Egy új Azure Policy-definíció hatásának értékelése

  • Cikk

Az Azure Policy hatékony eszköz az Azure-erőforrások kezeléséhez az üzleti szabványoknak való megfelelés érdekében. Ha személyek vagy folyamatok erőforrásokat hoznak létre vagy frissítenek, az Azure Policy áttekinti a kérést. Ha a szabályzatdefiníciós effektus Módosítás, Hozzáfűzés vagy DeployIfNotExists, a szabályzat módosítja a kérést, vagy hozzáadja azt. Ha a szabályzatdefiníciós effektus Naplózás vagy AuditIfNotExists, a szabályzat egy tevékenységnapló-bejegyzés létrehozását eredményezi az új és frissített erőforrásokhoz. Ha pedig a szabályzatdefiníciós effektus Megtagadás vagy Megtagadás, a szabályzat leállítja a kérés létrehozását vagy módosítását.

Ezek az eredmények pontosan a vártnak megfelelőek, ha tudja, hogy a szabályzat megfelelően van definiálva. Fontos azonban ellenőrizni, hogy egy új szabályzat a kívánt módon működik-e, mielőtt lehetővé tenné a munka módosítását vagy letiltását. Az ellenőrzésnek biztosítania kell, hogy csak a tervezett erőforrások legyenek nem megfelelőek, és az eredményekben nem szerepelnek helytelenül megfelelő erőforrások (hamis pozitívként ismertek).

Az új szabályzatdefiníciók ellenőrzésének ajánlott módszere az alábbi lépések végrehajtása:

  • A szabályzat szigorú meghatározása
  • A szabályzat hatékonyságának tesztelése
  • Új vagy frissített erőforrás-kérelmek naplózása
  • A szabályzat üzembe helyezése az erőforrásokon
  • Folyamatos monitorozás

A szabályzat szigorú meghatározása

Fontos tisztában lenni az üzleti szabályzat szabályzatdefinícióként való implementálásával és az Azure-erőforrások más Azure-szolgáltatásokkal való kapcsolatával. Ez a lépés a követelmények azonosításával és az erőforrás tulajdonságainak meghatározásával érhető el. Fontos azonban, hogy az üzleti szabályzat szűk definícióján túl is láthassa. A szabályzat állapota például "Minden virtuális gépnek kötelező..."? Mi a helyzet más, virtuális gépeket használó Azure-szolgáltatásokkal, például a HDInsight vagy az AKS használatával? Szabályzat meghatározásakor figyelembe kell vennünk, hogy ez a szabályzat milyen hatással van a más szolgáltatások által használt erőforrásokra.

Ezért a szabályzatdefinícióknak a lehető legszorosabban meg kell határozniuk, és a megfelelőség szempontjából kiértékelendő erőforrásokra és tulajdonságokra kell összpontosítaniuk.

A szabályzat hatékonyságának tesztelése

Mielőtt új vagy frissített erőforrásokat szeretne kezelni az új szabályzatdefinícióval, érdemes megnézni, hogyan értékeli ki a meglévő erőforrások egy korlátozott részét, például egy teszterőforrás-csoportot. Az Azure Policy VS Code bővítmény lehetővé teszi a definíciók izolált tesztelését a meglévő Azure-erőforrásokon az igény szerinti kiértékelési vizsgálat használatával. A definíciót dev környezetben is hozzárendelheti a szabályzat-hozzárendelés letiltott (DoNotEnforce) kényszerítési módjával, hogy megakadályozza a tevékenységnapló-bejegyzések aktiválását vagy létrehozását.

Ez a lépés lehetővé teszi az új szabályzat megfelelőségi eredményeinek kiértékelését a meglévő erőforrásokon anélkül, hogy ez hatással lenne a munkafolyamatra. Ellenőrizze, hogy egyetlen megfelelő erőforrás sem jelenik-e meg nem megfelelőként (hamis pozitív), és hogy a várhatóan nem megfelelő összes erőforrás megfelelően van-e megjelölve. Miután az erőforrások kezdeti részhalmaza a vártnak megfelelően érvényesítve van, lassan bontsa ki a kiértékelést több meglévő erőforrásra és több hatókörre.

A meglévő erőforrások ily módon történő kiértékelése lehetővé teszi a nem megfelelő erőforrások szervizelését az új szabályzat teljes végrehajtása előtt. Ez a törlés manuálisan vagy szervizelési feladaton keresztül is elvégezhető, ha a szabályzatdefiníció effektusa DeployIfNotExists vagy Modify.

Az DeployIfNotExist szabályzatdefinícióinak az Azure Resource Manager-sablont kell használniuk, ha ellenőrizni és tesztelni szeretné az ARM-sablon üzembe helyezésekor bekövetkező változásokat.

