O que é o Azure Policy?

O Azure Policy ajuda a impor normas organizacionais e a avaliar o cumprimento em escala. Através do dashboard de conformidade, proporciona uma visão agregada para avaliar o estado geral do ambiente, com a capacidade de desagregar a granularidade por recurso e por política. Também ajuda a fazer com que os recursos fiquem em conformidade através da remediação em massa dos recursos existentes e da reparação automática dos recursos novos.

Nota

Para obter mais informações sobre a reparação, consulte Remediar recursos não conformes com Azure Policy.

Casos comuns de utilização do Azure Policy incluem a implementação de governação para consistência de recursos, conformidade regulamentar, segurança, custos e gestão. As definições de políticas para estes casos comuns de utilização já estão disponíveis no ambiente do Azure como incorporações para o ajudar a iniciar.

Todos os Azure Policy dados e objetos são encriptados em repouso. Para obter mais informações, consulte a encriptação de dados do Azure em repouso.

Descrição Geral

Azure Policy avalia os recursos em Azure comparando as propriedades desses recursos às regras empresariais. Estas regras de negócio, descritas em formato JSON, são conhecidas como definições políticas. Para simplificar a gestão, várias regras de negócio podem ser agrupadas para formar uma iniciativa política (por vezes chamada de policySet). Uma vez formadas as suas regras de negócio, a definição ou iniciativa de política é atribuída a qualquer âmbito de recursos que a Azure apoie, tais como grupos de gestão, subscrições, grupos de recursos ou recursos individuais. A atribuição aplica-se a todos os recursos dentro do âmbito Resource Manager dessa atribuição. Os subscópios podem ser excluídos, se necessário. Para mais informações, consulte Scope in Azure Policy.

Azure Policy utiliza um formato JSON para formar a lógica que a avaliação utiliza para determinar se um recurso está ou não em conformidade. As definições incluem metadados e a regra da política. A regra definida pode usar funções, parâmetros, operadores lógicos, condições e pseudónimos de propriedade para corresponder exatamente ao cenário que deseja. A regra da política determina quais os recursos no âmbito da atribuição que são avaliados.

Compreender os resultados da avaliação

Os recursos são avaliados em momentos específicos durante o ciclo de vida dos recursos, o ciclo de vida da atribuição de políticas e para uma avaliação regular da conformidade contínua. Seguem-se os tempos ou eventos que fazem com que um recurso seja avaliado:

  • Um recurso é criado ou atualizado num âmbito com uma atribuição de política.
  • Uma política ou iniciativa é recentemente atribuída a um âmbito de aplicação.
  • Uma política ou iniciativa já atribuída a um âmbito é atualizada.
  • Durante o ciclo de avaliação padrão de conformidade, que ocorre uma vez a cada 24 horas.

Para obter informações detalhadas sobre quando e como a avaliação da política acontece, consulte os gatilhos de avaliação.

Controlar a resposta a uma avaliação

As regras comerciais para o manuseamento de recursos não conformes variam muito entre organizações. Exemplos de como uma organização quer que a plataforma responda a um recurso não conforme incluem:

  • Negar a mudança de recursos
  • Registar a alteração para o recurso
  • Alterar o recurso antes da alteração
  • Alterar o recurso após a alteração
  • Implementar recursos compatíveis relacionados

Azure Policy torna possível cada uma destas respostas empresariais através da aplicação de efeitos. Os efeitos são definidos na parte da regra política da definição de política.

Identificar recursos em não conformidade

Embora estes efeitos afetem principalmente um recurso quando o recurso é criado ou atualizado, Azure Policy também suporta lidar com recursos não conformes existentes sem necessidade de alterar esse recurso. Para obter mais informações sobre a conformidade com os recursos existentes, consulte os recursos de reparação.

Descrição geral em vídeo

A seguinte descrição geral do Azure Policy é do Build 2018. Para slides ou download de vídeo, visite o seu ambiente Azure através de Azure Policy no Canal 9.

Introdução

Azure Policy e Azure RBAC

Existem algumas diferenças fundamentais entre Azure Policy e o controlo de acesso baseado em funções Azure (Azure RBAC). Azure Policy avalia o estado examinando propriedades sobre recursos que estão representados em Resource Manager e propriedades de alguns Fornecedores de Recursos. Azure Policy não restringe as ações (também chamadas operações). Azure Policy garante que o estado de recursos está em conformidade com as suas regras de negócio sem se preocupar com quem fez a mudança ou quem tem permissão para fazer uma mudança. Alguns recursos Azure Policy, tais como definições de políticas, definições de iniciativa e atribuições, são visíveis para todos os utilizadores. Este desenho permite transparência a todos os utilizadores e serviços para que regras políticas são definidas no seu ambiente.

