Stavy dodržování předpisů pro Azure Policy

  • Článek

Jak funguje dodržování předpisů

Když se přiřadí definice iniciativ nebo zásad, Azure Policy určí, které prostředky se použijí , pak vyhodnotí prostředky, které nebyly vyloučeny nebo vyloučeny. Vyhodnocení přináší stavy dodržování předpisů na základě podmínek v pravidle zásad a dodržování těchto požadavků u jednotlivých prostředků.

Dostupné stavy dodržování předpisů

Neodpovídající

Přiřazení zásad s , nebo účinky se považují za nevyhovující novým, aktualizovaným nebo existujícím prostředkům, když se podmínky pravidla zásady vyhodnotí jako PRAVDA.modifyauditIfNotExistsaudit

Přiřazení zásad s , a účinky jsou považovány za nevyhovující stávajícímprostředkům, když se podmínky pravidla zásady vyhodnotí jako PRAVDA.deployIfNotExistsdenyappend Nové a aktualizované prostředky se automaticky opraví nebo zamítnou v době žádosti, aby bylo možné vynutit dodržování předpisů. Když se dříve existující prostředek nedodržující předpisy aktualizuje, stav dodržování předpisů zůstane nedodržující předpisy, dokud se nedokončí nasazení prostředků a vyhodnocení zásad.

Poznámka:

Efekty DeployIfNotExist a AuditIfNotExist vyžadují, aby příkaz IF byl TRUE a podmínka existence byla NEPRAVDA, aby byla nevyhovující předpisům. Pokud má hodnotu TRUE, aktivuje podmínka IF vyhodnocení podmínky existence pro související prostředky.

Přiřazení zásad s manual účinky se považují za nevyhovující za dvou okolností:

  1. Definice zásady má výchozí stav dodržování předpisů nedodržující předpisy a pro příslušný prostředek není k dispozici žádná aktivní ověření identity .
  2. Prostředek byl potvrzen jako nevyhovující předpisům.

Pokud chcete zjistit důvod, proč prostředek nedodržuje předpisy, nebo pokud chcete najít zodpovědnou změnu, přečtěte si téma Určení nedodržování předpisů. Pokud chcete napravit nekompatibilní prostředky a deployIfNotExistsmodify zásady, přečtěte si téma Náprava nevyhovujících prostředků pomocí služby Azure Policy.

Kompatibilní

Přiřazení zásad s append, , audit, auditIfNotExists, deny, deployIfNotExistsnebo modify účinky jsou považovány za vyhovující novým, aktualizovaným nebo existujícím prostředkům, když se podmínky pravidla zásady vyhodnotí jako NEPRAVDA.

Přiřazení zásad s manual účinky jsou považována za vyhovující za dvou okolností:

  1. Definice zásady má výchozí stav dodržování předpisů a pro příslušný prostředek není k dispozici žádná aktivní ověření identity .
  2. Prostředek byl potvrzen jako vyhovující.

Chyba

Stav dodržování předpisů chyb se udělí přiřazením zásad, která generují systémovou chybu, například šabloně nebo chybě vyhodnocení.

Konfliktní

Přiřazení zásady se považuje za konfliktní, pokud existují dvě nebo více přiřazení zásad ve stejném oboru s rozporu nebo konfliktními pravidly. Například dvě definice, které připojují stejnou značku s různými hodnotami.

Osvobození

Příslušný prostředek má stav dodržování předpisů, který je pro přiřazení zásady vyloučen, pokud je v rozsahu výjimky.

Poznámka:

Výjimka se liší od vyloučení. Další podrobnosti najdete v oboru.

Neznámý

Neznámý je výchozí stav dodržování předpisů pro definice s účinkem manual , pokud výchozí nastavení není explicitně nastaveno na vyhovující nebo nedodržování předpisů. Tento stav označuje, že ověření dodržování předpisů je zaručeno. K tomuto stavu dodržování předpisů dochází pouze u přiřazení zásad s účinkem manual .

Chráněno

Chráněný stav označuje, že se prostředek vztahuje na přiřazení s účinkem denyAction .

Nezaregistrováno

Tento stav dodržování předpisů se zobrazí na portálu, když není zaregistrovaný poskytovatel prostředků Azure Policy nebo když účet přihlášený nemá oprávnění ke čtení dat dodržování předpisů.

