Egy új Azure Policy-definíció hatásának értékelése
Az Azure Policy hatékony eszköz az Azure-erőforrások kezeléséhez az üzleti szabványoknak való megfelelés érdekében. Ha személyek vagy folyamatok erőforrásokat hoznak létre vagy frissítenek, az Azure Policy áttekinti a kérést. Ha a szabályzatdefiníciós effektus Módosítás, Hozzáfűzés vagy DeployIfNotExists, a szabályzat módosítja a kérést, vagy hozzáadja azt. Ha a szabályzatdefiníciós effektus Naplózás vagy AuditIfNotExists, a szabályzat egy tevékenységnapló-bejegyzés létrehozását eredményezi az új és frissített erőforrásokhoz. Ha pedig a szabályzatdefiníciós effektus Megtagadás vagy Megtagadás, a szabályzat leállítja a kérés létrehozását vagy módosítását.
Ezek az eredmények pontosan a vártnak megfelelőek, ha tudja, hogy a szabályzat megfelelően van definiálva. Fontos azonban ellenőrizni, hogy egy új szabályzat a kívánt módon működik-e, mielőtt lehetővé tenné a munka módosítását vagy letiltását. Az ellenőrzésnek biztosítania kell, hogy csak a tervezett erőforrások legyenek nem megfelelőek, és az eredményekben nem szerepelnek helytelenül megfelelő erőforrások (hamis pozitívként ismertek).
Az új szabályzatdefiníciók ellenőrzésének ajánlott módszere az alábbi lépések végrehajtása:
- A szabályzat szigorú meghatározása
- A szabályzat hatékonyságának tesztelése
- Új vagy frissített erőforrás-kérelmek naplózása
- A szabályzat üzembe helyezése az erőforrásokon
- Folyamatos monitorozás
A szabályzat szigorú meghatározása
Fontos tisztában lenni az üzleti szabályzat szabályzatdefinícióként való implementálásával és az Azure-erőforrások más Azure-szolgáltatásokkal való kapcsolatával. Ez a lépés a követelmények azonosításával és az erőforrás tulajdonságainak meghatározásával érhető el. Fontos azonban, hogy az üzleti szabályzat szűk definícióján túl is láthassa. A szabályzat állapota például "Minden virtuális gépnek kötelező..."? Mi a helyzet más, virtuális gépeket használó Azure-szolgáltatásokkal, például a HDInsight vagy az AKS használatával? Szabályzat meghatározásakor figyelembe kell vennünk, hogy ez a szabályzat milyen hatással van a más szolgáltatások által használt erőforrásokra.
Ezért a szabályzatdefinícióknak a lehető legszorosabban meg kell határozniuk, és a megfelelőség szempontjából kiértékelendő erőforrásokra és tulajdonságokra kell összpontosítaniuk.
A szabályzat hatékonyságának tesztelése
Mielőtt új vagy frissített erőforrásokat szeretne kezelni az új szabályzatdefinícióval, érdemes megnézni, hogyan értékeli ki a meglévő erőforrások egy korlátozott részét, például egy teszterőforrás-csoportot. Az Azure Policy VS Code bővítmény lehetővé teszi a definíciók izolált tesztelését a meglévő Azure-erőforrásokon az igény szerinti kiértékelési vizsgálat használatával. A definíciót dev környezetben is hozzárendelheti a szabályzat-hozzárendelés letiltott (DoNotEnforce) kényszerítési módjával, hogy megakadályozza a tevékenységnapló-bejegyzések aktiválását vagy létrehozását.
Ez a lépés lehetővé teszi az új szabályzat megfelelőségi eredményeinek kiértékelését a meglévő erőforrásokon anélkül, hogy ez hatással lenne a munkafolyamatra. Ellenőrizze, hogy egyetlen megfelelő erőforrás sem jelenik-e meg nem megfelelőként (hamis pozitív), és hogy a várhatóan nem megfelelő összes erőforrás megfelelően van-e megjelölve. Miután az erőforrások kezdeti részhalmaza a vártnak megfelelően érvényesítve van, lassan bontsa ki a kiértékelést több meglévő erőforrásra és több hatókörre.
A meglévő erőforrások ily módon történő kiértékelése lehetővé teszi a nem megfelelő erőforrások szervizelését az új szabályzat teljes végrehajtása előtt. Ez a törlés manuálisan vagy szervizelési feladaton keresztül is elvégezhető, ha a szabályzatdefiníció effektusa DeployIfNotExists vagy Modify.
Az DeployIfNotExist szabályzatdefinícióinak az Azure Resource Manager-sablont kell használniuk, ha ellenőrizni és tesztelni szeretné az ARM-sablon üzembe helyezésekor bekövetkező változásokat.
