Condividi tramite


Valutare l'impatto di una nuova definizione di Criteri di Azure

Criteri di Azure è uno strumento potente che consente di gestire le risorse di Azure per soddisfare gli standard aziendali e le esigenze di conformità. Quando utenti, processi o pipeline creano o aggiornano le risorse, Criteri di Azure esamina la richiesta. Quando l'effetto di definizione dei criteri viene modificato, accodato o deployIfNotExists, i criteri modificano la richiesta o lo aggiungono. Quando l'effetto di definizione dei criteri è audit o auditIfNotExists, Policy determina la creazione di una voce del log attività per le risorse nuove e aggiornate. E quando l'effetto di definizione dei criteri è deny o denyAction, policy arresta la creazione o l'alterazione della richiesta.

Questi sono i risultati desiderati quando i criteri sono definiti correttamente. È, tuttavia, importante verificare che un nuovo criterio funzioni come previsto prima di consentire la modifica o il blocco dell'attività. La convalida deve garantire che vengano determinate come non conformi solo le risorse desiderate e che nei risultati non vengano incluse erroneamente le risorse non conformi (falsi positivi).

L'approccio consigliato per la convalida di una nuova definizione dei criteri consiste nella procedura seguente:

  • Definire i criteri in modo preciso.
  • Testare l'efficacia dei criteri.
  • Controllare le richieste di risorse nuove o aggiornate.
  • Distribuire i criteri alle risorse.
  • Monitoraggio continuo.

Definire i criteri in modo preciso

È importante comprendere come vengono implementati i criteri di business come definizione dei criteri e la relazione tra le risorse di Azure e gli altri servizi di Azure. Questo passaggio viene eseguito identificando i requisiti e determinando le proprietà delle risorse. È, tuttavia, importante andare anche oltre la definizione stretta dei criteri di business. Ad esempio, il criterio indica che tutti i Macchine virtuali devono...? Informazioni su altri servizi di Azure che usano macchine virtuali, ad esempio HDInsight o servizio Azure Kubernetes (servizio Azure Kubernetes)? Quando si definisce un criterio, è necessario considerare il modo in cui influisce sulle risorse usate da altri servizi.

Per questo motivo, è importante che le definizioni dei criteri siano quanto più possibile precise e incentrate sulle risorse e le proprietà da valutare.

Testare l'efficacia dei criteri

Prima di cercare di gestire risorse nuove o aggiornate con la nuova definizione dei criteri, è preferibile analizzare come quest'ultima valuta un subset limitato di risorse esistenti, ad esempio un gruppo di risorse di test. L'estensione VS Code per Criteri di Azure consente di testare in modo isolato le definizioni rispetto alle risorse di Azure esistenti usando l'analisi di valutazione su richiesta. È anche possibile assegnare la definizione in un ambiente di sviluppo usando la modalità di imposizione Disabilitata (doNotEnforce) nell'assegnazione dei criteri per impedire la creazione di voci del log attività o di attivazione.

Questo passaggio consente di valutare i risultati di conformità del nuovo criterio sulle risorse esistenti senza influire sul flusso di lavoro. Verificare che non siano presenti risorse conformi contrassegnate come non conformi (falsi positivi) e che tutte le risorse che si prevede siano non conformi siano contrassegnate correttamente. Dopo che il subset iniziale di risorse viene convalidato come previsto, espandere lentamente la valutazione ad altre risorse esistenti e altri ambiti.

La valutazione delle risorse esistenti in questo modo consente anche di correggere le risorse non conformi prima dell'implementazione completa del nuovo criterio. Questa pulizia può essere eseguita manualmente o tramite un'attività di correzione se l'effetto della definizione dei criteri è deployIfNotExists o modify.

Le definizioni dei criteri con un deployIfNotExists devono usare il modello di Azure Resource Manager cosa accade se convalidare e testare le modifiche che si verificano durante la distribuzione del modello di Resource Manager.