Poznámka:

Pokud se stav dodržování předpisů hlásí jako Nezaregistrovaný, ověřte, že je zaregistrovaný poskytovatel prostředků Microsoft.Policy Přehledy a že uživatel má příslušná oprávnění řízení přístupu na základě role Azure (Azure RBAC), jak je popsáno v oprávněních Azure RBAC v Azure Policy. Pokud chcete zaregistrovat Microsoft.Policy Přehledy, postupujte takto.

Nezahájeno

Tento stav dodržování předpisů značí, že cyklus vyhodnocení se pro zásadu nebo prostředek nezačala.

Příklad

Teď, když už víte, jaké stavy dodržování předpisů existují a co každý z nich znamená, pojďme se podívat na příklad s využitím kompatibilních a nekompatibilních stavů.

Předpokládejme, že máte skupinu prostředků – ContosoRG s některými účty úložiště (zvýrazněnými červeně), které jsou vystavené veřejným sítím.

Diagram of storage accounts exposed to public networks in the Contoso R G resource group.

V tomto příkladu musíte být opatrní s bezpečnostními riziky. Předpokládejme, že přiřadíte definici zásad, která provede auditování účtů úložiště, které jsou vystaveny veřejným sítím, a že pro toto přiřazení nejsou vytvořeny žádné výjimky. Zásady kontrolují příslušné prostředky (včetně všech účtů úložiště ve skupině prostředků ContosoRG) a pak vyhodnotí prostředky, které nejsou vyloučené z vyhodnocení. Provede audit tří účtů úložiště vystavených veřejným sítím a změní jejich stavy dodržování předpisů na nekompatibilní. Zbývající část je označená jako vyhovující.

Diagram of storage account compliance in the Contoso R G resource group.

Souhrn dodržování předpisů

Stav dodržování předpisů se určuje pro jednotlivé prostředky a přiřazení zásad. Často ale potřebujeme celkový přehled o stavu prostředí, což je místo, kde přichází do hry agregace dodržování předpisů.

Na portálu můžete zobrazit agregované výsledky dodržování předpisů několika způsoby:

Agregované zobrazení dodržování předpisů Faktory určující stav dodržování předpisů
Obor Všechny zásady ve vybraném oboru
Iniciativa Všechny zásady v rámci iniciativy
Skupina nebo ovládací prvek iniciativy Všechny zásady v rámci skupiny nebo ovládacího prvku
Zásady Všechny použitelné prostředky
Prostředek Všechny platné zásady

Porovnání různých stavů dodržování předpisů

Jak se tedy určuje agregovaný stav dodržování předpisů, pokud se několik prostředků nebo zásad liší? Azure Policy seřadí každý stav dodržování předpisů tak, aby v této situaci vyhrál jeden z nich. Pořadí pořadí je:

  1. Neodpovídající
  2. Kompatibilní
  3. Chyba
  4. Konfliktní
  5. Chráněno (Preview)
  6. Osvobozeny
  7. Neznámé (Preview)

Poznámka:

Nezahajováno a nezaregistrováno se nepovažuje za souhrnné výpočty dodržování předpisů.

S tímto hodnocením platí, že pokud existují nekompatibilní i vyhovující státy, souhrnná agregace by nedodržovala předpisy a tak dále. Podívejte se na příklad:

Předpokládejme, že iniciativa obsahuje 10 zásad a prostředek je z jedné zásady vyloučený, ale splňuje zbývající devět zásad. Vzhledem k tomu, že vyhovující stav má vyšší pořadí než vyloučený stav, prostředek se zaregistruje jako vyhovující v souhrnném souhrnu iniciativy. Prostředek se proto zobrazuje jako vyloučený pouze pro celou iniciativu, pokud je z této iniciativy vyloučený nebo má neznámé dodržování předpisů, a to všechny ostatní platné zásady v této iniciativě. Na druhé extrémní úrovni má prostředek, který nedodržuje předpisy alespoň jedné platné zásady v iniciativě, celkový stav dodržování předpisů nedodržování předpisů bez ohledu na zbývající příslušné zásady.

Procento dodržování předpisů

Procento dodržování předpisů se určuje rozdělením vyhovujících, vyloučených a neznámých prostředků celkovými prostředky. Mezi celkové prostředky patří prostředky se stavy Kompatibilní, Nedodržující předpisy, Neznámé, Vyloučené, Konfliktní a Chybové stavy.

overall compliance % = (compliant + exempt + unknown + protected)  / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)

Na obrázku je 20 různých prostředků, které se dají použít a pouze jeden z nich nedodržuje předpisy. Celkové dodržování předpisů prostředků je 95 % (19 z 20).

Screenshot of policy compliance details from Compliance page.

Další kroky