Mengevaluasi dampak definisi Azure Policy baru

  • Artikel

Azure Policy adalah alat canggih untuk mengelola sumber daya Azure Anda untuk memenuhi kebutuhan kepatuhan standar bisnis. Saat orang, proses, atau alur membuat atau memperbarui sumber daya, Azure Policy meninjau permintaan tersebut. Ketika efek definisi kebijakan adalah Ubah, Tambahkan, atau DeployIfNotExists, Azure Policy mengubah permintaan atau menambahkannya. Ketika efek definisi kebijakan adalah Audit atau AuditIfNotExists, Azure Policy menyebabkan entri log Aktivitas dibuat untuk sumber daya baru dan yang diperbarui. Dan ketika efek definisi kebijakan adalah Tolak atau Tolak, Kebijakan menghentikan pembuatan atau perubahan permintaan.

Hasil ini persis seperti yang diinginkan ketika Anda tahu kebijakan didefinisikan dengan benar. Namun, penting untuk memvalidasi kebijakan baru yang berfungsi sebagaimana dimaksud sebelum mengizinkannya untuk mengubah atau memblokir pekerjaan. Validasi harus memastikan hanya sumber daya yang dimaksudkan yang ditentukan untuk tidak patuh dan tidak ada sumber daya yang patuh yang salah disertakan (dikenal sebagai positif palsu) dalam hasil.

Pendekatan yang disarankan untuk memvalidasi definisi kebijakan baru adalah dengan mengikuti langkah-langkah berikut:

  • Menentukan kebijakan Anda dengan ketat
  • Menguji efektivitas kebijakan Anda
  • Mengaudit permintaan sumber daya baru maupun yang diperbarui
  • Menerapkan kebijakan Anda ke sumber daya
  • Memantau secara terus menerus

Menentukan kebijakan Anda dengan ketat

Penting untuk memahami bagaimana kebijakan bisnis diterapkan sebagai definisi kebijakan dan hubungan sumber daya Microsoft Azure dengan layanan Microsoft Azure lainnya. Langkah ini dicapai dengan mengidentifikasi persyaratan dan menentukan properti sumber daya. Tetapi penting juga untuk melihat melampaui definisi sempit dari kebijakan bisnis Anda. Apakah kebijakan Anda menyatakan misalnya "Semua Virtual Machines harus..."? Bagaimana dengan layanan Microsoft Azure lainnya yang menggunakan VM, seperti HDInsight atau AKS? Ketika mendefinisikan kebijakan, kita harus mempertimbangkan bagaimana kebijakan ini berdampak pada sumber daya yang digunakan oleh layanan lain.

Untuk alasan ini, definisi kebijakan Anda harus didefinisikan secara ketat dan berfokus pada sumber daya dan properti yang perlu Anda evaluasi untuk kepatuhan mungkin.

Menguji efektivitas kebijakan Anda

Sebelum mencari cara untuk mengelola sumber daya baru atau yang diperbarui dengan definisi kebijakan baru Anda, sebaiknya lihat bagaimana kebijakan tersebut mengevaluasi subset terbatas dari sumber daya yang ada, seperti grup sumber daya pengujian. Ekstensi Azure Policy VS Code memungkinkan pengujian definisi yang terisolasi terhadap sumber daya Azure yang ada menggunakan pemindaian evaluasi sesuai permintaan. Anda juga dapat menetapkan definisi di lingkungan Dev menggunakan modepenegakan Dinonaktifkan (DoNotEnforce) pada penetapan kebijakan Anda untuk mencegah efek memicu atau entri log aktivitas dibuat.

Langkah ini memberi Anda kesempatan untuk mengevaluasi hasil kepatuhan kebijakan baru tentang sumber daya yang ada tanpa memengaruhi alur kerja. Periksa apakah tidak ada sumber daya yang sesuai yang ditampilkan sebagai tidak patuh (positif palsu) dan bahwa semua sumber daya yang Anda harapkan tidak patuh ditandai dengan benar. Setelah subset awal sumber daya divalidasi seperti yang diharapkan, perlahan perluas evaluasi ke sumber daya yang lebih ada dan lebih banyak cakupan.

Mengevaluasi sumber daya yang ada dengan cara ini juga memberikan kesempatan untuk memulihkan sumber daya yang tidak patuh sebelum implementasi penuh dari kebijakan baru. Pembersihan ini dapat dilakukan secara manual atau melalui tugas remediasi jika efek definisi kebijakan adalah DeployIfNotExists atau Modifikasi.