O Azure RBAC foca-se na gestão das ações dos utilizadores em diferentes âmbitos. Se for necessário controlar uma ação, então o Azure RBAC é a ferramenta correta para utilizar. Mesmo que um indivíduo tenha acesso a uma ação, se o resultado for um recurso não conforme, Azure Policy ainda bloqueia a criação ou a atualização.

A combinação de Azure RBAC e Azure Policy proporciona controlo total de âmbito em Azure.

Permissões Azure RBAC em Azure Policy

O Azure Policy tem várias permissões, conhecidas como operações, em dois Fornecedores de Recursos:

Muitas funções incorporadas autorizam a Azure Policy recursos. A função de Contribuinte de Política de Recursos inclui a maioria das operações Azure Policy. O dono tem todos os direitos. Tanto o Colaborador como o Reader têm acesso a todas as operações de Azure Policy lidas.

O contribuinte pode desencadear a remediação de recursos, mas não pode criar ou atualizar definições e atribuições. O Administrador de Acesso ao Utilizador é necessário para conceder a identidade gerida no deployIfNotExists ou modificar as permissões necessárias.

Nota

Todos os objetos de política, incluindo definições, iniciativas e atribuições, serão legíveis a todas as funções ao longo do seu âmbito. Por exemplo, uma atribuição de política definida para uma subscrição Azure será legível por todos os titulares de funções no âmbito de subscrição e abaixo.

Se nenhuma das funções incorporadas tiver as permissões necessárias, crie um papel personalizado.

Azure Policy operações podem ter um impacto significativo no seu ambiente Azure. Apenas o conjunto mínimo de permissões necessárias para executar uma tarefa deve ser atribuído e estas permissões não devem ser concedidas aos utilizadores que não precisem delas.

Nota

A identidade gerida de um deployIfNotExists ou modificar a atribuição de políticas precisa de permissões suficientes para criar ou atualizar recursos direcionados. Para mais informações, consulte definições de política de configuração para remediação.

Requisito de permissões especiais para Azure Policy com Azure Rede Virtual Manager (pré-visualização)

O Azure Rede Virtual Manager (pré-visualização) permite-lhe aplicar políticas de gestão e segurança consistentes a várias redes virtuais Azure (VNets) em toda a sua infraestrutura de nuvem. Os grupos dinâmicos Azure Rede Virtual Manager usam definições Azure Policy para avaliar a adesão à VNet nesses grupos.

Para criar, editar ou eliminar as políticas dinâmicas do Azure Rede Virtual Manager, é necessário não só ler e escrever Azure Policy permissões de RBAC como descrito anteriormente, mas também permissões para se juntar ao grupo de rede.

Especificamente, a permissão necessária ao fornecedor de recursos é Microsoft.Network/networkManagers/networkGroups/join/action.

Recursos abrangidos por Azure Policy

Azure Policy avalia todos os recursos Azure a nível de subscrição ou abaixo, incluindo recursos ativados pela Arc. Para certos fornecedores de recursos, como a configuração de máquinas, Azure Kubernetes Service e Azure Key Vault, existe uma integração mais profunda para gerir configurações e objetos. Para saber mais, consulte os modos Provedor de Recursos.

Recomendações para a gestão de políticas

Aqui estão algumas dicas e dicas a ter em mente:

  • Comece com um efeito de auditoria em vez de um efeito de negação para acompanhar o impacto da sua definição de política nos recursos no seu ambiente. Se tiver scripts já em vigor para autodimensionar as suas aplicações, definir um efeito de negação pode dificultar tais tarefas de automação já em vigor.

  • Considere as hierarquias organizacionais ao criar definições e atribuições. Recomendamos a criação de definições a níveis mais elevados, como o grupo de gestão ou o nível de subscrição. Em seguida, criar a tarefa no próximo nível de criança. Se criar uma definição num grupo de gestão, a atribuição pode ser apartada para um grupo de subscrição ou recursos dentro desse grupo de gestão.

  • Recomendamos a criação e atribuição de definições de iniciativa, mesmo para uma definição política única. Por exemplo, tem política de definição de políticaDefA e criá-la no âmbito da iniciativa de definição de iniciativaDefC. Se criar outra definição de política mais tarde para o PolicyEfB com objetivos semelhantes aos da policyDefA, pode adicioná-la sob iniciativaDefC e rastreá-las em conjunto.

    • Uma vez criada uma atribuição de iniciativa, as definições políticas adicionadas à iniciativa também fazem parte das atribuições dessa iniciativa.

    • Quando uma atribuição de iniciativa é avaliada, todas as políticas dentro da iniciativa também são avaliadas. Se precisa de avaliar uma política individualmente, é melhor não incluí-la numa iniciativa.

