Cuándo usar Azure Policy
Como se ha mencionado anteriormente, Azure Policy es un servicio que se usa para crear, asignar y administrar definiciones de directiva. En general, las directivas satisfacen las necesidades de cumplimiento, control o escala.
Estas definiciones de directiva se usan con el fin de implementar la gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, los costos y la administración. Puede especificar los requisitos de configuración para cualquier recurso que se cree y realizar una de estas acciones:
- Identificar los recursos que no cumplen los requisitos.
- Bloquear la creación de recursos.
- Agregar las configuraciones necesarias.
Escenarios de ejemplo en los que podría usar Azure Policy:
Control de costos
- Restrinja las SKU de las máquinas virtuales que se pueden crear.
- Evitar usar regiones de Azure en las que el costo de un recurso sea mayor.
- Restrinja el uso de soluciones de Azure Marketplace que pueden aumentar los costos.
Seguridad
- Aplique conexiones de capa de sockets seguros (SSL) a la base de datos de Azure MySQL.
- Asegúrese de que la autenticación en máquinas Linux requiere claves SSH.
- Asegúrese de que las máquinas Windows cumplen los requisitos de las propiedades del firewall de Windows.
Supervisión
- Los registros de actividad deben conservarse durante al menos un año.
- El agente de Log Analytics debe estar habilitado para las imágenes de máquinas virtuales enumeradas.
- Debe existir una alerta de registro de actividad para operaciones de seguridad específicas.
Backup
- Asegúrese de que todas las máquinas virtuales tienen Azure Backup habilitado.
- Asegúrese de que la copia de seguridad con redundancia geográfica está habilitada en Azure Database for MySQL o PostgreSQL.
- Asegúrese de que la copia de seguridad con redundancia geográfica a largo plazo está habilitada en Azure SQL Database.
Gobernanza
- Garantice el uso correcto de etiquetas, así como el cumplimiento de etiquetas en los recursos.
- Auditoría de máquinas virtuales con un reinicio pendiente.
- Administrar los requisitos de cumplimiento de la organización. Especifique si una acción de duración del certificado TLS/SSL se desencadena en un porcentaje específico de su duración o en un número establecido de días antes de su expiración.
Acciones a escala
- Implementar el agente de Azure Monitor en todas las máquinas virtuales.
- Habilitar Azure Backup para máquinas virtuales.
- Asegurarse de que la auditoría está habilitada para todas las instancias de Azure SQL Database.
- Garantizar conexiones seguras (HTTPS) a cuentas de almacenamiento.
- Evite las conexiones entrantes de Escritorio remoto o SSH desde Internet en las máquinas virtuales.
Consideraciones sobre la implementación de Azure Policy
Estas son cuatro consideraciones importantes para una implementación correcta de Azure Policy:
- Evaluación
- Prueba
- Implementar
- Comprobación
La evaluación le proporciona información general sobre el estado de su entorno. Antes de hacer cambios en el entorno mediante directivas para realizar acciones, asigne una directiva solo para auditar el entorno. Puede usar la opción Información general del menú para obtener esta funcionalidad.
Antes de crear directivas, las cuales realizan cambios en su entorno, asegúrese de probarlo todo.
Valide la sintaxis de las directivas, las acciones que se realizan y el ámbito en uso (los grupos de administración, las suscripciones y los grupos de recursos). Valide todas las inclusiones, exclusiones y exenciones de las directivas.
Para la implementación inicial, asegúrese de que está ejecutando la directiva en un entorno controlado o una suscripción dedicada. Las asignaciones de Azure Policy no surten efecto de inmediato. Hay un retraso en la evaluación de la directiva, que dura aproximadamente 30 minutos. Además, la auditoría de los recursos puede tardar un poco, ya que el motor de Azure Policy debe evaluar todos los recursos con respecto a las reglas de directiva dentro del ámbito asignado.
Por último, use Cumplimiento para comprobar los resultados de las asignaciones de directiva.
