Membuat, menetapkan, dan menginterpretasikan kebijakan dan inisiatif keamanan dalam Azure Policy

  • 7 menit

Dalam hal mengamankan lingkungan Azure, Anda akan menemukan dua alat penting: Kebijakan Keamanan Azure dan Azure Security Initiatives. Keduanya memainkan peran penting dalam menjaga kepatuhan, tetapi melayani tujuan yang berbeda. Mari kita uraikan fitur dan kasus penggunaannya.

Kebijakan Keamanan Azure

  • Definisi: Azure Policy seperti wali yang rajin yang memastikan sumber daya Anda mematuhi aturan tertentu. Ini memungkinkan Anda menentukan dan menerapkan kebijakan di seluruh lingkungan Azure Anda.

  • Komponen:

    • Definisi Kebijakan: Menentukan kondisi yang ingin Anda kontrol (misalnya, jenis sumber daya yang diizinkan, tag wajib).
    • Penetapan Kebijakan: Menentukan di mana kebijakan berlaku (sumber daya individual, grup sumber daya, grup manajemen).
    • Parameter Kebijakan: Menyesuaikan perilaku kebijakan (misalnya, Unit Penyimpanan Stok Komputer Virtual, lokasi).

  • Kasus Penggunaan:

    • Menerapkan aturan tertentu secara konsisten.
    • Memastikan pemberian tag seragam.
    • Mengontrol jenis sumber daya.

Inisiatif Keamanan Azure

  • Definisi: Anggap Azure Initiatives sebagai bundel kebijakan. Mereka mengelompokkan definisi kebijakan Azure terkait bersama-sama untuk tujuan tertentu.

  • Komponen:

    • Definisi (Kebijakan): Kumpulan kebijakan yang dibundel ke dalam satu item.
    • Penugasan: Inisiatif diterapkan ke cakupan (misalnya, langganan, grup sumber daya).
    • Parameter: Menyesuaikan perilaku inisiatif.

  • Kasus Penggunaan:

    • Mencapai tujuan kepatuhan yang lebih luas (misalnya, Standar Keamanan Data Industri Kartu Pembayaran, Portabilitas Asuransi Kesehatan, dan Undang-Undang Akuntabilitas).
    • Mengelola kebijakan terkait secara kohesif.

Kapan menggunakan yang mana

  • Azure Policy:

    • Gunakan untuk kebijakan individual saat aturan tertentu memerlukan penegakan.
    • Terkadang satu kebijakan sudah cukup.

  • Azure Initiatives:

    • Direkomendasikan bahkan untuk satu kebijakan karena menyederhanakan manajemen.
    • Inisiatif memungkinkan Anda mengelola beberapa kebijakan sebagai unit kohesif.
    • Contoh: Alih-alih menangani 20 kebijakan terpisah untuk kepatuhan PCI-DSS, gunakan inisiatif yang mengevaluasi semuanya secara bersamaan.

Kebijakan Keamanan Azure berfokus pada kontrol terperinci, sementara Azure Security Initiatives menyediakan pendekatan konsolidasi. Pilih dengan bijaksana berdasarkan kebutuhan organisasi Anda dan kompleksitas kepatuhan. Keduanya adalah alat penting di kotak alat keamanan Azure Anda.

Membuat dan mengelola kebijakan untuk menegakkan kepatuhan

Memahami cara membuat dan mengelola kebijakan di Azure penting untuk tetap mematuhi standar perusahaan dan perjanjian tingkat layanan Anda. Dalam contoh ini, Anda belajar menggunakan Azure Policy untuk melakukan beberapa tugas yang lebih umum terkait dengan membuat, menetapkan, dan mengelola kebijakan di seluruh organisasi Anda, seperti:

  • Menetapkan kebijakan untuk memberlakukan kondisi untuk sumber daya yang Anda buat di masa mendatang
  • Membuat dan menetapkan definisi inisiatif untuk melacak kepatuhan untuk beberapa sumber daya
  • Mengatasi sumber daya yang tidak patuh atau ditolak
  • Menerapkan kebijakan baru di seluruh organisasi

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum memulai.

Menetapkan kebijakan

Langkah pertama dalam memberlakukan kepatuhan dengan Azure Policy adalah menetapkan definisi kebijakan. Definisi kebijakan mendefinisikan dalam kondisi apa kebijakan diberlakukan dan efek apa yang harus diambil. Dalam contoh ini, tetapkan definisi kebijakan bawaan yang disebut Mewarisi tag dari grup sumber daya jika tidak ada penambahan tag yang ditentukan dengan nilainya dari grup sumber daya induk ke sumber daya baru atau yang diperbarui kehilangan tag.