  • Gerir Azure Policy recursos como código com revisões manuais sobre alterações às definições de políticas, iniciativas e atribuições. Para saber mais sobre padrões sugeridos e ferramentas, consulte Design Azure Policy como Code Workflows.

objetos Azure Policy

Definição de política

O percurso de criar e implementar uma política no Azure Policy começa pela criação de uma definição de política. Cada definição de política tem condições ao abrigo das quais é aplicada. E tem um efeito definido que ocorre se as condições forem cumpridas.

Em Azure Policy, oferecemos várias políticas incorporadas que estão disponíveis por padrão. Por exemplo:

  • SKUs de conta de armazenamento permitido (Negar): Determina se uma conta de armazenamento que está a ser implantada está dentro de um conjunto de tamanhos SKU. O seu efeito é negar todas as contas de armazenamento que não aderem ao conjunto de tamanhos SKU definidos.
  • Tipo de recurso permitido (Negar): Define os tipos de recursos que pode implementar. O seu efeito é negar todos os recursos que não fazem parte desta lista definida.
  • Locais Permitidos (Negar): Restringe as localizações disponíveis para novos recursos. O efeito é utilizado para impor os requisitos de geoconformidade.
  • SKUs de máquina virtual permitida (Negar): Especifica um conjunto de SKUs de máquina virtual que pode implementar.
  • Adicione uma etiqueta aos recursos (Modificar): Aplica uma etiqueta necessária e o seu valor padrão se não for especificado pelo pedido de implantação.
  • Não são permitidos tipos de recursos (Negar): Impede a implantação de uma lista de tipos de recursos.

Para implementar estas definições de política (ambas as definições incorporadas e personalizadas), terá de as atribuir. Pode atribuir qualquer uma destas políticas através do portal do Azure, do PowerShell ou da CLI do Azure.

A avaliação de políticas acontece com várias ações diferentes, tais como atribuição de políticas ou atualizações de políticas. Para obter uma lista completa, consulte os gatilhos de avaliação de política.

Para saber mais sobre as estruturas de definições de política, veja Estrutura de Definição de Política.

Os parâmetros de política ajudam a simplificar a gestão de políticas ao reduzir o número de definições de política que tem de criar. Pode definir os parâmetros durante a criação de uma definição de política para torná-la mais genérica. Em seguida, pode reutilizar essa definição de política para diferentes cenários. Pode fazê-lo ao transmitir diferentes valores quando atribui a definição de política. Por exemplo, pode especificar um conjunto de localizações para uma subscrição.

Os parâmetros são definidos na criação de uma definição de política. Quando um parâmetro é definido, é fornecido um nome e, opcionalmente, um valor para o mesmo. Por exemplo, pode definir um parâmetro para uma política intitulada localização. Em seguida, pode atribuir-lhe valores diferentes, tais como EastUS ou WestUS quando atribui uma política.

Para obter mais informações sobre parâmetros de política, consulte a estrutura de Definição - Parâmetros.

Definição de iniciativa

Uma definição de iniciativa é uma coleção de definições políticas que são adaptadas para alcançar um objetivo singular abrangente. As definições de iniciativa simplificam a gestão e a atribuição de definições de política. Simplificam através do agrupamento de um conjunto de políticas num único item. Por exemplo, pode criar uma iniciativa intitulada Enable Monitoring in Microsoft Defender for Cloud, com o objetivo de monitorizar todas as recomendações de segurança disponíveis no seu Microsoft Defender para cloud, por exemplo.

Nota

O SDK, como Azure CLI e Azure PowerShell, utiliza propriedades e parâmetros chamados PolicySet para se referir a iniciativas.

Ao abrigo desta iniciativa, terá definições de política como:

  • Monitor Base de Dados SQL não encriptados no Microsoft Defender for Cloud - Para monitorizar bases de dados e servidores SQL não encriptados.
  • Monitorize as vulnerabilidades do SISTEMA no Microsoft Defender for Cloud - Para monitorizar servidores que não satisfaçam a linha de base configurada.
  • Monitor que não tem proteção de ponto final no Microsoft Defender for Cloud - Para monitorizar servidores sem um agente de proteção de ponto final instalado.

Tal como os parâmetros de política, os parâmetros de iniciativa ajudam a simplificar a gestão de iniciativas ao reduzir a redundância. Os parâmetros da iniciativa são parâmetros que estão a ser utilizados pelas definições políticas no âmbito da iniciativa.

