprevisto
  • Cambio del ámbito de la asignación de directivas (al eliminar y crear una nueva asignación)
  • Adición del grupo de recursos a la lista de exclusión para la asignación de directivas

Cualquier cambio en el ámbito (nivel o exclusiones) debe validarse y comunicarse completamente con las organizaciones de seguridad y cumplimiento para garantizar que no haya lagunas en la cobertura.

Supervisión de la directiva y cumplimiento

La implementación y asignación de la definición de directiva no es el paso final. Supervise continuamente el nivel de cumplimiento de los recursos con la nueva definición de directiva y configure las alertas y notificaciones de Azure Monitor adecuadas para la configuración de los dispositivos no compatibles. También se recomienda evaluar la definición de directiva y las asignaciones relacionadas de forma programada para validar que la definición de directiva cumple las necesidades de cumplimiento y directivas empresariales. Las directivas deben quitarse si ya no se necesitan. Las directivas también necesitan actualizarse de vez en cuando a medida que los recursos de Azure subyacentes evolucionan y agregan nuevas propiedades y funcionalidades.

Pasos siguientes