Správa dodržování předpisů virtuálních počítačů

Tento článek popisuje, jak spravovat dodržování předpisů virtuálních počítačů bez narušení postupů DevOps. Pomocí Azure VM Image Builderu a Azure Compute Gallery minimalizujte riziko z imagí systému.

Architektura

Řešení se skládá ze dvou procesů:

• Proces publikování zlaté image
• Proces sledování dodržování předpisů virtuálních počítačů

Stáhněte si soubor aplikace Visio s touto architekturou.

Tok dat

Proces publikování zlaté image se spouští každý měsíc a obsahuje tyto kroky:

1. Proces zachytí základní image z Azure Marketplace.
2. VM Image Builder image přizpůsobí.
3. Proces tetování obrázků sleduje informace o verzi obrázku, jako je zdroj a datum publikování.
4. Automatizované testy ověřují image.
5. Pokud image selže v testech, vrátí se ke kroku přizpůsobení pro opravy.
6. Proces publikuje finalizovanou image.
7. Galerie výpočetních prostředků zpřístupní image týmům DevOps.

Stáhněte si soubor aplikace Visio s touto architekturou.

Proces sledování dodržování předpisů virtuálních počítačů obsahuje tyto kroky:

1. Azure Policy virtuálním počítačům přiřadí definice zásad a vyhodnotí jejich dodržování předpisů.
2. Azure Policy publikuje data dodržování předpisů pro virtuální počítače a další prostředky Azure na řídicím panelu Azure Policy.

Komponenty

• VM Image Builder je spravovaná služba pro přizpůsobení systémových imagí. Tato služba sestavuje a distribuuje image, které týmy DevOps používají.

• Galerie výpočetních prostředků pomáhá strukturovat a uspořádat vlastní image. Díky ukládání imagí do úložišť poskytuje tato služba řízený přístup k imagím. Uživatelé můžou být ve vaší organizaci i mimo ni.

• Azure Policy nabízí definice zásad. Tyto definice můžete použít k vynucování standardů vaší organizace a k vyhodnocení dodržování předpisů ve velkém měřítku. Na řídicím panelu Azure Policy se zobrazují výsledky Azure Policy vyhodnocení. Tato data vás informují o stavu dodržování předpisů vašich prostředků.

• Funkce konfigurace počítače Azure Automanage Azure Policy poskytuje způsob, jak dynamicky auditovat nebo přiřazovat konfigurace počítačům prostřednictvím kódu. Konfigurace obecně zahrnují nastavení prostředí nebo operačního systému.

Alternativy

• Ke správě dodržování předpisů můžete použít nástroj třetí strany. U tohoto typu nástroje ale obvykle potřebujete na cílový virtuální počítač nainstalovat agenta. Možná také budete muset zaplatit licenční poplatek.

• Rozšíření vlastních skriptů můžete použít k instalaci softwaru na virtuální počítače nebo ke konfiguraci virtuálních počítačů po nasazení. Každý virtuální počítač nebo škálovací sada virtuálních počítačů ale může mít jenom jedno rozšíření vlastních skriptů. A pokud používáte rozšíření vlastních skriptů, zabráníte týmům DevOps v přizpůsobení jejich aplikací.

Podrobnosti scénáře

Každý podnik má vlastní předpisy a standardy dodržování předpisů. Pokud jde o zabezpečení, každá společnost má svůj vlastní apetit k riziku. Standardy zabezpečení se můžou v jednotlivých organizacích a v jednotlivých oblastech lišit.

Dodržování různých standardů může být v dynamickém škálování cloudových prostředí náročnější než v místních systémech. Když týmy používají postupy DevOps, obvykle platí méně omezení ohledně toho, kdo může vytvářet prostředky Azure, jako jsou virtuální počítače. Tato skutečnost komplikuje problémy s dodržováním předpisů.

Pomocí Azure Policy a přiřazení řízení přístupu na základě role můžou podniky vynucovat standardy pro prostředky Azure. U virtuálních počítačů ale tyto mechanismy ovlivňují jenom řídicí rovinu nebo trasu k virtuálnímu počítači. Image systému, které běží na virtuálním počítači, stále představují bezpečnostní hrozbu. Některé společnosti brání vývojářům v přístupu k virtuálním počítačům. Tento přístup snižuje flexibilitu a ztěžuje dodržování postupů DevOps.

Tento článek představuje řešení pro správu dodržování předpisů u virtuálních počítačů, které běží v Azure. Kromě sledování dodržování předpisů řešení také minimalizuje riziko z imagí systému, které běží na virtuálních počítačích. Zároveň je řešení kompatibilní s postupy DevOps. Mezi základní komponenty patří Azure VM Image Builder, Azure Compute Gallery a Azure Policy.

