Organizace můžou pomocí Vizualizéru zásad správného řízení Azure zaznamenávat relevantní informace o zásadách správného řízení o svých tenantech Azure. Nástroj zachycuje:
- Hierarchie skupiny pro správu
- Informace o zásadách, jako jsou definice vlastních zásad, osamocené definice vlastních zásad a přiřazení zásad.
- Informace o řízení přístupu na základě role (RBAC), jako jsou definice vlastních rolí, osamocené definice vlastních rolí a přiřazení rolí.
- Analýza zabezpečení Azure a osvědčených postupů
- Microsoft Entra ID Insights.
Akcelerátor Vizualizéru zásad správného řízení Azure spouští vizualizér automatizovaným způsobem prostřednictvím Azure Pipelines nebo GitHub Actions. Vizualizér zobrazí souhrn jako soubory HTML, MD a CSV. V ideálním případě je vygenerovaná sestava HTML snadno přístupná autorizovaným uživatelům v organizaci. V tomto článku se dozvíte, jak automatizovat spouštění Vizualizéru zásad správného řízení Azure a bezpečně hostovat výstup generování sestav a efektivně na základě funkce Web Apps služby Aplikace Azure Service.
Příklad implementace je k dispozici na GitHubu v akcelerátoru Vizualizéru zásad správného řízení Azure.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Tok dat
Architektura řešení implementuje následující pracovní postup:
- Časovač aktivuje tok GitHub Actions.
- Tok vytvoří Připojení připojení OpenID k Azure. Potom spustí nástroj Vizualizér zásad správného řízení Azure. Nástroj shromažďuje požadované přehledy ve formě sestav HTML, MD a CSV.
- Sestavy se nasdílí do úložiště GitHub.
- Výstup HTML nástroje Vizualizéru zásad správného řízení Azure se publikuje do služby App Service.
Tok uživatele
Tento tok vysvětluje, jak může uživatel nástroj používat:
- Uživatel přejde na adresu URL služby App Service pro přístup k sestavě HTML vizualizéru. Uživatel se vyžaduje k ověření prostřednictvím autorizace Microsoft Entra ID.
- Uživatel může zkontrolovat přehledy poskytované vizualizérem.
Komponenty
Akcelerátor je založený na úložišti šablon GitHubu, které se skládá z následujících komponent:
- Microsoft Entra ID je služba podnikové identity, která poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup.
- Služba Azure App Service je plně spravovaná platforma pro vytváření a nasazování cloudových aplikací. Umožňuje definovat sadu výpočetních prostředků pro webovou aplikaci, která bude spouštět, nasazovat webové aplikace a konfigurovat sloty nasazení.
- GitHub je oblíbená nabídka SaaS od Microsoftu, kterou vývojáři často používají k vytváření, dodávání a údržbě svých softwarových projektů.
- GitHub Actions poskytuje v této architektuře možnosti kontinuální integrace a průběžného nasazování.
Alternativy
Vizualizér zásad správného řízení Azure je skript PowerShellu, který se dá spustit přímo na místním počítači. Vizualizér je možné nakonfigurovat tak, aby běžel jako součást kanálu GitHub Actions nebo Azure DevOps a přijímal aktuální informace o vašem prostředí. Vizualizér vytvoří wikiweb jako výstup, který je možné publikovat na GitHubu nebo v Azure DevOps.
Vizualizér je také možné hostovat na jakékoli jiné hostitelské platformě, která je zabezpečená a nákladově efektivní, jako je Azure Static Web Apps.
Podrobnosti scénáře
Vizualizér zásad správného řízení Azure je skript založený na PowerShellu, který iteruje hierarchii skupin pro správu tenanta Azure na úrovni předplatného. Zachycuje nejrelevantní funkce zásad správného řízení Azure, jako jsou Azure Policy, RBAC, Microsoft Entra ID a Blueprints. Z shromážděných dat vizualizér zásad správného řízení Azure vizualizuje všechny tyto informace v přehledné navigaci v sestavě HTML.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Omezení kódu HTML pro vytváření sestav pouze na uživatele, kteří mají oprávnění k zobrazení těchto dat, je důležité. Tato data jsou zlatým důlem pro vnitřní i externí hrozby, protože zpřístupňují prostředí Azure, včetně bezpečnostních prvků.
