Azure Policy を使用して Azure Load Testing リソースをセキュリティで保護する
Azure Policy は、組織の標準を適用し、大規模にコンプライアンスを評価できるガバナンス ツールです。 このポリシーを使用すると、Azure 環境の監査、リアルタイムの適用、修復を実行できます。 監査結果はコンプライアンス ダッシュボードで確認できます。 ダッシュボードでは、どのリソースとコンポーネントが準拠しているか非準拠であるかを確認し、修復アクションを実行できます。 詳細については、「Azure Policy サービスの概要」を参照してください。
Azure Policy は、次のようなシナリオでロード テスト リソースを管理するために使用します。
- プライベート テスト
- Azure Load Testing のロード テストがプライベート テスト トラフィック モードでのみ作成できるようにする場合。
- Azure Load Testing サービスによって作成された仮想マシン、ネットワーク セキュリティ グループ (NSG)、Azure ロード バランサー、パブリック IP などのリソースが、サブスクリプション内の一連の仮想ネットワーク内でのみ作成されるようにする場合。
- カスタマー マネージド キー。
- カスタマー マネージド キー (CMK) を使用して、Azure Load Testing リソースの保存時の暗号化を管理する必要があります。
ポリシーの効果の種類とガイダンス
ポリシーを適用するときに、結果の評価に対する効果を決定できます。 各ポリシー定義では、複数の効果の中からいずれかを選択できます。 そのため、ポリシーの強制は、評価する操作の種類によって異なる動作をする可能性があります。 一般に、Azure Load Testing と統合するポリシーの効果は次のとおりです。
監査: ポリシーの効果が
Audit
に設定されているときには、ポリシーによって環境に対する重大な変更が発生することはありません。 このポリシーを使用すると、指定したスコープ内のポリシー定義に準拠していない Azure Load Testing リソースについて警告されます。 コンポーネントは、ポリシー コンプライアンス ダッシュボードで非準拠とマークされます。 ポリシーの効果が選択されていない場合は、Audit
値が既定値です。拒否: ポリシーの効果が
Deny
に設定されている場合、このポリシーにより、ポリシー定義に準拠しない新しいテスト実行の作成はブロックされます。 既存の非準拠テストの実行とリソースは影響を受けません。 "監査" 機能は引き続き動作します。無効: ポリシーの効果が
Disabled
に設定されている場合、ポリシーは評価されますが、適用は有効になりません。 この効果は、すべての条件ではなく、特定の条件に対してポリシーを無効化するのに役立ちます。
組み込みのポリシー定義
組み込みという事前に定義されたポリシーを使用すると、ロード テスト リソースを管理できます。そのため、ベスト セキュリティ プラクティスに関連付けられた一般に使われるルールを適用するために JSON 形式でカスタム ポリシーを記述する必要はありません。 組み込みはあらかじめ設定されていますが、特定のポリシーではパラメーターを定義する必要があります。 たとえば、ポリシーの効果を定義することで、拒否の操作を適用する前にロード テスト リソースを監査して停止を防ぐことができます。 Azure Load Testing に使用できる現在の組み込みポリシーを確認するには、Azure Load Testing の組み込みポリシーに関する記事を参照してください。
ロード テスト ポリシーを有効にして管理する
ポリシー定義を選択する
Azure ポータルにログインします。 1. 検索バーで「ポリシー」を検索し、[ポリシー] を選択します。
[ポリシー] ウィンドウで、[定義] を選択します。
[カテゴリ] フィルターで [すべて選択] をオフにして、[Azure Load Testing] を選択します。
これで、Azure Load Testing で使用できるすべてのポリシーが表示されます。 必ずポリシーのガイダンスを読んで理解してから、スコープに割り当てるポリシーを選択します。
スコープにポリシーを割り当てる
適用するポリシーを選択します。 この例では、[Azure Load Testing を使用するロード テストは、仮想ネットワーク内からプライベート エンドポイントに対してのみ実行する必要がある] ポリシーが表示されます。 左上隅の [割り当て] ボタンをクリックします。
適用するポリシーのサブスクリプションを選択します。
サブスクリプション内で、スコープを 1 つのリソース グループのみに制限することを選択できます。
ポリシーをサブスクリプション全体に適用し、一部のリソース グループを除外する場合は、除外リストを構成することもできます。
ポリシーの効果 (監査または拒否) を生じさせる場合はポリシー適用セレクターを [有効] に設定し、効果 (監査または拒否) をオフにするには [無効] に設定します。
ポリシーの効果を指定するには、画面の上部にある [パラメーター] タブを選択します。
[入力またはレビューが必要なパラメーターのみを表示する] オプションをオフにします。
ポリシー ガイダンスに従って、ポリシーの効果について [監査]、[拒否]、または [無効] を選択します。
[確認および作成] ボタンを選択します。
機能の制限
[Azure Load Testing を使用するロード テストは、仮想ネットワーク内からプライベート エンドポイントに対してのみ実行する必要がある] ポリシーは、ポリシーの割り当て後にトリガーされるロード テストにのみ適用されます。 "監査" 効果が選択されている場合、ポリシーに違反しているロード テスト実行がある Azure Load Testing リソースは非準拠と表示されます。 修復するには、ポリシーに違反しているテスト実行を削除し、ポリシーを再割り当てします。
ポリシーに "拒否" 効果を割り当てると、非準拠リソースの作成の拒否が開始されるまでに 30 分 (平均的な場合) から最長 1 時間ことがあります。 この遅延は、次のシナリオを示しています。
- ポリシーが割り当てられる。
- 既存のポリシー割り当てが変更される。
- 新しい Azure Load Testing リソースは、既存のポリシーを使用してスコープ内に作成されます。
Azure Load Testing リソース内の既存のコンポーネントのポリシー評価は、コンプライアンスの結果がポータルに表示されるまでに最長 1 時間 (1 回の平均) または最長 2 時間かかる場合があります。
コンプライアンスの結果が "未開始" と表示される場合は、以下の理由が原因の可能性があります。
- ポリシーの評価が完了していません。 初期評価の待機時間は最長 2 時間かかる場合があります。
- ポリシー割り当てのスコープ内に Azure Load Testing リソースがありません。
次のステップ
- Azure Policy サービスの詳細を確認する
- Key Vault のサンプルを参照してください: Azure Load Testing の組み込みポリシー定義