Potenciální případy použití

Toto řešení se vztahuje na organizace s cílovými zónami Azure, které dokončí tyto úlohy:

• Poskytování zlatých obrázků týmům DevOps Zlatá image je publikovaná verze image z marketplace.
• Testování a ověřování imagí před jejich zpřístupněním týmům DevOps
• Sledování obrázků, které jednotlivé týmy DevOps používají
• Prosazování standardů společnosti, aniž by se snižovala produktivita.
• Zajištění, aby týmy DevOps používaly nejnovější verze imagí.
• Správa dodržování předpisů pro servery pro domácí zvířata, které jsou náročné na údržbu, a servery pro dobytek, které jsou snadno nahraditelné.

Přístup

Následující části obsahují podrobný popis přístupu k řešení.

Identifikace domácích zvířat a skotu

Týmy DevOps používají k definování modelů služeb analogii zvanou domácí mazlíčci a dobytek. Pokud chcete sledovat dodržování předpisů virtuálního počítače, nejprve zjistěte, jestli se jedná o server pro domácí zvířata nebo skotu:

• Domácí mazlíčci vyžadují značnou pozornost. Není snadné je rozdávnout. Obnovení serveru pro domácí mazlíčky vyžaduje značné množství času a finančních prostředků. Například server, na kterém běží SAP, může být domácí mazlíček. Kromě softwaru, který běží na serveru, můžou model služby určit také další aspekty. Pokud máte nízkou odolnost proti chybám, mohou být produkční servery v systémech v reálném čase a téměř v reálném čase také domácími mazlíčky.

• Servery skotu jsou součástí identické skupiny. Můžete je snadno nahradit. Například virtuální počítače, které běží ve škálovací sadě virtuálních počítačů, jsou dobytek. Pokud je v sadě dostatek virtuálních počítačů, váš systém stále běží a vy nemusíte znát názvy jednotlivých virtuálních počítačů. Dalším příkladem skotu jsou testovací servery prostředí, které splňují následující podmínky:

  • K vytvoření serverů od začátku použijete automatizovaný postup.
  • Po dokončení testů vyřadíte servery z provozu.

Prostředí může obsahovat pouze servery pro domácí mazlíčky nebo pouze servery pro dobytek. Naproti tomu sada virtuálních počítačů v prostředí může být domácí zvířata. Jinou sadou virtuálních počítačů ve stejném prostředí může být dobytek.

Správa dodržování předpisů:

• Dodržování předpisů pro domácí zvířata může být náročnější sledovat než dodržování předpisů dobytka. Dodržování předpisů v prostředích a serverech pro domácí mazlíčky můžou obvykle sledovat a udržovat pouze týmy DevOps. Řešení tohoto článku ale zvyšuje viditelnost stavu každého domácího mazlíčka a usnadňuje všem v organizaci sledování dodržování předpisů.
• V případě prostředí s dobytkem virtuální počítače pravidelně obnovujte a znovu sestavujte od začátku. Tyto kroky by měly být přiměřené z důvodu dodržování předpisů. Tento cyklus aktualizace můžete sladit s běžnou četností vydávání verzí vašeho týmu DevOps.

Omezit obrázky

Nepovolte týmům DevOps používat Azure Marketplace image virtuálních počítačů. Povolte jenom image virtuálních počítačů, které publikuje Galerie výpočetních prostředků. Toto omezení je zásadní pro zajištění dodržování předpisů virtuálních počítačů. K vynucení tohoto omezení můžete použít vlastní zásady v Azure Policy. Ukázku najdete v tématu Povolení vydavatelů obrázků.

V rámci tohoto řešení by nástroj VM Image Builder měl používat image Azure Marketplace. Je nezbytné použít nejnovější image, která je dostupná v Azure Marketplace. Použijte všechna vlastní nastavení nad tímto obrázkem. Azure Marketplace image se často aktualizují a každá image má určité přednastavené konfigurace, což zajišťuje, že image jsou ve výchozím nastavení zabezpečené.

Přizpůsobení imagí

Zlatá image je verze image z marketplace, která je publikovaná v Galerii výpočetních prostředků. Zlaté image jsou k dispozici pro týmy DevOps. Před publikováním image se provede vlastní nastavení. Aktivity přizpůsobení jsou pro každý podnik jedinečné. Mezi běžné aktivity patří:

• Posílení zabezpečení operačního systému.
• Nasazení vlastních agentů pro software třetích stran
• Instalace kořenových certifikátů podnikové certifikační autority (CA).

Pomocí nástroje VM Image Builder můžete přizpůsobit image úpravou nastavení operačního systému a spuštěním vlastních skriptů a příkazů. VM Image Builder podporuje image Windows a Linux. Další informace o přizpůsobení imagí najdete v tématu Azure Policy ovládací prvky dodržování právních předpisů pro Azure Virtual Machines.