Por exemplo, considere um cenário em que tem uma definição de iniciativa - initiativeC, com as definições de política policyA e policyB, em que cada uma espera um tipo diferente de parâmetro:

Política Nome do parâmetro Tipo de parâmetro Nota
policyA allowedLocations matriz Este parâmetro espera uma lista de cadeias para um valor, uma vez que o tipo de parâmetro foi definido como uma matriz
policyB allowedSingleLocation string Este parâmetro espera uma palavra para um valor, uma vez que o tipo de parâmetro foi definido como uma cadeia

Neste cenário, quando define os parâmetros da iniciativa para initiativeC, tem três opções:

  • Utilizar os parâmetros das definições de política nesta iniciativa: neste exemplo, allowedLocations e allowedSingleLocation tornam-se parâmetros de iniciativa para initiativeC.
  • Indicar os valores para os parâmetros das definições de política nesta definição de iniciativa. Neste exemplo, você pode fornecer uma lista de locais para o parâmetro da policyA - permitiulocações e parâmetro de policyB - permitiu Alocalização. Também pode fornecer valores quando atribui esta iniciativa.
  • Fornecer uma lista das opções de valor que podem ser utilizadas quando atribui esta iniciativa. Quando atribui esta iniciativa, os parâmetros herdados das definições de política na iniciativa apenas podem ter valores desta lista fornecida.

Ao criar opções de valor numa definição de iniciativa, não é possível inserir um valor diferente durante a atribuição da iniciativa porque não faz parte da lista.

Para saber mais sobre as estruturas das definições de iniciativa, reveja a Estrutura de Definição de Iniciativa.

Atribuições

Uma atribuição é uma definição ou iniciativa política que foi atribuída a um âmbito específico. Este âmbito pode ir de um grupo de gestão a um recurso individual. O termo scope refere-se a todos os recursos, grupos de recursos, subscrições ou grupos de gestão a que a definição é atribuída. As atribuições são herdadas por todos os recursos infantis. Este desenho significa que uma definição aplicada a um grupo de recursos também é aplicada aos recursos desse grupo de recursos. No entanto, pode excluir um subscópio da atribuição.

Por exemplo, no âmbito de subscrição, pode atribuir uma definição que impede a criação de recursos de networking. Pode excluir um grupo de recursos nessa subscrição destinada a infraestruturas de networking. Em seguida, concede acesso a este grupo de recursos de rede aos utilizadores que confia na criação de recursos de networking.

Em outro exemplo, é melhor atribuir uma definição de lista de tipo de recurso ao nível do grupo de gestão. Em seguida, atribui uma política mais permissiva (permitindo mais tipos de recursos) num grupo de gestão de crianças ou mesmo diretamente em subscrições. No entanto, este exemplo não funcionaria porque Azure Policy é um sistema de negação explícito. Em vez disso, você precisa excluir o grupo de gestão de crianças ou a subscrição da atribuição de nível de grupo de gestão. Em seguida, atribua a definição mais permissiva no grupo de gestão de crianças ou no nível de subscrição. Se qualquer atribuição resultar na recusa de um recurso, então a única maneira de permitir o recurso é modificar a atribuição de negação.

As atribuições políticas usam sempre o estado mais recente da sua definição ou iniciativa atribuída na avaliação dos recursos. Se uma definição de política já atribuída for alterada, todas as atribuições existentes dessa definição utilizarão a lógica atualizada na avaliação.

Para obter mais informações sobre a definição de atribuições através do portal, consulte Criar uma atribuição de política para identificar recursos não conformes no seu ambiente Azure. Também estão disponíveis passos para o PowerShell e a CLI do Azure. Para obter informações sobre a estrutura de atribuição, consulte a Estrutura de Atribuições.

Contagem máxima de objetos de Azure Policy

Há uma contagem máxima para cada tipo de objeto para Azure Policy. Para definições, uma entrada de Scope significa o grupo de gestão ou subscrição. Para atribuições e isenções, uma entrada de Scope significa o grupo de gestão, subscrição, grupo de recursos ou recurso individual.

Onde O quê Contagem máxima
Âmbito Definições de política 500
Âmbito Definições de iniciativa 200
Inquilino Definições de iniciativa 2.500
Âmbito Atribuições de política ou iniciativa 200
Âmbito Isenções 1000
Definição de política Parâmetros 20
Definição de iniciativa Políticas 1000
Definição de iniciativa Parâmetros 300
Atribuições de política ou iniciativa Exclusões (notScopes) 400
Regra política Condições aninhadas 512
Tarefa de reparação Recursos 50 000
Órgão de pedido de definição de política, iniciativa ou pedido de atribuição Bytes 1 048 576

As regras políticas têm limites adicionais para o número de condições e a sua complexidade. Consulte os limites da regra da política para mais detalhes.

Passos seguintes

Agora que tem uma ideia geral do Azure Policy e de alguns dos principais conceitos, seguem-se os passos sugeridos seguintes: