Avaliar o impacto de uma nova definição de Política Azure

A Azure Policy é uma ferramenta poderosa para gerir os seus recursos Azure aos padrões de negócio e para atender às necessidades de conformidade. Quando pessoas, processos ou oleodutos criam ou atualizam recursos, a Azure Policy revê o pedido. Quando o efeito de definição de política é Modificar, Apêndice ou ImplementarIfNotExists, a política altera o pedido ou adiciona-lhe. Quando o efeito de definição de política é Auditoria ou AuditIfNotExists, a Política faz com que seja criada uma entrada de registo de atividade para novos recursos atualizados. E quando o efeito de definição de política é Deny, a política para a criação ou alteração do pedido.

Estes resultados são exatamente como desejado quando sabemos que a política está corretamente definida. No entanto, é importante validar um novo funcionamento político como pretendido antes de permitir que mude ou bloqueie o trabalho. A validação deve assegurar que apenas os recursos pretendidos sejam determinados como incompatíveis e que não sejam incluídos recursos conformes incorretamente (conhecidos como falso positivos) nos resultados.

A abordagem recomendada para validar uma nova definição de política é seguindo estas etapas:

  • Defina bem a sua política
  • Audite os seus recursos existentes
  • Auditoria a pedidos de recursos novos ou atualizados
  • Implemente a sua política em recursos
  • Monitorização contínua

Defina bem a sua política

É importante entender como a política de negócios é implementada como uma definição de política e a relação dos recursos da Azure com outros serviços Azure. Este passo é realizado identificando os requisitos e determinando as propriedades dos recursos. Mas também é importante ver além da definição estreita da sua política de negócios. A sua política indica, por exemplo, "Todas as Máquinas Virtuais devem..."? E outros serviços Azure que utilizam VMs, como HDInsight ou AKS? Ao definir uma política, temos de refletir sobre o impacto desta política nos recursos utilizados por outros serviços.

Por esta razão, as suas definições políticas devem ser tão bem definidas e focadas nos recursos e propriedades que precisa para avaliar o mais possível para o cumprimento possível.

Auditoria aos recursos existentes

Antes de procurar gerir recursos novos ou atualizados com a sua nova definição de política, o melhor é ver como avalia um subconjunto limitado de recursos existentes, como um grupo de recursos de teste. Utilize o modo de execuçãoDisabled (DoNotEnforce) na sua atribuição de política para evitar que o efeito desencadeie ou as entradas de registo de atividade sejam criadas.

Este passo dá-lhe a oportunidade de avaliar os resultados da nova política sobre os recursos existentes sem afetar o fluxo de trabalho. Verifique se nenhum recursos em conformidade são marcados como não conformes (falso positivo) e que todos os recursos que espera não estar em conformidade são marcados corretamente. Após o subconjunto inicial de recursos validar como esperado, expandir lentamente a avaliação a todos os recursos existentes.

A avaliação dos recursos existentes deste modo constitui também uma oportunidade para remediar recursos não conformes antes da plena implementação da nova política. Esta limpeza pode ser feita manualmente ou através de uma tarefa de remediação se o efeito de definição de política for ImplementarIfNotExists.

Auditoria de recursos novos ou atualizados

Uma vez validado a sua nova definição de política está a reportar corretamente sobre os recursos existentes, é hora de olhar para o impacto da política quando os recursos são criados ou atualizados. Se a definição de política apoiar a parametrização do efeito, utilize a Auditoria. Esta configuração permite-lhe monitorizar a criação e atualização de recursos para ver se a nova definição de política desencadeia uma entrada no registo de AtividadeS Azure para um recurso que não está em conformidade sem afetar o trabalho ou pedidos existentes.

É recomendado tanto atualizar como criar novos recursos que correspondam à sua definição de política para ver que o efeito De Auditoria está a ser corretamente acionado quando esperado. Esteja atento a pedidos de recursos que não devem ser afetados pela nova definição de política que desencadeie o efeito Auditoria . Estes recursos afetados são mais um exemplo de falsos positivos e devem ser fixados na definição de política antes da plena implementação.

No caso de a definição de política ser alterada nesta fase de testes, recomenda-se iniciar o processo de validação com a auditoria dos recursos existentes. Uma alteração da definição de política para um falso positivo sobre recursos novos ou atualizados é suscetível de também ter impacto nos recursos existentes.

Implemente a sua política em recursos

Após completar a validação da sua nova definição de política com recursos existentes e pedidos de recursos novos ou atualizados, inicia o processo de implementação da política. É recomendado para criar a atribuição de políticas para a nova definição de política para um subconjunto de todos os recursos em primeiro lugar, como um grupo de recursos. Após validação da implementação inicial, alargar o âmbito da política a níveis mais amplos e mais amplos, tais como subscrições e grupos de gestão. Esta expansão é conseguida removendo a atribuição e criando uma nova nos âmbitos-alvo até que seja atribuída a todo o âmbito de recursos destinados a ser cobertos pela sua nova definição política.

Durante o lançamento, se estiverem localizados recursos que devam ser isentos da sua nova definição de política, dirija-se a eles de uma das seguintes formas:

  • Atualizar a definição de política para ser mais explícito para reduzir o impacto não intencional
  • Alterar o âmbito da atribuição de políticas (removendo e criando uma nova atribuição)
  • Adicione o grupo de recursos à lista de exclusão para a atribuição de políticas

Quaisquer alterações ao âmbito (nível ou exclusões) devem ser totalmente validadas e comunicadas com as suas organizações de segurança e conformidade para garantir que não existem lacunas na cobertura.

Monitorize a sua política e conformidade

Implementar e atribuir a sua definição política não é o passo final. Monitorize continuamente o nível de conformidade dos recursos à sua nova definição de política e configurar os alertas e notificações adequados do Azure Monitor para quando forem identificados dispositivos não conformes. Também é recomendado avaliar a definição de política e atribuições relacionadas numa base programada para validar a definição de política é satisfazer as necessidades de negócio e conformidade. As políticas devem ser eliminadas se já não for necessário. As políticas também precisam de ser atualizadas de tempos a tempos à medida que os recursos Azure subjacentes evoluem e adicionam novas propriedades e capacidades.

Passos seguintes