Azure Policy의 목적 설명
리소스가 규정을 준수하는 상태를 ‘유지’하는지 어떻게 확인하나요? 리소스 구성이 변경된 경우 알림을 받을 수 있나요?
Azure Policy는 리소스를 제어하거나 감사하는 정책을 만들며 할당하고 관리할 수 있는 Azure의 서비스입니다. 이러한 정책은 해당 구성이 회사 표준을 준수하는 상태를 유지하도록 리소스 구성에 대해 다양한 규칙을 적용합니다.
Azure Policy는 정책을 어떻게 정의하나요?
Azure Policy를 사용하면 개별 정책 및 관련 정책 ‘그룹’(‘이니셔티브’라고 함)을 둘 다 정의할 수 있습니다. Azure Policy는 리소스를 평가하고 사용자가 만든 정책을 준수하지 않는 리소스를 강조합니다. 또한 Azure Policy는 정책 미준수 리소스가 생성되지 않게 할 수도 있습니다.
Azure 정책은 각 수준에서 설정할 수 있어서 특정 리소스, 리소스 그룹, 구독 등에 대한 정책을 설정할 수 있습니다. 또한 Azure 정책은 상속되므로 높은 수준에서 정책을 설정하면 부모에 속하는 모든 그룹화에 자동으로 적용됩니다. 예를 들어 리소스 그룹에 Azure Policy를 설정하는 경우 해당 리소스 그룹 내에서 만든 모든 리소스는 자동으로 동일한 정책을 받습니다.
Azure Policy에는 Storage, 네트워킹, 컴퓨팅, Security Center, 모니터링에 대한 기본 제공 정책 및 이니셔티브 정의가 함께 제공됩니다. 예를 들어 VM(가상 머신)이 환경에서 사용하도록 특정 크기만 허용하는 정책을 정의하는 경우 새 VM을 만들 때와 기존 VM의 크기를 조정할 때마다 해당 정책이 호출됩니다. 또한 Azure Policy 정책을 만들기 전에 만든 VM을 포함하여 사용자 환경의 모든 현재 VM을 평가하고 모니터링합니다.
때에 따라 Azure Policy는 정책 미준수 리소스 및 구성을 자동으로 수정하여 리소스 상태의 무결성을 보장할 수 있습니다. 예를 들어 특정 리소스 그룹의 모든 리소스에 AppName 태그와 “SpecialOrders” 값을 사용하여 태그를 지정해야 한다면 Azure Policy는 해당 태그가 누락된 경우 태그를 자동으로 다시 적용합니다. 그러나 여전히 환경을 완전히 제어할 수 있습니다. Azure Policy에서 자동으로 수정하지 않기를 바라는 특정 리소스가 있는 경우 해당 리소스에 예외 플래그를 지정할 수 있으며 정책은 해당 리소스를 자동으로 수정하지 않습니다.
또한 애플리케이션의 배포 전 및 배포 후 단계와 관련이 있는 연속 통합 및 업데이트 파이프라인 정책을 적용하여 Azure Policy는 Azure DevOps와 통합됩니다.
Azure Policy 이니셔티브란?
Azure Policy 이니셔티브는 관련 정책을 함께 그룹화하는 방법입니다. 이니셔티브 정의는 더 큰 목표에 대한 규정 준수 상태를 추적하는 데 도움이 되는 모든 정책 정의를 포함합니다.
예를 들어 Azure Policy에는 Azure Security Center 모니터링용이라는 이니셔티브가 포함됩니다. 목표는 Azure Security Center에서 모든 Azure 리소스 종류의 사용 가능한 모든 보안 권장 사항을 모니터링하는 것입니다.
해당 이니셔티브에는 다음 정책 정의가 포함됩니다.
- Security Center에서 암호화되지 않은 SQL Database 모니터링 이 정책은 암호화되지 않은 SQL 데이터베이스 및 서버를 모니터링합니다.
- Security Center에서 OS 취약성 모니터링 이 정책은 구성된 OS 취약성 기준을 충족하지 않는 서버를 모니터링합니다.
- Security Center에서 누락된 Endpoint Protection 모니터링 이 정책은 엔드포인트 보호 에이전트가 설치되지 않은 서버를 모니터링합니다.
실제로 Azure Security Center 모니터링용 이니셔티브에는 100개가 넘는 별도 정책 정의가 포함됩니다.