  1. Buka portal Microsoft Azure , untuk menetapkan kebijakan. Cari dan pilih Kebijakan.

    Cuplikan layar memperlihatkan cara menavigasi di portal Microsoft Azure untuk menetapkan kebijakan.

  2. Pilih Tugas di sisi kiri halaman Azure Policy. Penugasan adalah kebijakan yang telah ditetapkan untuk dilakukan dalam cakupan tertentu.

    Cuplikan layar memperlihatkan cara mengonfigurasi penugasan di halaman Kebijakan.

  3. Pilih Tetapkan Kebijakan dari bagian atas halaman Kebijakan - Penugasan.

    Cuplikan layar memperlihatkan cara menetapkan kebijakan di halaman penetapan penulisan.

  4. Pada halaman Tetapkan Kebijakan dan tab Dasar, pilih Cakupan dengan memilih elipsis dan memilih grup manajemen atau langganan. Secara opsional, pilih grup sumber daya. Cakupan menentukan sumber daya atau pengelompokan sumber daya apa yang akan diberlakukan oleh penetapan kebijakan. Lalu klik Pilih di bagian bawah halaman Cakupan. Contoh ini menggunakan langganan Contoso. Langganan Anda akan berbeda.

  5. Sumber daya dapat dikecualikan berdasarkan Cakupan. Pengecualian dimulai pada satu tingkat lebih rendah dari tingkat Cakupan. Pengecualian bersifat opsional, jadi biarkan kosong untuk saat ini.

  6. Pilih definisi Policy elipsis untuk membuka daftar definisi yang tersedia. Anda dapat memfilter definisi kebijakan Jenis ke Bawaan untuk melihat semua dan membaca deskripsinya.

  7. Pilih Warisi tag dari grup sumber daya jika tidak ada. Jika Anda tidak dapat langsung menemukannya, ketik mewarisi tag ke dalam kotak pencarian lalu tekan ENTER atau pilih keluar dari kotak pencarian. Klik Pilih di bagian bawah halaman AvailableDefinitions setelah Anda menemukan dan memilih definisi kebijakan.

    Cuplikan layar memperlihatkan cara menampilkan jenis definisi kebijakan Azure yang tersedia.

  8. Nama penugasan secara otomatis diisi dengan nama kebijakan yang Anda pilih, tetapi Anda dapat mengubahnya. Untuk contoh ini, biarkan Mewarisi tag dari grup sumber daya jika hilang. Anda juga dapat menambahkan Deskripsi opsional. Deskripsi menyediakan detail tentang penetapan kebijakan ini.

  9. Biarkan penegakan Kebijakan sebagai diaktifkan. Ketika Dinonaktifkan, pengaturan ini memungkinkan pengujian hasil kebijakan tanpa memicu efeknya. Untuk informasi selengkapnya, lihat mode penerapan.

  10. Ditetapkan oleh secara otomatis diisi berdasarkan siapa yang masuk. Bidang ini bersifat opsional, sehingga nilai kustom dapat dimasukkan.

  11. Pilih tab Parameter di bagian atas wizard.

  12. Untuk Nama Tag, masukkan Lingkungan.

  13. Pilih tab Remediasi di bagian atas wizard.

  14. Biarkan Membuat tugas remediasi tidak dicentang. Kotak ini memungkinkan Anda membuat tugas untuk mengubah sumber daya yang ada selain sumber daya baru atau yang diperbarui.

  15. Membuat Identitas Terkelola secara otomatis diperiksa karena definisi kebijakan ini menggunakan efek modifikasi. Izin diatur ke Kontributor secara otomatis berdasarkan definisi kebijakan. Untuk informasi selengkapnya, lihat identitas terkelola dan cara kerja kontrol akses remediasi.

  16. Pilih tab pesan Non-kepatuhan di bagian atas wizard.

  17. Atur pesan Ketidakpatuhuran ke Sumber daya ini tidak memiliki tag yang diperlukan. Pesan kustom ini ditampilkan ketika sumber daya ditolak atau untuk sumber daya yang tidak sesuai selama evaluasi reguler.

  18. Pilih tab Tinjau + buat di bagian atas wizard.

  19. Tinjau pilihan Anda, lalu pilih Buat di bagian bawah halaman.