Ověřování Microsoft Entra slouží k omezení přístupu k autorizovaným jednotlivcům. Zvažte použití ověřování Web Apps k poskytování této služby. V akcelerátoru se nasazení nakonfiguruje na Web Apps a aktivně ověří, že je před nasazením povolené ověřování.
Zvažte použití kontrolních mechanismů zabezpečení sítě k vystavení lokality vašemu týmu pouze přes privátní koncový bod. Pokud chcete omezit provoz, zvažte použití omezení IP adres webových aplikací.
Povolte protokolování přístupu ve webové aplikaci Azure, abyste mohli auditovat přístup. Nakonfigurujte webovou aplikaci Azure tak, aby tyto protokoly odesílala do pracovního prostoru služby Log Analytics.
Ujistěte se, že je ve webové aplikaci Azure povolená zabezpečená komunikace. V akcelerátoru jsou povoleny pouze protokoly HTTPS a FTPs a minimální verze protokolu TLS je nakonfigurovaná jako 1.2.
Zvažte použití Microsoft Defenderu pro Cloud v programu Microsoft Defender for App Service.
Použijte nejnovější verze zásobníku modulu runtime webové aplikace Azure.
Nezapomeňte pravidelně obměňovat tajný kód tohoto instančního objektu a sledovat jeho aktivitu. Pokud chcete shromáždit všechny požadované informace, vizualizér nasazený akcelerátorem závisí na instančním objektu s oprávněními Microsoft Entra ID.
Další informace o bezpečnostních prvcích najdete v tématu Standardní hodnoty zabezpečení pro Službu App Service.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
Úroveň B1 (Basic) se používá pro nasazenou webovou aplikaci Azure ve službě App Service. App Service hostuje výstup HTML nástroje Vizualizéru zásad správného řízení Azure, aby byl jednoduchý.
Akcelerátor nasadí jenom jednu instanci služby App Service, ale v případě potřeby se můžete rozhodnout nasadit více.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Akcelerátor se skládá hlavně z webové aplikace Azure, která hostuje výstup HTML nástroje vizualizéru. Doporučujeme povolit nastavení diagnostiky webové aplikace pro monitorování provozu, přístupu k protokolům auditu, metrikám a dalším akcím.
Je důležité monitorovat výkon webové aplikace. To vám pomůže zjistit, jestli potřebujete vertikálně navýšit kapacitu nebo vertikálně navýšit kapacitu v závislosti na množství využití vizualizéru.
Je také důležité vždy spouštět nejnovější verze zásobníku modulu runtime webové aplikace Azure.
Vizualizér zásad správného řízení Azure pravidelně aktualizuje verze s novými funkcemi, opravami chyb nebo vylepšeními. V akcelerátoru zpracovává vyhrazený pracovní postup GitHubu proces aktualizace. Existuje konfigurovatelná možnost, jak aktualizovat kód vizualizéru automaticky nebo ručně tak, že jednoduše otevřete žádost o přijetí změn se změnami, které můžete zkontrolovat a sloučit.
Urychlený kód se může aktualizovat o nová nastavení kódu služby App Service bicep nebo s novými pokyny pro požadavky vizualizéru. V akcelerátoru zpracovává vyhrazený pracovní postup GitHubu tento proces aktualizace. Existuje konfigurovatelná možnost, jak aktualizovat kód vizualizéru automaticky nebo ručně tak, že jednoduše otevřete žádost o přijetí změn se změnami, které můžete zkontrolovat a sloučit.
Nasazení tohoto scénáře
Pokud chcete tento scénář nasadit, podívejte se na akcelerátor Vizualizéru zásad správného řízení Azure.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Seif Bassem | Architekt cloudového řešení
Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.