Décrire la finalité d’Azure Policy
Comment garantir que vos ressources restent conformes ? Pouvez-vous être alerté si la configuration d’une ressource a changé ?
Azure Policy est un service Azure qui vous permet de créer, attribuer et gérer des stratégies qui contrôlent ou auditent vos ressources. Ces stratégies appliquent différentes règles à vos configurations de ressources pour que celles-ci restent conformes aux standards de l’entreprise.
Comment le service Azure Policy définit-il des stratégies ?
Azure Policy vous permet de définir à la fois des stratégies individuelles et des groupes de stratégies associées, appelées initiatives. Azure Policy évalue vos ressources et met en évidence celles qui ne sont pas conformes aux stratégies que vous avez créées. Azure Policy vous permet également d’empêcher la création de ressources non conformes.
Vous pouvez définir des stratégies Azure Policy à chaque niveau, ce qui vous permet de définir des stratégies pour une ressource, un groupe de ressources, un abonnement, etc. De plus, les stratégies Azure Policy sont héritées. si vous définissez une politique à un niveau supérieur, elle sera automatiquement appliquée à toutes les regroupements qui se trouvent dans le parent. Par exemple, si vous définissez une stratégie Azure Policy pour un groupe de ressources, toutes les ressources créées dans ce groupe de ressources reçoivent automatiquement la même stratégie.
Azure Policy est fourni avec des définitions de stratégie et d’initiative intégrées pour le stockage, le réseau, le calcul, Security Center et le monitoring. Par exemple, si vous définissez une stratégie qui autorise uniquement l’utilisation d’une certaine taille de machine virtuelle dans votre environnement, cette stratégie est appelée quand vous créez une machine virtuelle et chaque fois que vous redimensionnez des machines virtuelles existantes. Azure Policy effectue également l’évaluation et le monitoring de toutes les machines virtuelles actuelles de votre environnement, notamment celles qui ont été créées avant la stratégie.
Dans certains cas, Azure Policy permet de corriger automatiquement les ressources et configurations non conformes pour garantir l’intégrité de l’état des ressources. Par exemple, si toutes les ressources dans un certain groupe de ressources doivent être étiquetées avec l’étiquette AppName et une valeur de “SpecialOrders”, Azure Policy appliquera automatiquement cette étiquette si elle est manquante. Toutefois, vous conservez toujours le contrôle total de votre environnement. Si vous avez une ressource spécifique que vous ne voulez pas que Azure Policy corrige automatiquement, vous pouvez marquer cette ressource comme une exception. Ainsi, la stratégie ne corrigera pas automatiquement cette ressource.
Azure Policy s’intègre aussi à Azure DevOps en appliquant toutes les stratégies relatives aux pipelines d’intégration continue et de livraison continue qui concernent les phases de prédéploiement et de postdéploiement de vos applications.
Que sont les initiatives Azure Policy ?
Une initiative Azure Policy est un moyen de regrouper ensemble des stratégies associées. La définition d’initiative contient toutes les définitions de stratégie qui permettent de suivre l’état de conformité d’un objectif plus large.
Par exemple, Azure Policy comprend une initiative nommée Activer la supervision dans Azure Security Center. Son objectif est d’effectuer le monitoring de toutes les recommandations de sécurité disponibles pour tous les types de ressource Azure dans Azure Security Center.
Dans cette initiative sont incluses les définitions de stratégie suivantes :
- Surveiller les bases de données SQL non chiffrées dans Security Center Cette stratégie surveille les bases de données et les serveurs SQL Server non chiffrés.
- Surveiller les vulnérabilités du système d’exploitation dans Security Center Cette stratégie surveille les serveurs qui ne répondent pas à la base de référence des vulnérabilités du système d’exploitation configurée.
- Surveiller Endpoint Protection manquant dans Security Center Cette stratégie surveille les serveurs qui n’ont aucun agent Endpoint Protection installé.
En fait, l’initiative Activer la surveillance dans Azure Security Center contient plus de 100 définitions de politique séparées.