Definisi kebijakan dengan DeployIfNotExist harus memanfaatkan templat Azure Resource Manager bagaimana jika untuk memvalidasi dan menguji perubahan yang terjadi saat menyebarkan templat ARM.

Mengaudit sumber daya baru atau yang diperbarui

Setelah Anda memvalidasi, definisi kebijakan baru Anda melaporkan dengan benar pada sumber daya yang ada, saatnya untuk melihat dampak kebijakan saat sumber daya dibuat atau diperbarui. Jika definisi kebijakan mendukung parameterisasi efek, gunakan Audit atau AuditIfNotExist. Konfigurasi ini memungkinkan Anda untuk memantau pembuatan dan pembaruan sumber daya untuk melihat apakah definisi kebijakan baru memicu entri di log aktivitas Microsoft Azure untuk sumber daya yang tidak sesuai tanpa memengaruhi pekerjaan atau permintaan yang ada.

Disarankan untuk memperbarui dan membuat sumber daya baru yang cocok dengan definisi kebijakan Anda untuk melihat bahwa efek Audit atau AuditIfNotExist dipicu dengan benar ketika diharapkan. Waspadalah terhadap permintaan sumber daya yang seharusnya tidak terpengaruh oleh definisi kebijakan baru yang memicu efek Audit atau AuditIfNotExist . Sumber daya yang terpengaruh ini adalah contoh lain dari positif palsu dan harus diperbaiki dalam definisi kebijakan sebelum implementasi penuh.

Jika definisi kebijakan diubah pada tahap pengujian ini, disarankan untuk memulai proses validasi dengan audit sumber daya yang ada. Perubahan definisi kebijakan untuk positif palsu pada sumber daya baru atau yang diperbarui kemungkinan juga akan berdampak pada sumber daya yang ada.

Menerapkan kebijakan Anda ke sumber daya

Setelah menyelesaikan validasi definisi kebijakan baru Anda dengan sumber daya yang ada dan permintaan sumber daya baru atau yang diperbarui, Anda memulai proses penerapan kebijakan. Disarankan untuk membuat penetapan kebijakan untuk definisi kebijakan baru ke subset semua sumber daya terlebih dahulu, seperti grup sumber daya. Anda dapat memfilter lebih lanjut menurut jenis sumber daya atau lokasi menggunakan resourceSelectors properti dalam penetapan kebijakan. Setelah memvalidasi penyebaran awal, perluas cakupan kebijakan menjadi lebih luas sebagai grup sumber daya. Setelah memvalidasi penyebaran awal, perluas dampak kebijakan dengan menyesuaikan filter resourceSelector untuk menargetkan lebih banyak lokasi atau jenis sumber daya, atau dengan menghapus penugasan dan menggantinya dengan yang baru pada cakupan yang lebih luas seperti langganan dan grup manajemen. Lanjutkan peluncuran bertahap ini hingga ditetapkan ke cakupan lengkap sumber daya yang dimaksudkan untuk dicakup oleh definisi kebijakan baru Anda.

Selama peluncuran, jika sumber daya berada yang harus dikecualikan dari definisi kebijakan baru Anda, atasi dengan salah satu cara berikut:

  • Perbarui definisi kebijakan agar lebih eksplisit untuk mengurangi dampak yang tidak diinginkan
  • Mengubah cakupan penetapan kebijakan (dengan menghapus dan membuat tugas baru)
  • Menambahkan grup sumber daya ke daftar pengecualian untuk penetapan kebijakan

Setiap perubahan pada lingkup (tingkat atau pengecualian) harus sepenuhnya divalidasi dan dikomunikasikan dengan organisasi keamanan dan kepatuhan Anda untuk memastikan tidak ada celah dalam cakupan.

Memantau kebijakan dan kepatuhan Anda

Mengimplementasikan dan menetapkan definisi kebijakan Anda bukanlah langkah akhir. Terus memantau tingkat kepatuhan sumber daya ke definisi kebijakan baru Anda dan menyiapkan pemberitahuan dan pemberitahuan Azure Monitor yang sesuai saat perangkat yang tidak sesuai diidentifikasi. Disarankan juga untuk mengevaluasi definisi kebijakan dan penugasan terkait secara terjadwal untuk memvalidasi definisi kebijakan memenuhi kebijakan bisnis dan kebutuhan kepatuhan. Kebijakan harus dihapus jika tidak lagi diperlukan. Kebijakan juga perlu diperbarui dari waktu ke waktu seiring berkembangnya sumber daya Azure yang mendasar dan menambahkan properti dan kemampuan baru.

Langkah berikutnya