Оценка влияния нового определения политики Azure

Политика Azure — это мощный инструмент управления ресурсами Azure в соответствии с бизнес-стандартами и нормативными требованиями. Когда люди, процессы или конвейеры создают или обновляют ресурсы, политика Azure проверяет запрос. Когда цель определения политики — Modify, Append или DeployIfNotExists, политика изменяет запрос или дополняет его. Когда цель определения политики — Audit или AuditIfNotExists, политика приводит к созданию в журнале действий записи для новых и обновленных ресурсов. А когда цель определения политики — Deny, политика останавливает создание или изменение запроса.

Это ожидаемые результаты, если известно, что политика определена правильно. Однако важно проверить, что новая политика работает так, как задумано, прежде чем разрешить ей изменять или блокировать работу. Проверка должна гарантировать, что только требуемые ресурсы будут определены как не соответствующие требованиям, а соответствующие ресурсы не будут ошибочно включены в список (так называемый ложноположительный результат).

Для проверки нового определения политики рекомендуется выполнить следующие действия.

  • Строгое определение политики
  • Аудит существующих ресурсов
  • Аудит новых или обновленных запросов ресурсов
  • Развертывание политики в ресурсах
  • Непрерывный мониторинг

Строгое определение политики

Важно понимать, как бизнес-политика реализуется в виде определения политики и как ресурсы Azure связаны с другими службами Azure. Этот шаг выполняется путем определения требований и определения свойств ресурсов. Также важно не ограничиваться узким определением бизнес-политики. Ваша политика гласит: "Все виртуальные машины должны..."? Как насчет других служб Azure, использующих виртуальные машины, например HDInsight или AKS? При определении политики необходимо учитывать, как эта политика влияет на ресурсы, используемые другими службами.

По этой причине определения политик должны быть строгими и направленными на ресурсы и свойства, которые необходимо проверить на соответствие.

Аудит существующих ресурсов

Прежде чем начать управление новыми или обновленными ресурсами с помощью нового определения политики, нужно понять, как она оценивает ограниченное подмножество существующих ресурсов, например тестовую группу ресурсов. Используйте для режима принудительного применения значение Disabled (Отключено) (DoNotEnforce) в назначении политики, чтобы предотвратить влияние или создание записей в журнале действий.

Этот шаг дает возможность оценить результаты проверки соответствия новой политики для существующих ресурсов без влияния на рабочий процесс. Убедитесь, что соответствующие ресурсы не помечены как несоответствующие (ложноположительный результат) и что все ресурсы, которые являются несоответствующими, отмечены правильно. Когда начальное подмножество ресурсов проверено ожидаемым образом, постепенно разверните оценку для всех существующих ресурсов.

Оценка существующих ресурсов таким образом также позволяет исправлять несоответствующие ресурсы до полной реализации новой политики. Эту очистку можно выполнить вручную или с помощью задачи исправления, если воздействие определения политики — DeployIfNotExists.

Аудит новых или обновленных ресурсов

После проверки того, правильно ли новое определение политики сообщает о существующих ресурсах, следует рассмотреть влияние политики на создание или обновление ресурсов. Если определение политики поддерживает параметризацию, используйте аудит. Эта конфигурация позволяет отслеживать создание и обновление ресурсов, чтобы определить, активирует ли новое определение политики запись в журнале действий Azure для ресурса, который не соответствует требованиям, не влияя на существующие рабочие процессы или запросы.

Рекомендуется обновить и создать новые ресурсы, соответствующие определению политики, чтобы убедиться в том, что аудит правильно срабатывает при ожидаемых событиях. Следите за запросами ресурсов, на которые не должно распространяться новое определение политики, запускающими аудит. Эти затронутые ресурсы являются еще одним примером ложноположительного результата и должны быть исправлены в определении политики до полной реализации.

В случае изменения определения политики на этом этапе тестирования рекомендуется начать процесс проверки с аудитом существующих ресурсов. Изменение определения политики для ложноположительного результата в новых или обновленных ресурсах, вероятно, также повлияет на существующие ресурсы.

Развертывание политики в ресурсах

После завершения проверки нового определения политики с помощью существующих ресурсов и новых или обновленных запросов ресурсов начинается процесс реализации политики. Рекомендуется сначала создать назначение политики для нового определения в подмножестве всех ресурсов, например в группе ресурсов. После проверки первоначального развертывания расширяйте область применения политики все дальше и дальше, например на подписки и группы управления. Это расширение достигается путем удаления назначения и создания нового в целевых областях до тех пор, пока новое определение политики не будет назначено всей области ресурсов, на которую оно должно распространяться.

Если при выпуске обнаружены ресурсы, которые должны быть исключены из нового определения политики, проблему можно устранить одним из следующих способов.

  • Изменение определения политики на более явное, чтобы снизить непреднамеренное воздействие.
  • Изменение области назначения политики (путем удаления и создания нового назначения).
  • Добавление группы ресурсов в список исключений для назначения политики.

Все изменения в области (уровень или исключения) должны быть полностью проверены и согласованы с отделами безопасности и соответствия требованиям, чтобы гарантировать, что все будет учтено.

Мониторинг политики и соответствия требованиям

Реализация и назначение определения политики — это не последний шаг. Непрерывно отслеживайте уровень соответствия ресурсов для нового определения политики и настраивайте соответствующие предупреждения и уведомления Azure Monitor при обнаружении несоответствующих устройств. Также рекомендуется оценивать определение политики и связанные назначения по расписанию, чтобы убедиться, что определение политики соответствует требованиям бизнес-политики и соответствия. Ненужные политики необходимо удалять. Кроме того, время от времени политики нужно обновлять по мере развития базовых ресурсов Azure и добавления новых свойств и возможностей.

Дальнейшие действия