Új vagy frissített erőforrások naplózása
Miután ellenőrizte, hogy az új szabályzatdefiníció helyesen jelent-e a meglévő erőforrásokon, ideje megvizsgálni, hogy milyen hatással van a szabályzat az erőforrások létrehozásakor vagy frissítésekor. Ha a szabályzatdefiníció támogatja az effektusparaméterezést, használja az Audit vagy az AuditIfNotExist parancsot. Ez a konfiguráció lehetővé teszi az erőforrások létrehozásának és frissítésének monitorozását annak ellenőrzéséhez, hogy az új szabályzatdefiníció elindít-e egy bejegyzést az Azure-tevékenységnaplóban egy olyan erőforráshoz, amely nem megfelelő a meglévő munka vagy kérések befolyásolása nélkül.
Javasoljuk, hogy frissítsen és hozzon létre olyan új erőforrásokat is, amelyek megfelelnek a szabályzatdefiníciónak, hogy a Naplózás vagy az AuditIfNotExist effektus megfelelően aktiválódjon, ha várható. Keresse meg azokat az erőforrás-kérelmeket, amelyeket nem érinthet az audit vagyaz AuditIfNotExist effektust kiváltó új szabályzatdefiníció. Ezek az érintett erőforrások egy másik példa a hamis pozitív értékekre , és a teljes végrehajtás előtt rögzíteni kell a szabályzatdefinícióban.
Ha a szabályzatdefiníció a tesztelés ezen szakaszában módosul, javasoljuk, hogy a meglévő erőforrások naplózásával kezdje meg az ellenőrzési folyamatot. Az új vagy frissített erőforrásokra vonatkozó hamis pozitív házirenddefiníció módosítása valószínűleg hatással van a meglévő erőforrásokra is.
A szabályzat üzembe helyezése az erőforrásokon
Miután elvégezte az új szabályzatdefiníció érvényesítését a meglévő erőforrásokkal és az új vagy frissített erőforrás-kérésekkel, megkezdi a szabályzat implementálásának folyamatát. Javasoljuk, hogy először hozza létre az új szabályzatdefiníció házirend-hozzárendelését az összes erőforrás egy részhalmazára, például egy erőforráscsoportra. A szabályzat-hozzárendelésen belüli tulajdonság használatával resourceSelectors
további szűrést végezhet erőforrástípus vagy hely szerint. A kezdeti üzembe helyezés ellenőrzése után a szabályzat hatókörének kiterjesztése erőforráscsoportként szélesebb körűre. A kezdeti üzembe helyezés ellenőrzése után bontsa ki a szabályzat hatását a ResourceSelector szűrőinek módosításával, hogy több helyet vagy erőforrástípust célozz meg, vagy távolítsa el a hozzárendelést, és cserélje le egy újra szélesebb hatókörökben, például előfizetésekben és felügyeleti csoportokban. Folytassa ezt a fokozatos bevezetést, amíg hozzá nem rendeli az új szabályzatdefiníció által lefedni kívánt erőforrások teljes hatóköréhez.
A bevezetés során, ha olyan erőforrások találhatók, amelyeket fel kell venni az új szabályzatdefiníció alól, az alábbi módokon kezelje őket:
- Módosítsa a szabályzatdefiníciót úgy, hogy explicitebb legyen a nem kívánt hatás csökkentése érdekében
- A szabályzat-hozzárendelés hatókörének módosítása (új hozzárendelés eltávolításával és létrehozásával)
- Erőforráscsoport hozzáadása a szabályzat-hozzárendelés kizárási listájához
A hatókör (szint vagy kizárások) módosításait teljes mértékben ellenőrizni kell, és tájékoztatni kell a biztonsági és megfelelőségi szervezetekkel annak érdekében, hogy ne legyenek hiányosságok a lefedettségben.
A szabályzat és a megfelelőség monitorozása
A szabályzatdefiníció implementálása és hozzárendelése nem az utolsó lépés. Folyamatosan monitorozza az erőforrások megfelelőségi szintjét az új szabályzatdefinícióhoz, és állítsa be a megfelelő Azure Monitor-riasztásokat és értesítéseket a nem megfelelő eszközök azonosításakor. Azt is javasoljuk, hogy ütemezetten értékelje ki a szabályzatdefiníciót és a kapcsolódó hozzárendeléseket annak ellenőrzéséhez, hogy a szabályzatdefiníció megfelel-e az üzleti szabályzat és a megfelelőségi igényeknek. A szabályzatokat el kell távolítani, ha már nincs rá szükség. A szabályzatok időről időre frissülnek a mögöttes Azure-erőforrások fejlődésével, és új tulajdonságokat és képességeket adnak hozzá.
Következő lépések
- Ismerje meg a szabályzatdefiníció struktúráját.
- Ismerje meg a szabályzat-hozzárendelés struktúráját.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
- Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.