Új vagy frissített erőforrások naplózása

Miután ellenőrizte, hogy az új szabályzatdefiníció helyesen jelent-e a meglévő erőforrásokon, ideje megvizsgálni, hogy milyen hatással van a szabályzat az erőforrások létrehozásakor vagy frissítésekor. Ha a szabályzatdefiníció támogatja az effektusparaméterezést, használja az Audit vagy az AuditIfNotExist parancsot. Ez a konfiguráció lehetővé teszi az erőforrások létrehozásának és frissítésének monitorozását annak ellenőrzéséhez, hogy az új szabályzatdefiníció elindít-e egy bejegyzést az Azure-tevékenységnaplóban egy olyan erőforráshoz, amely nem megfelelő a meglévő munka vagy kérések befolyásolása nélkül.

Javasoljuk, hogy frissítsen és hozzon létre olyan új erőforrásokat is, amelyek megfelelnek a szabályzatdefiníciónak, hogy a Naplózás vagy az AuditIfNotExist effektus megfelelően aktiválódjon, ha várható. Keresse meg azokat az erőforrás-kérelmeket, amelyeket nem érinthet az audit vagyaz AuditIfNotExist effektust kiváltó új szabályzatdefiníció. Ezek az érintett erőforrások egy másik példa a hamis pozitív értékekre , és a teljes végrehajtás előtt rögzíteni kell a szabályzatdefinícióban.

Ha a szabályzatdefiníció a tesztelés ezen szakaszában módosul, javasoljuk, hogy a meglévő erőforrások naplózásával kezdje meg az ellenőrzési folyamatot. Az új vagy frissített erőforrásokra vonatkozó hamis pozitív házirenddefiníció módosítása valószínűleg hatással van a meglévő erőforrásokra is.

A szabályzat üzembe helyezése az erőforrásokon

Miután elvégezte az új szabályzatdefiníció érvényesítését a meglévő erőforrásokkal és az új vagy frissített erőforrás-kérésekkel, megkezdi a szabályzat implementálásának folyamatát. Javasoljuk, hogy először hozza létre az új szabályzatdefiníció házirend-hozzárendelését az összes erőforrás egy részhalmazára, például egy erőforráscsoportra. A szabályzat-hozzárendelésen belüli tulajdonság használatával resourceSelectors további szűrést végezhet erőforrástípus vagy hely szerint. A kezdeti üzembe helyezés ellenőrzése után a szabályzat hatókörének kiterjesztése erőforráscsoportként szélesebb körűre. A kezdeti üzembe helyezés ellenőrzése után bontsa ki a szabályzat hatását a ResourceSelector szűrőinek módosításával, hogy több helyet vagy erőforrástípust célozz meg, vagy távolítsa el a hozzárendelést, és cserélje le egy újra szélesebb hatókörökben, például előfizetésekben és felügyeleti csoportokban. Folytassa ezt a fokozatos bevezetést, amíg hozzá nem rendeli az új szabályzatdefiníció által lefedni kívánt erőforrások teljes hatóköréhez.

A bevezetés során, ha olyan erőforrások találhatók, amelyeket fel kell venni az új szabályzatdefiníció alól, az alábbi módokon kezelje őket:

  • Módosítsa a szabályzatdefiníciót úgy, hogy explicitebb legyen a nem kívánt hatás csökkentése érdekében
  • A szabályzat-hozzárendelés hatókörének módosítása (új hozzárendelés eltávolításával és létrehozásával)
  • Erőforráscsoport hozzáadása a szabályzat-hozzárendelés kizárási listájához

A hatókör (szint vagy kizárások) módosításait teljes mértékben ellenőrizni kell, és tájékoztatni kell a biztonsági és megfelelőségi szervezetekkel annak érdekében, hogy ne legyenek hiányosságok a lefedettségben.

A szabályzat és a megfelelőség monitorozása

A szabályzatdefiníció implementálása és hozzárendelése nem az utolsó lépés. Folyamatosan monitorozza az erőforrások megfelelőségi szintjét az új szabályzatdefinícióhoz, és állítsa be a megfelelő Azure Monitor-riasztásokat és értesítéseket a nem megfelelő eszközök azonosításakor. Azt is javasoljuk, hogy ütemezetten értékelje ki a szabályzatdefiníciót és a kapcsolódó hozzárendeléseket annak ellenőrzéséhez, hogy a szabályzatdefiníció megfelel-e az üzleti szabályzat és a megfelelőségi igényeknek. A szabályzatokat el kell távolítani, ha már nincs rá szükség. A szabályzatok időről időre frissülnek a mögöttes Azure-erőforrások fejlődésével, és új tulajdonságokat és képességeket adnak hozzá.

Következő lépések