Оценка влияния нового определения политики Azure

  • Статья

Политика Azure — это мощный инструмент для управления ресурсами Azure в соответствии с требованиями соответствия бизнес-стандартам. Когда люди, процессы или конвейеры создают или обновляют ресурсы, политика Azure проверяет запрос. Когда цель определения политики — Modify, Append или DeployIfNotExists, политика изменяет запрос или дополняет его. Когда цель определения политики — Audit или AuditIfNotExists, политика приводит к созданию в журнале действий записи для новых и обновленных ресурсов. И когда действие определения политики — Deny или DenyAction, политика останавливает создание или изменение запроса.

Это ожидаемые результаты, если известно, что политика определена правильно. Однако важно проверить, что новая политика работает так, как задумано, прежде чем разрешить ей изменять или блокировать работу. Проверка должна гарантировать, что только требуемые ресурсы будут определены как не соответствующие требованиям, а соответствующие ресурсы не будут ошибочно включены в список (так называемый ложноположительный результат).

Для проверки нового определения политики рекомендуется выполнить следующие действия.

  • Строгое определение политики
  • Проверка эффективности политики
  • Аудит новых или обновленных запросов ресурсов
  • Развертывание политики в ресурсах
  • Непрерывный мониторинг

Строгое определение политики

Важно понимать, как бизнес-политика реализуется в виде определения политики и как ресурсы Azure связаны с другими службами Azure. Этот шаг выполняется путем определения требований и определения свойств ресурсов. Также важно не ограничиваться узким определением бизнес-политики. Ваша политика гласит: "Все виртуальные машины должны..."? Как насчет других служб Azure, использующих виртуальные машины, например HDInsight или AKS? При определении политики необходимо учитывать, как эта политика влияет на ресурсы, используемые другими службами.

По этой причине определения политик должны быть строгими и направленными на ресурсы и свойства, которые необходимо проверить на соответствие.

Проверка эффективности политики

Прежде чем начать управление новыми или обновленными ресурсами с помощью нового определения политики, нужно понять, как она оценивает ограниченное подмножество существующих ресурсов, например тестовую группу ресурсов. Расширение ПОЛИТИКА AZURE VS Code позволяет изолировать тестирование определений в существующих ресурсах Azure с помощью проверки оценки по запросу. Вы также можете назначить определение в среде разработки с помощью режима принудительного применения (DoNotEnforce) для назначения политики, чтобы предотвратить запуск или создание записей журнала действий.

Этот шаг дает возможность оценить результаты проверки соответствия новой политики для существующих ресурсов без влияния на рабочий процесс. Убедитесь, что соответствующие ресурсы не отображаются как несоответствующие (ложноположительные) и что все ресурсы, которые вы ожидаете, не соответствуют требованиям, помечены правильно. После того как начальный подмножество ресурсов проверяется должным образом, медленно разверните оценку на более существующие ресурсы и другие область.

Оценка существующих ресурсов таким образом также позволяет исправлять несоответствующие ресурсы до полной реализации новой политики. Эту очистку можно выполнить вручную или с помощью задачи исправления, если эффект определения политики — DeployIfNotExists или Modify.

Определения политик с помощью DeployIfNotExist должны использовать шаблон Azure Resource Manager, который следует проверить и проверить изменения, которые происходят при развертывании шаблона ARM.

Аудит новых или обновленных ресурсов

После проверки того, правильно ли новое определение политики сообщает о существующих ресурсах, следует рассмотреть влияние политики на создание или обновление ресурсов. Если определение политики поддерживает параметризацию эффектов, используйте Audit или AuditIfNotExist. Эта конфигурация позволяет отслеживать создание и обновление ресурсов, чтобы определить, активирует ли новое определение политики запись в журнале действий Azure для ресурса, который не соответствует требованиям, не влияя на существующие рабочие процессы или запросы.

Рекомендуется обновить и создать новые ресурсы, соответствующие определению политики, чтобы убедиться, что эффект Audit или AuditIfNotExist активируется правильно, когда ожидается. Обратите внимание на запросы ресурсов, которые не должны влиять на новое определение политики, которое активирует эффект Audit или AuditIfNotExist . Эти затронутые ресурсы являются еще одним примером ложноположительного результата и должны быть исправлены в определении политики до полной реализации.

В случае изменения определения политики на этом этапе тестирования рекомендуется начать процесс проверки с аудитом существующих ресурсов. Изменение определения политики для ложноположительного результата в новых или обновленных ресурсах, вероятно, также повлияет на существующие ресурсы.

Развертывание политики в ресурсах

После завершения проверки нового определения политики с помощью существующих ресурсов и новых или обновленных запросов ресурсов начинается процесс реализации политики. Рекомендуется сначала создать назначение политики для нового определения в подмножестве всех ресурсов, например в группе ресурсов. Можно дополнительно отфильтровать по типу ресурса или расположению с помощью resourceSelectors свойства в назначении политики. После проверки первоначального развертывания расширьте область политики, чтобы расширить ее как группу ресурсов. После проверки первоначального развертывания разверните влияние политики, изменив фильтры resourceSelector, чтобы определить больше расположений или типов ресурсов, или удалив назначение и заменив его новым на более широких область, таких как подписки и группы управления. Продолжайте этот постепенный выпуск, пока он не будет назначен полной область ресурсов, которые должны быть охвачены новым определением политики.

Если при выпуске обнаружены ресурсы, которые должны быть исключены из нового определения политики, проблему можно устранить одним из следующих способов.

  • Изменение определения политики на более явное, чтобы снизить непреднамеренное воздействие.
  • Изменение области назначения политики (путем удаления и создания нового назначения).
  • Добавление группы ресурсов в список исключений для назначения политики.

Все изменения в области (уровень или исключения) должны быть полностью проверены и согласованы с отделами безопасности и соответствия требованиям, чтобы гарантировать, что все будет учтено.

Мониторинг политики и соответствия требованиям

Реализация и назначение определения политики — это не последний шаг. Непрерывно отслеживайте уровень соответствия ресурсов для нового определения политики и настраивайте соответствующие предупреждения и уведомления Azure Monitor при обнаружении несоответствующих устройств. Также рекомендуется оценивать определение политики и связанные назначения по расписанию, чтобы убедиться, что определение политики соответствует требованиям бизнес-политики и соответствия. Ненужные политики необходимо удалять. Политики также должны обновляться от времени по мере развития базовых ресурсов Azure и добавления новых свойств и возможностей.

Следующие шаги