Mengevaluasi dampak definisi Azure Policy baru
Azure Policy adalah alat canggih untuk mengelola sumber daya Azure Anda untuk memenuhi kebutuhan kepatuhan standar bisnis. Saat orang, proses, atau alur membuat atau memperbarui sumber daya, Azure Policy meninjau permintaan tersebut. Ketika efek definisi kebijakan diubah, ditambahkan, atau deployIfNotExists, Kebijakan mengubah permintaan atau menambahkannya. Ketika efek definisi kebijakan adalah audit atau auditIfNotExists, Kebijakan menyebabkan entri log Aktivitas dibuat untuk sumber daya baru dan yang diperbarui. Dan ketika efek definisi kebijakan ditolak atau ditolak, Kebijakan menghentikan pembuatan atau perubahan permintaan.
Hasil ini persis seperti yang diinginkan ketika Anda tahu kebijakan didefinisikan dengan benar. Namun, penting untuk memvalidasi kebijakan baru yang berfungsi sebagaimana dimaksud sebelum mengizinkannya untuk mengubah atau memblokir pekerjaan. Validasi harus memastikan hanya sumber daya yang dimaksudkan yang ditentukan untuk tidak patuh dan tidak ada sumber daya yang patuh yang salah disertakan (dikenal sebagai positif palsu) dalam hasil.
Pendekatan yang disarankan untuk memvalidasi definisi kebijakan baru adalah dengan mengikuti langkah-langkah berikut:
- Tetapkan kebijakan Anda dengan ketat.
- Uji efektivitas kebijakan Anda.
- Audit permintaan sumber daya baru atau yang diperbarui.
- Sebarkan kebijakan Anda ke sumber daya.
- Pemantauan berkelanjutan.
Menentukan kebijakan Anda dengan ketat
Penting untuk memahami bagaimana kebijakan bisnis diterapkan sebagai definisi kebijakan dan hubungan sumber daya Microsoft Azure dengan layanan Microsoft Azure lainnya. Langkah ini dicapai dengan mengidentifikasi persyaratan dan menentukan properti sumber daya. Tetapi penting juga untuk melihat melampaui definisi sempit dari kebijakan bisnis Anda. Misalnya, apakah kebijakan Anda menyatakan bahwa Semua Komputer Virtual harus...? Bagaimana dengan layanan Azure lainnya yang menggunakan VM, seperti HDInsight atau Azure Kubernetes Service (AKS)? Ketika mendefinisikan kebijakan, kita harus mempertimbangkan bagaimana kebijakan ini berdampak pada sumber daya yang digunakan oleh layanan lain.
Untuk alasan ini, definisi kebijakan Anda harus didefinisikan secara ketat dan berfokus pada sumber daya dan properti yang perlu Anda evaluasi untuk kepatuhan mungkin.
Menguji efektivitas kebijakan Anda
Sebelum mencari cara untuk mengelola sumber daya baru atau yang diperbarui dengan definisi kebijakan baru Anda, sebaiknya lihat bagaimana kebijakan tersebut mengevaluasi subset terbatas dari sumber daya yang ada, seperti grup sumber daya pengujian. Ekstensi Azure Policy VS Code memungkinkan pengujian definisi yang terisolasi terhadap sumber daya Azure yang ada menggunakan pemindaian evaluasi sesuai permintaan. Anda juga dapat menetapkan definisi di lingkungan Dev menggunakan mode penegakan Dinonaktifkan (doNotEnforce) pada penetapan kebijakan Anda untuk mencegah efek memicu atau entri log aktivitas dibuat.
Langkah ini memberi Anda kesempatan untuk mengevaluasi hasil kepatuhan kebijakan baru tentang sumber daya yang ada tanpa memengaruhi alur kerja. Periksa apakah tidak ada sumber daya yang sesuai yang ditampilkan sebagai tidak patuh (positif palsu) dan bahwa semua sumber daya yang Anda harapkan tidak patuh ditandai dengan benar. Setelah subset awal sumber daya divalidasi seperti yang diharapkan, perlahan perluas evaluasi ke sumber daya yang lebih ada dan lebih banyak cakupan.
Mengevaluasi sumber daya yang ada dengan cara ini juga memberikan kesempatan untuk memulihkan sumber daya yang tidak patuh sebelum implementasi penuh dari kebijakan baru. Pembersihan ini dapat dilakukan secara manual atau melalui tugas remediasi jika efek definisi kebijakan adalah deployIfNotExists
atau modify
.
Definisi kebijakan dengan deployIfNotExists
harus menggunakan templat Azure Resource Manager bagaimana jika untuk memvalidasi dan menguji perubahan yang terjadi saat menyebarkan templat ARM.
