Indietro

Prossima

Creare, assegnare e interpretare i criteri e le iniziative di sicurezza in Criteri di Azure

Completato

Quando si tratta di proteggere l'ambiente di Azure, si incontreranno due strumenti essenziali: Criteri di sicurezza di Azure e Iniziative di sicurezza di Azure. Entrambi svolgono ruoli critici per mantenere la conformità, ma servono scopi diversi. Di seguito vengono descritte le funzionalità e i casi d'uso.

Criteri di sicurezza di Azure:

• Definizione: Criteri di Azure è come un guardiano diligente, che garantisce che le risorse rispettino regole specifiche. Consente di definire e applicare criteri nell'ambiente Azure.

• Componenti:

  • Definizione dei criteri: Specifica le condizioni che si desidera controllare, ad esempio i tipi di risorse consentiti, i tag obbligatori.
  • Assegnazione dei criteri: Determina dove vengono applicati i criteri (singole risorse, gruppi di risorse, gruppi di gestione).
  • Parametri dei criteri: Personalizza il comportamento dei criteri (ad esempio, SKU di macchine virtuali, posizione).

• Casi d'uso:

  • Applicazione coerente di regole specifiche.
  • Verifica dell'assegnazione di tag uniformi.
  • Controllo dei tipi di risorse.

Iniziative di sicurezza di Azure:

• Definizione: Si considerino le iniziative di Azure come aggregazioni di criteri. Esse raggruppano le definizioni di Criteri di Azure correlate per uno scopo specifico.

• Componenti:

  • Definizioni (criteri): Raccolta di criteri aggregati in un singolo elemento.
  • Assegnazione: Le iniziative vengono applicate a un ambito (ad esempio, sottoscrizione, gruppo di risorse).
  • Parametri: Personalizzare il comportamento dell'iniziativa.

• Casi d'uso:

  • Raggiungimento di obiettivi di conformità più ampi (ad esempio, Payment Card Industry Data Security Standard, Health Insurance Portability and Accountability Act).
  • Gestione coerente dei criteri correlati.

Come determinare quale utilizzare:

• Criteri di Azure:

  • Usarli per i singoli criteri, quando sono necessarie regole specifiche.
  • A volte è sufficiente un singolo criterio.

• Iniziative di Azure:

  • Consigliate anche per un singolo criterio, perché semplifica la gestione.
  • Le iniziative consentono di gestire più criteri come unità coerente.
  • Esempio: Anziché gestire 20 criteri separati per la conformità PCI-DSS, utilizzare un'iniziativa che li valuti tutti contemporaneamente.

I criteri di sicurezza di Azure si concentrano sul controllo granulare, mentre le iniziative di sicurezza di Azure offrono un approccio consolidato. Scegliere con giudizio, in base alle esigenze dell'organizzazione e alla complessità della conformità. Entrambi sono strumenti essenziali nella cassetta degli strumenti di sicurezza di Azure.

Creare e gestire criteri per imporre la conformità

È importare comprendere come creare e gestire i criteri in Azure per mantenere la conformità agli standard aziendali e ai contratti di servizio. In questo esempio si apprenderà come usare Criteri di Azure per eseguire alcune delle attività più comuni correlate alla creazione, all'assegnazione e alla gestione dei criteri all’interno dell’azienda, ad esempio:

• Assegnare un criterio per applicare una condizione alle risorse che verranno create in futuro
  
• Creare e assegnare una definizione di iniziativa per tenere traccia della conformità di più risorse
• Risolvere una risorsa non conforme o non consentita
• Implementare un nuovo criterio all'interno dell'organizzazione

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Assegnare un criterio

Il primo passaggio per applicare la conformità a Criteri di Azure consiste nell'assegnare una definizione dei criteri, che consente di definire le condizioni in base alle quali un criterio viene applicato e il relativo effetto. In questo esempio, assegnare la definizione di criteri predefinita denominata Eredita un tag dal gruppo di risorse se mancante aggiungendo il tag specificato con il relativo valore dal gruppo di risorse padre alle risorse nuove o a quelle aggiornate senza il tag.

1. Passare al portale di Azure per assegnare i criteri. Cercare e selezionare Criteri.

2. Selezionare Assegnazioni sul lato sinistro della pagina Criteri di Azure. Un'assegnazione è un criterio che è stato assegnato per l'implementazione in un ambito specifico.
   

3. Selezionare Assegna criterio nella parte superiore della pagina Criteri - Assegnazioni.

4. Nella scheda Informazioni di base della pagina Assegna criterio selezionare il valore di Ambito facendo clic sui puntini di sospensione e quindi selezionando un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. L'ambito determina le risorse o il raggruppamento di risorse a cui viene applicata l'assegnazione di criteri Fare quindi clic su Seleziona nella parte inferiore della pagina Ambito. Questo esempio descrive come usare la sottoscrizione Contoso. ma le opzioni disponibili sono diverse.
5. Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.
   
6. Selezionare i puntini di sospensione accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. È possibile filtrare la definizione dei criteri Tipo impostandola su Predefinita per visualizzare tutto e leggere le relative descrizioni.
7. Selezionare Eredita un tag dal gruppo di risorse se mancante. Se non lo si trova immediatamente, digitare eredita un tag nella casella di ricerca e quindi premere INVIO o selezionare un punto all'esterno della casella di ricerca. Fare clic su Seleziona nella parte inferiore della pagina Definizioni disponibili dopo aver trovato e selezionato la definizione dei criteri.

8. Il valore di Nome dell'assegnazione viene popolato automaticamente con il nome dei criteri selezionato, che è possibile modificare. Per questo esempio, lasciare Eredita un tag dal gruppo di risorse se mancante. È anche possibile aggiungere una descrizione facoltativa. La descrizione fornisce informazioni dettagliate su questa assegnazione dei criteri.
9. Lasciare Imposizione dei criteri su Abilitata. Quando è Disabilitata, questa impostazione consente di testare il risultato del criterio senza attivare l'effetto. Per altre informazioni, vedere Modalità di imposizione.
10. Assegnato da viene riempito automaticamente in base a chi ha eseguito l'accesso. Questo campo è facoltativo, quindi è possibile inserire valori personalizzati.
    
11. Selezionare la scheda Parametri nella parte superiore della procedura guidata.
    
12. Per Nome tag, immettere Ambiente.
    
13. Selezionare la scheda Correzione nella parte superiore della procedura guidata.
    
14. Lasciare l'opzione Crea un'attività di correzione deselezionata. Questa casella consente di creare un'attività per modificare le risorse esistenti, oltre a risorse nuove o aggiornate.
    
15. La creazione di un'identità gestita viene controllata automaticamente perché questa definizione di criteri usa l'effetto di modifica. Le Autorizzazioni sono automaticamente impostate su Collaboratore in base alla definizione del criterio. Per altre informazioni, vedere Identità gestite e Funzionamento del controllo di accesso per la correzione.
    
16. Selezionare la scheda Messaggi di non conformità nella parte superiore della procedura guidata.
    
17. Impostare il Messaggio di non conformità su Questa risorsa non ha il tag richiesto. Questo messaggio personalizzato viene visualizzato quando una risorsa viene negata o in caso di risorse non conformi durante la normale valutazione.
    
18. Selezionare la scheda Rivedi e crea nella parte superiore della procedura guidata.
    
19. Esaminare le selezioni e quindi fare clic su Crea nella parte inferiore della pagina.

Continua