登陆区域生命周期管理工具(预览)
重要提示
这是一项预览功能。 此信息涉及预发布功能,其有可能在发布之前进行大幅修改。 对于此处提供的信息,Microsoft 不作任何明示或暗示的担保。
本文概述了通过 GitHub 上的 Microsoft Cloud for Sovereignty 提供的新登陆区域生命周期管理工具和增强功能。 计划是要不断提高这些功能的效率、可靠性和合规性,以更好地满足客户不断变化的需求。 登陆区域生命周期管理工具包括:
- 评估:此工具根据确定的最佳做法对 Azure 资源(如位置和 Azure 策略分配)进行部署前评估。
- 策略编译器:此工具可简化策略管理过程。 它通过检查关键组件来系统地分析组织的策略计划。
- 偏移分析器:此工具监视云环境的当前状态,并将其与原始预定登陆区域配置进行比较。 它识别关键偏差或变化。
- 资源位置:此工具报告您的 Azure 订阅提供的 Azure 资源位置信息。
评估
评估工具根据确定的最佳做法提供对 Azure 资源(如位置和 Azure 策略分配)的部署前评估。 此工具可以评估云环境的各个方面,如:
- 主权登陆区域 (SLZ) 基准策略分配。
- 使用自定义策略计划。
- 单个策略分配。
此工具根据结果的严重级别为您提供建议。 建议分为以下类别:
- 最好:分配 SLAZ 基准策略计划。
- 较好:在自定义计划或其他内置计划中从 SLZ 基准分配策略。
- 好:单独分配属于 SLZ 基准策略计划一部分的策略。
类别
此工具评估以下每个类别,并根据结果给出严重级别。
- 允许的位置
- 机密计算(如果在评估时选择)
- 客户管理的密钥
- 建筑
严重级别
此工具按以下严重级别对类别评估结果进行分组:
| 严重级别 | 调查发现 |
|---|---|
| 高 | 未找到策略。 |
| 中 | 策略单独分配。 |
| 低 | 策略作为计划(而不是基准)的一部分分配。 |
| 信息性 | 未在使用管理组。 |
| 无 | 如果未分配基准策略,没有结果。 |
策略编译器
在复杂的法规合规情况中,组织面临管理重叠和冲突的策略计划的艰巨任务。 策略编译器工具可简化策略管理过程。 它通过检查关键组件(如显示名称、描述、参数和效果)来系统地分析组织的策略计划。
此工具在不同的策略之间比较这些元素,并检测冗余、冲突和差距。 然后,它使用此分析来提供一组建议的经过协调的策略计划,这些计划与客户的特定合规需求相一致,使策略管理更加高效和可靠。
用例示例
将策略编译器想象成一个专门助手,他会仔细检查您的所有策略文档,找出任何重叠或矛盾之处,然后就最佳行动方案向您提供建议。 无论您是需要协调不同司法管辖区的数据保护策略,还是需要将安全措施与不同的行业标准保持一致,策略编译器都可以帮助创建连贯清晰的策略框架。
策略编译器的当前功能
策略编译器工具的当前原型为您提供了在根范围内访问所有内置和自定义 Azure 策略计划的权限。 此工具可帮助您将选定计划中的所有独有策略整合到单个自定义计划中。 在此过程中,此工具为您提供策略情况的全面概况和简化。
偏移分析器
登陆区域偏移分析器工具监视云环境的当前状态,并将其与原始预定配置进行比较。 它将确定可能影响您的环境完整性和合规性的任何关键变化或偏差。 这些变化可能是有意或无意的。
偏移分析器访问信息
对于访问,用户可以使用公开预览来检查标准 SLZ 配置的偏移。 您可以从 Cloud for Sovereignty 快速入门访问公开预览。 此外,您还可以从此页面请求个人预览,使用该预览检查注册的登陆区域的偏移。
重要提示
与个人预览相比,偏移分析器的公开预览提供的功能有限。
偏差类别
您可以将工具识别的有意或无意偏差分类如下:
- 严重性:按严重级别对变化的影响进行分类有助于确定操作的优先级。
- 管理组:对管理组的更改可能会导致安全和合规风险。
- 策略计划分配:对策略分配的修改可能会导致操作风险。
- 策略参数:对策略参数的修改可能会导致操作风险。
- 允许的位置:对允许位置的更改可能会影响安全性或合规性。
- 日志保留:对日志保留策略风险的更改可能会导致数据丢失或不合规。
- 严重性更改:对严重性级别的更改可能会导致错过关键更改通知。
- 管理组层次结构:对管理组层次结构的更改可能会增加安全风险。
资源位置
Azure 资源位置显示所选订阅中所有资源的基本详细信息,包括资源位置、资源名称和资源 ID,帮助全面了解环境中的资源分布。 这些信息可以显示在表中,并可以在地图上以可视方式表示。
这些信息以前是评估工具的一部分,但现在随着我们构建进一步的功能,已经移到了它们自己的区域。