Controllare le risorse nuove o aggiornate

Dopo aver convalidato che la nuova definizione dei criteri segnala correttamente le risorse esistenti, è possibile esaminare l'effetto dei criteri quando le risorse vengono create o aggiornate. Se la definizione dei criteri supporta la parametrizzazione degli effetti, usare audit o auditIfNotExist. Questa configurazione consente di monitorare la creazione e l'aggiornamento delle risorse per verificare se la nuova definizione di criteri attiva una voce nel log attività di Azure per una risorsa non conforme senza influire sulle richieste o sul lavoro esistenti.

È consigliabile aggiornare e creare nuove risorse corrispondenti alla definizione dei criteri per verificare che l'effetto audit o auditIfNotExists venga attivato correttamente quando previsto. Essere alla ricerca di richieste di risorse che non devono essere interessate dalla nuova definizione di criteri che attivano l'effetto audit o auditIfNotExists . Queste risorse interessate rappresentano un altro esempio di falsi positivi e devono essere corrette nella definizione dei criteri prima dell'implementazione completa.

Nel caso in cui la definizione dei criteri venga modificata in questa fase di test, è consigliabile avviare il processo di convalida con il controllo delle risorse esistenti. È probabile che una modifica alla definizione dei criteri per un falso positivo per le risorse nuove o aggiornate abbia un effetto sulle risorse esistenti.

Distribuire i criteri alle risorse

Dopo aver completato la convalida della nuova definizione dei criteri con risorse esistenti e richieste di risorse nuove o aggiornate, si inizia il processo di implementazione dei criteri. È consigliabile creare prima l'assegnazione di criteri per la nuova definizione di criteri a un subset di tutte le risorse, ad esempio un gruppo di risorse. È possibile filtrare ulteriormente in base al tipo di risorsa o alla posizione usando la proprietà resourceSelectors all'interno dell'assegnazione dei criteri. Dopo aver convalidato la distribuzione iniziale, estendere l'ambito dei criteri a un gruppo di risorse più ampio. Dopo aver convalidato la distribuzione iniziale, espandere l'effetto del criterio modificando i resourceSelector filtri in modo che puntino a più posizioni o tipi di risorse. In alternativa, rimuovendo l'assegnazione e sostituendola con una nuova con un ambito più ampio, ad esempio sottoscrizioni e gruppi di gestione. Continuare questa implementazione graduale fino a quando non viene assegnata all'ambito completo delle risorse che devono essere coperte dalla nuova definizione di criteri.

Durante l'implementazione, se si trovano risorse che devono essere esentate dalla nuova definizione dei criteri, risolverle in uno dei modi seguenti:

  • Aggiornare la definizione dei criteri in modo che sia più esplicita per ridurre gli effetti imprevisti.
  • Modificare l'ambito dell'assegnazione dei criteri (rimuovendo l'assegnazione e creandone una nuova).
  • Aggiungere il gruppo di risorse all'elenco di esclusione per l'assegnazione dei criteri.

Tutte le modifiche apportate all'ambito (livello o esclusioni) devono essere completamente convalidate e comunicate alle organizzazioni di sicurezza e conformità per assicurarsi che la copertura sia completa.

Monitorare criteri e conformità

L'implementazione e l'assegnazione della definizione dei criteri non è il passaggio finale. Monitorare costantemente il livello di conformità delle risorse nella nuova definizione dei criteri e configurare avvisi e notifiche di Monitoraggio di Azure appropriati in caso di identificazione di dispositivi non conformi. È consigliabile valutare la definizione dei criteri e le assegnazioni correlate in base a una pianificazione per verificare che la definizione dei criteri soddisfi i criteri aziendali e le esigenze di conformità. I criteri devono essere rimossi se non sono più necessari. I criteri richiedono anche un aggiornamento periodico, in quanto le risorse di Azure sottostanti si evolvono e aggiungono nuove proprietà e funzionalità.

Passaggi successivi