分享方式:


評估新 Azure 原則定義的影響

Azure 原則是一項功能強大的工具,可讓您管理 Azure 資源,以符合商務標準合規需求。 當人員、程序或管線建立或更新資源時,Azure 原則會檢閱要求。 當原則定義效果修改附加deployIfNotExists 時,原則會改變要求或新增至該要求。 當原則定義效果為 稽核auditIfNotExists 時,原則會針對新的和更新的資源建立活動記錄專案。 當原則定義效果是 拒絕denyAction 時,原則會停止建立或變更要求。

若您確知原則已正確定義,這些結果就會完全符合預期。 不過,請務必先驗證新的原則可如預期運作,再允許該原則變更或封鎖工作。 此驗證必須確定只有預期的資源會被認定為不符合規範,而不會誤將符合規範的資源包含在結果中 (也稱為誤判為真)。

驗證新原則定義的建議方法為遵循下列這些步驟:

  • 嚴格定義原則。
  • 測試原則的有效性。
  • 稽核新的或更新的資源要求。
  • 將原則部署至資源。
  • 持續監視。

嚴格定義原則

請務必了解如何將商務原則實作為原則定義,以及 Azure 資源與其他 Azure 服務的關聯性。 此步驟可藉由識別需求確認資源屬性來完成。 但也務必察覺您商務原則狹義之外的涵義。 例如,您的原則會指出 [所有 虛擬機器 都必須...?其他使用 VM 的 Azure 服務,例如 HDInsight 或 Azure Kubernetes Service (AKS)呢? 定義原則時,必須考慮此原則會如何影響其他服務所使用的資源。

基於此原因,應該盡可能嚴格地定義您的原則定義,並專注於您需要評估合規性的資源與屬性。

測試原則的有效性

使用新原則定義來管理新的或已更新的資源之前,最好先了解其如何評估受限的一部分現有資源,例如測試資源群組。 Azure 原則 VS Code 延伸模組可讓您使用隨選評估掃描,針對現有的 Azure 資源隔離測試定義。 您也可以在原則指派上使用強制模式 Disabled (doNotEnforce) 在開發環境中指派定義,以防止觸發或活動記錄專案建立效果

此步驟可讓您在不影響工作流程的情況下,評估新原則用於現有資源時的合規性結果。 請確認沒有符合規範的資源顯示為不符合規範 (誤判為真),且所有預期不符合規範的資源均正確標示。 初始資源子集經驗證符合預期後,請漸次對更多現有資源和更多範圍進行評估。

以此方式評估現有資源也可在完整實作新原則之前,針對補救不符合規範的資源提供機會。 如果原則定義效果為 或 ,則可以手動或透過補救工作來完成此清除。modifydeployIfNotExists

使用 deployIfNotExists 的原則定義應該使用 Azure Resource Manager 範本,以 驗證和測試部署 ARM 範本時發生的變更。

稽核新的或已更新的資源

驗證新的原則定義正確報告現有資源之後,是時候在建立或更新資源時查看原則的效果了。 如果原則定義支援效果參數化,請使用 auditauditIfNotExist。 此組態可讓您監視資源的建立和更新,以查看新原則定義是否觸發 Azure 活動記錄中不符合規範之資源的專案,而不會影響現有的工作或要求。

建議更新並建立符合原則定義的新資源,以查看 audit 預期時觸發或 auditIfNotExists 效果。 請留意不應受到觸發 auditauditIfNotExists 效果之新原則定義影響的資源要求。 這些受影響的資源也屬於「誤判為真」,必須先在原則定義中修正,才能進行完整實作。

如果原則定義在這個測試階段變更,建議是透過現有資源的稽核開始驗證程式。 對於新資源或更新資源而言,誤判為誤判的原則定義可能會對現有資源產生影響。

將原則部署至資源

使用現有資源及新的或已更新的資源完成新原則定義的驗證之後,將開始實作原則的程序。 建議先建立新原則定義的原則指派給所有資源子集,例如資源群組。 您可以使用原則指派內的 resourceSelectors 屬性,進一步依資源類型或位置進行篩選。 驗證初始部署之後,請將原則的範圍延伸至更廣泛的資源群組。 驗證初始部署之後,藉由調整 resourceSelector 篩選以鎖定更多位置或資源類型,來展開原則的效果。 或者,移除指派,並將它取代為訂用帳戶和管理群組等更廣泛範圍的新指派。 繼續此漸進式推出,直到指派給新原則定義所要涵蓋之資源的完整範圍為止。

推出期間,若發現應該從新原則定義中免除資源,則依照下列方式加以處理:

  • 將原則定義更新為更明確,以減少非預期的效果。
  • 變更原則指派的範圍 (藉由移除指派並建立新的指派)。
  • 將資源群組新增至原則指派的排除清單。

任何範圍變更 (層級或排除項目) 都應經過完整驗證,並傳達給您的安全性與合規性組織,以確保涵蓋範圍沒有任何缺口。

監視原則與合規性

實作及指派原則定義並不是最後步驟。 持續監視資源在新原則定義下的合規性層級,並設定適當的 Azure 監視器警示和通知,在識別出不符合規範的裝置時使用。 建議是根據排程評估原則定義和相關指派,以驗證原則定義符合商務原則和合規性需求。 若不再需要原則,應該將其移除。 隨著基礎 Azure 資源的演變以及新增屬性和功能,原則也必須適時更新。

下一步