Sledování tetování obrázků

Tetování obrázků je proces sledování všech informací o správě verzí obrázků, které virtuální počítač používá. Tyto informace jsou při řešení potíží neocenitelné a mohou zahrnovat:

• Původní zdroj image, například název a verze vydavatele.
• Řetězec verze operačního systému, který potřebujete, pokud existuje místní upgrade.
• Verze vlastní image.
• Datum publikování.

Množství a typ informací, které sledujete, závisí na úrovni dodržování předpisů vaší organizace.

Pro tetování obrázků na virtuálních počítačích s Windows nastavte vlastní registr. Přidejte všechny požadované informace do této cesty registru jako páry klíč-hodnota. Na virtuálních počítačích s Linuxem zadejte data o tetování obrázků do proměnných prostředí nebo souboru. Vložte soubor do /etc/ složky, kde není v konfliktu s vývojářskou prací nebo aplikacemi. Pokud chcete použít Azure Policy ke sledování dat o tetování nebo k jejich sestavě, uložte každou část dat jako jedinečný pár klíč-hodnota. Informace o určení verze image z Marketplace najdete v tématu Jak najít verzi image z Marketplace.

Ověření zlatých obrázků pomocí automatizovaných testů

Obecně platí, že zlaté obrázky byste měli aktualizovat každý měsíc, abyste měli aktuální nejnovější aktualizace a změny v Azure Marketplace imagích. Pro tento účel použijte opakující se testovací postup. V rámci procesu vytváření image použijte k testování kanál Azure nebo jiný automatizovaný pracovní postup. Nastavte kanál tak, aby nasadil nový virtuální počítač pro spouštění testů před začátkem každého měsíce. Testy by měly před publikováním pro použití potvrdit parované obrázky. Automatizujte testy pomocí řešení pro automatizaci testů nebo spuštěním příkazů nebo dávek na virtuálním počítači.

Mezi běžné testovací scénáře patří:

• Ověřuje se čas spuštění virtuálního počítače.
• Potvrzení jakéhokoli přizpůsobení image, například nastavení konfigurace operačního systému nebo nasazení agenta.

Neúspěšný test by měl přerušit proces. Po vyřešení původní příčiny problému tento test opakujte. Pokud testy běží bez problémů, automatizace procesu testování snižuje úsilí, které je vynaloženo na udržování stále zeleného stavu.

Publikování zlatých obrázků

Publikování konečných imagí v Galerii výpočetních prostředků jako spravované image nebo jako virtuální pevný disk (VHD), které můžou týmy DevOps používat. Označte všechny starší obrázky jako staré. Pokud jste v Galerii výpočetních prostředků nenastavili datum ukončení životnosti pro verzi image, možná budete chtít nejstarší image ukončit. Toto rozhodnutí závisí na zásadách vaší společnosti.

Informace o omezeních, která platí při používání služby Compute Gallery, najdete v tématu Ukládání a sdílení imagí v Galerii výpočetních prostředků Azure.

Dalším osvědčeným postupem je publikovat nejnovější image v různých oblastech. Pomocí Galerie výpočetních prostředků můžete spravovat životní cyklus a replikaci imagí napříč různými oblastmi Azure.

Další informace o galerii výpočetních prostředků najdete v tématu Ukládání a sdílení imagí v Galerii výpočetních prostředků Azure.

Aktualizovat zlaté obrázky

Při použití image pro aplikaci může být obtížné aktualizovat základní image operačního systému nedávnými změnami dodržování předpisů. Striktní obchodní požadavky můžou proces aktualizace základního virtuálního počítače komplikovat. Aktualizace je také složitá, když je virtuální počítač pro firmu kritický.

Vzhledem k tomu, že servery pro dobytek jsou postradatelné, můžete se domluvit s týmy DevOps a aktualizovat tyto servery v rámci plánované údržby v rámci běžné obchodní činnosti.

Aktualizace serverů pro domácí zvířata je náročnější. Ukončení image může ohrozit aplikace. Ve scénářích škálování na více instancí azure nemůže najít příslušné image, což vede k selháním.

Při aktualizaci serverů pro domácí zvířata zvažte tyto pokyny:

• Osvědčené postupy najdete v tématu Přehled pilíře spolehlivosti v azure Well-Architected Framework.

• Pokud chcete proces zjednodušit, podívejte se na principy, které tyto dokumenty probírají:

  • Model razítka nasazení
  • Vzor geody
  • Model Přepážka

• Označte každý server domácího mazlíčka jako domácího mazlíčka. Nakonfigurujte zásadu v Azure Policy tak, aby se tato značka při aktualizacích brala v úvahu.

