Mikor érdemes használni az Azure Policyt?
Ahogy már említettük, az Azure Policy egy szolgáltatás, amellyel szabályzatdefiníciókat hozhat létre, rendelhet hozzá és kezelhet. A szabályzatok általában a megfelelőségi, ellenőrzési vagy skálázási igényeket kezelik .
Ezek a szabályzatdefiníciók az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költség és a felügyelet szabályozásának megvalósítására szolgálnak. Megadhatja a létrehozott erőforrások konfigurációs követelményeit, és elvégezheti az alábbi műveletek egyikét:
- A nem megfelelő erőforrások azonosítása
- Az erőforrások létrehozásának letiltása
- Adja hozzá a szükséges konfigurációt
Példaforgatókönyvek, ahol az Azure Policyt használhatja:
Költségkezelés
- Korlátozza a létrehozható virtuális gépek termékváltozatait.
- Kerülje az Azure-régiók használatát, ahol az erőforrás költsége magasabb.
- Korlátozza az Azure Marketplace-ről származó olyan megoldások használatát, amelyek növelhetik a költségeket.
Biztonság
- SSL-kapcsolat kényszerítése az Azure MySQL-adatbázishoz.
- Győződjön meg arról, hogy a Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek.
- Győződjön meg arról, hogy a Windows-gépek megfelelnek a Windows tűzfal tulajdonságaira vonatkozó követelményeknek.
Figyelés
- A tevékenységnaplókat legalább egy évig meg kell őrizni.
- A Log Analytics-ügynököt engedélyezni kell a felsorolt virtuális gépek rendszerképeihez.
- Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie.
Biztonsági mentés
- Győződjön meg arról, hogy az összes virtuális gépen engedélyezve van az Azure Backup.
- Győződjön meg arról, hogy a georedundáns biztonsági mentés engedélyezve van az Azure Database for MySQL-ben vagy a PostgreSQL-ben.
- Győződjön meg arról, hogy a hosszú távú georedundáns biztonsági mentés engedélyezve van az Azure SQL Database-ben.
Cégirányítás
- Gondoskodjon a címkék megfelelő használatáról és az erőforrások címkézési kényszerítéséről.
- Virtuális gépek naplózása függőben lévő újraindítással.
- A szervezeti megfelelőségi követelmények kezelése. Megadhatja, hogy a TLS/SSL-tanúsítvány élettartam-művelete az élettartam meghatározott százalékában vagy a lejárata előtt megadott számú napon aktiválódik-e.
Nagy léptékű műveletek
- Az Azure Monitor-ügynök üzembe helyezése az összes virtuális gépen.
- Engedélyezze az Azure Backupot virtuális gépekhez.
- Győződjön meg arról, hogy a naplózás engedélyezve van az összes Azure SQL Database-példányon.
- Győződjön meg arról, hogy biztonságos kapcsolatok (HTTPS) csatlakoznak a tárfiókokhoz.
- Megakadályozza a bejövő RDP-t az internetről a virtuális gépeken.
Az Azure Policy implementálásának szempontjai
Az Azure Policy sikeres megvalósításának négy fontos szempontja van:
- Értékelés
- Teszt
- Üzembe helyezés
- Jelölőnégyzet
Az értékelés során áttekintést talál a környezet állapotáról. Ezután, mielőtt módosításokat hajthat végre a környezetében a szabályzatokon keresztül a műveletek elvégzéséhez, rendeljen hozzá egy szabályzatot csak a környezet naplózásához. Ezt a funkciót a menü Áttekintés lehetőségével szerezheti be.
Mielőtt olyan szabályzatokat hoz létre, amelyek módosításokat hajtanak végre a környezetben, mindenképpen teszteljen mindent.
Ellenőrizze a szabályzat szintaxisát, a végrehajtott műveleteket és a használt hatókört (felügyeleti csoportok, előfizetések és erőforráscsoportok). Ellenőrizze az összes szabályzatbefoglalást, kizárást és kivételt.
A kezdeti üzembe helyezéshez győződjön meg arról, hogy a szabályzatot ellenőrzött környezetben vagy dedikált előfizetésben futtatja. Az Azure Policy-hozzárendelések nem lépnek érvénybe azonnal. A szabályzatok kiértékelési késése körülbelül 30 perc. Az erőforrások naplózása is eltarthat egy ideig, mivel az Azure Policy-motornak minden erőforrást ki kell értékelnie a hozzárendelt hatókörön belüli szabályzatszabályok alapján.
Végül a Megfelelőségi beállítással ellenőrizze a szabályzat-hozzárendelések eredményeit.