Mengaudit sumber daya baru atau yang diperbarui
Setelah Anda memvalidasi definisi kebijakan baru Anda melaporkan dengan benar pada sumber daya yang ada, saatnya untuk melihat efek kebijakan saat sumber daya dibuat atau diperbarui. Jika definisi kebijakan mendukung parameterisasi efek, gunakan audit atau auditIfNotExist. Konfigurasi ini memungkinkan Anda memantau pembuatan dan pembaruan sumber daya untuk melihat apakah definisi kebijakan baru memicu entri di log Aktivitas Azure untuk sumber daya yang tidak sesuai tanpa memengaruhi pekerjaan atau permintaan yang ada.
Rekomendasinya adalah memperbarui dan membuat sumber daya baru yang cocok dengan definisi kebijakan Anda untuk melihat bahwa audit
efek atau auditIfNotExists
dipicu dengan benar ketika diharapkan. Waspadalah terhadap permintaan sumber daya yang seharusnya tidak terpengaruh oleh definisi kebijakan baru yang memicu audit
atau auditIfNotExists
mempengaruhi. Sumber daya yang terpengaruh ini adalah contoh lain dari positif palsu dan harus diperbaiki dalam definisi kebijakan sebelum implementasi penuh.
Jika definisi kebijakan diubah pada tahap pengujian ini, rekomendasinya adalah memulai proses validasi dengan audit sumber daya yang ada. Perubahan pada definisi kebijakan untuk positif palsu pada sumber daya baru atau yang diperbarui kemungkinan juga berpengaruh pada sumber daya yang ada.
Menerapkan kebijakan Anda ke sumber daya
Setelah menyelesaikan validasi definisi kebijakan baru Anda dengan sumber daya yang ada dan permintaan sumber daya baru atau yang diperbarui, Anda memulai proses penerapan kebijakan. Rekomendasinya adalah membuat penetapan kebijakan untuk definisi kebijakan baru ke subset semua sumber daya terlebih dahulu, seperti grup sumber daya. Anda dapat memfilter lebih lanjut menurut jenis sumber daya atau lokasi menggunakan properti resourceSelectors dalam penetapan kebijakan. Setelah memvalidasi penyebaran awal, perluas cakupan kebijakan menjadi lebih luas sebagai grup sumber daya. Setelah memvalidasi penyebaran awal, perluas efek kebijakan dengan menyesuaikan resourceSelector
filter untuk menargetkan lebih banyak lokasi atau jenis sumber daya. Atau dengan menghapus penugasan dan menggantinya dengan yang baru pada cakupan yang lebih luas seperti langganan dan grup manajemen. Lanjutkan peluncuran bertahap ini hingga ditetapkan ke cakupan lengkap sumber daya yang dimaksudkan untuk dicakup oleh definisi kebijakan baru Anda.
Selama peluncuran, jika sumber daya berada yang harus dikecualikan dari definisi kebijakan baru Anda, atasi dengan salah satu cara berikut:
- Perbarui definisi kebijakan agar lebih eksplisit untuk mengurangi efek yang tidak diinginkan.
- Ubah cakupan penetapan kebijakan (dengan menghapus dan membuat penetapan baru).
- Tambahkan grup sumber daya ke daftar pengecualian untuk penetapan kebijakan.
Setiap perubahan pada lingkup (tingkat atau pengecualian) harus sepenuhnya divalidasi dan dikomunikasikan dengan organisasi keamanan dan kepatuhan Anda untuk memastikan tidak ada celah dalam cakupan.
Memantau kebijakan dan kepatuhan Anda
Mengimplementasikan dan menetapkan definisi kebijakan Anda bukanlah langkah akhir. Terus memantau tingkat kepatuhan sumber daya ke definisi kebijakan baru Anda dan menyiapkan pemberitahuan dan pemberitahuan Azure Monitor yang sesuai saat perangkat yang tidak sesuai diidentifikasi. Rekomendasinya adalah mengevaluasi definisi kebijakan dan penugasan terkait secara terjadwal untuk memvalidasi definisi kebijakan adalah memenuhi kebutuhan kebijakan bisnis dan kepatuhan. Kebijakan harus dihapus jika tidak lagi diperlukan. Kebijakan juga perlu diperbarui dari waktu ke waktu seiring berkembangnya sumber daya Azure yang mendasar dan menambahkan properti dan kemampuan baru.
Langkah berikutnya
- Pelajari tentang struktur definisi kebijakan.
- Pelajari tentang struktur penugasan kebijakan.
- Memahami cara membuat kebijakan secara terprogram.
- Pelajari cara mendapatkan data kepatuhan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.
- Tinjau apa itu grup manajemen Atur sumber daya Anda dengan grup manajemen Azure.