Zlepšení viditelnosti

Obecně platí, že ke správě jakékoli aktivity dodržování předpisů v rovině řízení byste měli použít Azure Policy. Můžete také použít Azure Policy pro:

• Sledování dodržování předpisů virtuálních počítačů
• Instalace agentů Azure.
• Zachytávání diagnostických protokolů
• Zlepšení viditelnosti dodržování předpisů virtuálních počítačů.

Pomocí funkce Azure Automanage Machine Configuration Azure Policy můžete auditovat změny konfigurace, které provedete během přizpůsobení image. Když dojde k posunu, Azure Policy řídicí panel zobrazí seznam ovlivněných virtuálních počítačů jako nevyhovujících předpisům. Azure Policy můžete pomocí informací o tetování obrázků sledovat, kdy používáte zastaralé image nebo operační systémy.

Audit serverů pro domácí zvířata pro každou aplikaci Použitím zásad Azure s efektem auditu můžete zlepšit viditelnost těchto serverů. Upravte proces auditu podle chuti vaší společnosti k riziku a interním procesům řízení rizik.

Každý tým DevOps může sledovat úrovně dodržování předpisů svých aplikací na řídicím panelu Azure Policy a provádět odpovídající nápravné akce. Když tyto zásady přiřadíte ke skupině pro správu nebo předplatnému, přiřaďte popisu přiřazení adresu URL, která vede na wikiweb pro celou společnost. Můžete také použít krátkou adresu URL, například aka.ms/policy-21. Na wikiwebu uveďte kroky, které by týmy DevOps měly provést, aby své virtuální počítače dodržovaly předpisy.

Správci it rizik a bezpečnostní pracovníci také můžou pomocí řídicího panelu Azure Policy řídit firemní rizika podle jejich ochoty riskovat.

Pomocí konfigurační funkce Azure Automanage Machine Azure Policy s možnostmi nápravy můžete automaticky použít opravné akce. Ale časté dotazování virtuálního počítače nebo provádění změn na virtuálním počítači, který používáte pro důležitou obchodní aplikaci, může snížit výkon. Pečlivě naplánujte nápravné akce pro produkční úlohy. Přidělte týmu DevOps vlastnictví dodržování předpisů aplikací ve všech prostředích. Tento přístup je nezbytný pro servery a prostředí pro domácí zvířata, což jsou obvykle dlouhodobé komponenty Azure.

Požadavky

Tyto aspekty implementují pilíře azure Well-Architected Framework, což je sada hlavních zásad, které lze použít ke zlepšení kvality úloh. Další informace najdete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

Můžete nakonfigurovat počet replik, které výpočetní galerie ukládá pro každou image. Vyšší počet replik minimalizuje riziko omezování při zřizování více virtuálních počítačů současně. Obecné pokyny ke škálování a konfiguraci odpovídajícího počtu replik najdete v tématu Škálování pro Azure Compute Gallery.

Odolnost

Toto řešení používá spravované komponenty, které jsou automaticky odolné na regionální úrovni. Obecné pokyny k návrhu odolných řešení najdete v tématu Návrh odolných aplikací pro Azure.

Optimalizace nákladů

Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné výdaje a zlepšit provozní efektivitu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Pokud nepoužíváte službu třetí strany, jako je Ansible nebo Terraform, je tento přístup téměř zdarma. Můžou se vztahovat náklady na úložiště a výchozí přenos dat. Další potenciální poplatky zahrnují tyto komponenty:

• Azure Policy a konfigurace počítače Azure Automanage jsou pro prostředky Azure bezplatné. Pokud vaše společnost používá hybridní přístup, za prostředky Azure Arc se účtují další poplatky.

• Během období veřejné verze Preview používá nástroj VM Image Builder jeden typ výpočetní instance s 1 virtuálním procesorem a 3,5 GB paměti RAM. Za ukládání a přenos dat se můžou účtovat poplatky.

• Za galerii výpočetních prostředků se neúčtují žádné poplatky s výjimkou:

  • Náklady na ukládání replik.
  • Poplatky za výchozí přenos dat sítě za replikování imagí

Přispěvatelé

Tento článek spravuje Microsoft. Původně ji napsali následující přispěvatelé.

Hlavní autor:

• Yunus Emre Alpozen | Architekt programu

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Cílová zóna Azure
• Řízení a auditování prostředků pomocí Azure Policy
• Azure VM Image Builder
• Azure Compute Gallery
• Azure Policy a řídicí panel zásad
• Konfigurace počítače Azure Automanage

Související prostředky

• DevTest a DevOps pro řešení IaaS
• DevSecOps v AKS
• Služba CAE (Computer-Aided Engineering)