Az Azure Policy céljának ismertetése
Hogyan biztosíthatja, hogy az erőforrások megfelelőek maradjanak? Riasztást kaphat, ha egy erőforrás konfigurációja megváltozott?
Az Azure Policy egy olyan Azure-szolgáltatás, amellyel erőforrásokat szabályozó vagy naplózó szabályzatokat hozhat létre, rendelhet hozzá és kezelhet. Ezek a szabályzatok különböző szabályokat kényszerítenek ki az erőforrás-konfigurációkban, hogy ezek a konfigurációk megfeleljenek a vállalati szabványoknak.
Hogyan határoz meg szabályzatokat az Azure Policy?
Az Azure Policyvel egyéni szabályzatokat és kapcsolódó szabályzatcsoportokat (más néven kezdeményezéseket) is definiálhat. Az Azure Policy kiértékeli az erőforrásokat, és kiemeli azokat, amelyek nem felelnek meg a létrehozott szabályzatoknak. Az Azure Policy emellett képes meggátolni a nem megfelelő erőforrások létrehozását.
Az Azure-szabályzatok minden szinten beállíthatók, így szabályzatokat állíthat be egy adott erőforrásra, erőforráscsoportra, előfizetésre stb. Emellett az Azure-szabályzatok öröklődnek, így ha magas szinten állít be egy szabályzatot, az automatikusan alkalmazva lesz az összes olyan csoportosításra, amely a szülőbe tartozik. Ha például egy azure-szabályzatot egy erőforráscsoporton állít be, az adott erőforráscsoporton belül létrehozott összes erőforrás automatikusan ugyanazt a szabályzatot kapja.
Az Azure Policy beépített szabályzat- és kezdeményezésdefiníciókkal rendelkezik a tároláshoz, a hálózatkezeléshez, a számításhoz, a Security Centerhez és a monitorozáshoz. Ha például olyan szabályzatot határoz meg, amely csak bizonyos méretű virtuális gépek (virtuális gépek) használatát teszi lehetővé a környezetben, akkor a rendszer meghívja a szabályzatot egy új virtuális gép létrehozásakor és a meglévő virtuális gépek átméretezésekor. Az Azure Policy emellett kiértékeli és figyeli a környezet összes jelenlegi virtuális gépét, beleértve a szabályzat létrehozása előtt létrehozott virtuális gépeket is.
Bizonyos esetekben a Azure Policy automatikusan kijavíthat nem megfelelő erőforrásokat és konfigurációkat, hogy gondoskodjon az erőforrások állapotának integritásáról. Ha például egy adott erőforráscsoport összes erőforrását AppName címkével és "SpecialOrders" értékkel kell címkézni, az Azure Policy automatikusan alkalmazza ezt a címkét, ha hiányzik. Azonban továbbra is teljes mértékben felügyeli a környezetét. Ha van egy adott erőforrása, amelyet nem szeretne az Azure Policy automatikusan kijavítani, akkor ezt az erőforrást kivételként jelölheti meg, és a szabályzat nem fogja automatikusan kijavítani az erőforrást.
Az Azure Policy integrálható az Azure DevOpsszal is az alkalmazások üzembe helyezés előtti és utáni fázisaihoz kapcsolódó folyamatos integrációs és kézbesítési folyamat szabályzatainak alkalmazásával.
Mik az Azure Policy-kezdeményezések?
Az Azure Policy-kezdeményezés a kapcsolódó szabályzatok csoportosításának egyik módja. A kezdeményezésdefiníció az összes szabályzatdefiníciót tartalmazza, amely segít nyomon követni egy nagyobb cél érdekében a megfelelőség állapotát.
Az Azure Policy például tartalmaz egy Figyelés engedélyezése az Azure Security Centerben nevű kezdeményezést. Célja az Azure Security Centerben elérhető összes Azure-erőforrástípushoz elérhető biztonsági javaslatok figyelése.
Egy ilyen kezdeményezés a következő szabályzatdefiníciókat tartalmazza:
- Titkosítatlan SQL Database monitorozása a Security Centerben Ez a házirend a titkosítatlan SQL-adatbázisok és -kiszolgálók figyelése.
- Az operációs rendszer biztonsági réseinek monitorozása a Security Centerben Ez a házirend olyan kiszolgálókat figyel, amelyek nem felelnek meg a konfigurált operációsrendszer-biztonságirés alapkonfigurációjának.
- Hiányzó Endpoint Protection monitorozása a Security Centerben Ez a házirend olyan kiszolgálókat figyel, amelyek nem rendelkeznek telepített végpontvédelmi ügynökkel.
A Figyelés engedélyezése az Azure Security Centerben kezdeményezés valójában több mint 100 különálló szabályzatdefiníciót tartalmaz.