Het doel van Azure Policy beschrijven
Hoe zorgt u ervoor dat uw resources compatibel blijven? Kunt u worden gewaarschuwd als de configuratie van een resource is gewijzigd?
Azure Policy is een service in Azure waarmee u beleid kunt maken, toewijzen en beheren, op basis waarvan uw resources worden beheerd of gecontroleerd. Met deze beleidsregels worden verschillende regels afgedwongen voor uw resourceconfiguraties, zodat deze configuraties voldoen aan de bedrijfsstandaarden.
Hoe wordt beleid gedefinieerd in Azure Policy?
Met Azure Policy kunt u zowel afzonderlijke beleidsregels als groepen met gerelateerde beleidsregels (ook wel initiatieven genoemd) definiëren. Met Azure Policy worden uw resources geëvalueerd en worden de resources gemarkeerd die niet compatibel zijn met beleid dat u hebt gemaakt. Azure Policy kan ook voorkomen dat niet-compatibele resources worden gemaakt.
Azure-beleid kan op elk niveau worden ingesteld, zodat u beleidsregels kunt instellen voor een specifieke resource, resourcegroep, abonnement, enzovoort. Daarnaast worden Azure-beleidsregels overgenomen, dus als u een beleid op hoog niveau instelt, wordt dit automatisch toegepast op alle groeperingen die binnen het bovenliggende item vallen. Als u bijvoorbeeld een Azure Policy instelt voor een resourcegroep, ontvangen alle resources die in die resourcegroep zijn gemaakt, automatisch hetzelfde beleid.
Azure Policy wordt geleverd met ingebouwde beleids- en initiatiefdefinities voor Opslag, Netwerken, Compute, Security Center en Bewaking. Als u bijvoorbeeld een beleid definieert waarmee alleen een bepaalde grootte voor de virtuele machines (VM's) in uw omgeving kan worden gebruikt, wordt dat beleid aangeroepen wanneer u een nieuwe VIRTUELE machine maakt en wanneer u het formaat van bestaande VM's wijzigt. Azure Policy evalueert en bewaakt ook alle huidige VM's in uw omgeving, inclusief VM's die zijn gemaakt voordat het beleid werd gemaakt.
In sommige gevallen kunnen met Azure Policy niet-compatibele resources en configuraties automatisch worden hersteld, om de integriteit van de status van de resources te garanderen. Als bijvoorbeeld alle resources in een bepaalde resourcegroep moeten worden gelabeld met de Tag AppName en de waarde 'SpecialOrders', wordt die tag automatisch toegepast als deze ontbreekt. U behoudt echter nog steeds volledige controle over uw omgeving. Als u een specifieke resource hebt die u niet automatisch wilt herstellen door Azure Policy, kunt u deze resource markeren als uitzondering. De resource wordt dan niet automatisch hersteld door het beleid.
Azure Policy kan ook worden geïntegreerd met Azure DevOps door doorlopende integratie- en leveringspijplijnbeleid toe te passen dat betrekking heeft op de pre-implementatie- en post-implementatiefasen van uw toepassingen.
Wat zijn Azure Policy-initiatieven?
Een Azure Policy-initiatief is een manier om gerelateerde beleidsregels samen te groeperen. Een initiatiefdefinitie bevat alle beleidsdefinities om u te helpen uw nalevingsstatus bij te houden voor een groter doel.
Azure Policy bevat bijvoorbeeld een initiatief met de naam Bewaking inschakelen in Azure Security Center. Het doel is om alle beschikbare beveiligingsaanveling voor alle Azure-resourcetypen in Azure Security Center te bewaken.
Onder dit initiatief vallen de volgende beleidsdefinities:
- Niet-versleutelde SQL Database bewaken in Security Center Dit beleid bewaakt op niet-versleutelde SQL-databases en -servers.
- Besturingssysteemproblemen bewaken in Security Center Dit beleid bewaakt servers die niet voldoen aan de geconfigureerde basislijn voor beveiligingsproblemen van het besturingssysteem.
- Controleer ontbrekende Endpoint Protection in Security Center . Dit beleid bewaakt op servers die geen geïnstalleerde Endpoint Protection-agent hebben.
Het initiatief Bewaking inschakelen in Azure Security Center bevat meer dan 100 afzonderlijke beleidsdefinities.