Informazioni su Criteri di Azure
Criteri di Azure consente di imporre standard aziendali e di valutare la conformità su larga scala. Il dashboard di conformità fornisce una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down con granularità per risorsa e per criterio. Consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco per le risorse esistenti e la correzione automatica per le nuove risorse.
Nota
Per altre informazioni sulla correzione, vedere Correggere le risorse non conformi con Criteri di Azure.
I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Le definizioni dei criteri per questi casi d'uso comuni sono già disponibili nell'ambiente Azure come predefinite per iniziare facilmente a usare il servizio.
In particolare, alcune utili azioni di governance che è possibile applicare con Criteri di Azure includono:
- Garantire che il team distribuisca le risorse di Azure solo nelle aree consentite
- Applicazione coerente dell'applicazione di tag tassonomici
- Richiesta di risorse per l'invio di log di diagnostica a un'area di lavoro Log Analytics
È importante riconoscere che con l'introduzione di Azure Arc è possibile estendere la governance basata su criteri in diversi provider di servizi cloud e anche ai data center locali.
Tutti i dati e gli oggetti di Criteri di Azure vengono crittografati quando sono inattivi. Per altre informazioni, vedere Crittografia di dati inattivi di Azure.
Panoramica
Criteri di Azure valuta le risorse e le azioni in Azure confrontando le proprietà di tali risorse con le regole business. Queste regole business, descritte in formato JSON, sono note come definizioni dei criteri. Per semplificare la gestione, è possibile raggruppare diverse regole business per formare un'iniziativa dei criteri (talvolta denominata set di criteri). Una volta formate le regole business, la definizione dei criteri o l'iniziativa viene assegnata a qualsiasi ambito di risorse supportate da Azure, ad esempio gruppi di gestione, sottoscrizioni, gruppi di risorse o singole risorse. L'assegnazione si applica a tutte le risorse all'interno dell'ambito di Resource Manager di tale assegnazione. Se necessario, è possibile escludere gli ambiti secondari. Per altre informazioni, vedere Ambito in Criteri di Azure.
Criteri di Azure usa un Formato JSON per formare la logica usata dalla valutazione per determinare se una risorsa è conforme o meno. Le definizioni includono i metadati e la regola dei criteri. La regola definita può usare funzioni, parametri, operatori logici, condizioni e alias delle proprietà per corrispondere esattamente allo scenario desiderato. La regola dei criteri determina quali risorse nell'ambito dell'assegnazione vengono valutate.
Informazioni sui risultati della valutazione
Le risorse vengono valutate in momenti specifici durante il ciclo di vita delle risorse, il ciclo di vita dell'assegnazione dei criteri e per la valutazione periodica della conformità. Di seguito sono riportati gli orari o gli eventi che determinano la valutazione di una risorsa:
- Una risorsa viene creata o aggiornata in un ambito con un'assegnazione di criteri.
- Un criterio o un'iniziativa è stata appena assegnata a un ambito.
- Un criterio o un'iniziativa già assegnata a un ambito viene aggiornata.
- Durante il ciclo di valutazione della conformità standard, che viene eseguito una volta ogni 24 ore.
Per informazioni dettagliate su quando e come viene eseguita la valutazione dei criteri, vedere Trigger di valutazione.
Controllare la risposta a una valutazione
Le regole business per la gestione delle risorse non conformi variano notevolmente tra le organizzazioni. Le risposte della piattaforma in merito a una risorsa non conforme includono:
- Negare la modifica della risorsa
- Registrare la modifica alla risorsa
- Modificare la risorsa prima della modifica
- Modificare la risorsa dopo la modifica
- Distribuire risorse conformi correlate
- Bloccare le azioni sulle risorse
Criteri di Azure consente di attivare queste risposte tramite l'applicazione di effetti. Gli effetti vengono impostati nella parte della regola dei criteri della definizione di criteri.
Correggere le risorse non conformi
Sebbene questi effetti influiscano principalmente su una risorsa quando la risorsa viene creata o aggiornata, Criteri di Azure supporta anche la gestione delle risorse non conformi esistenti senza la necessità di modificare la risorsa. Per altre informazioni su come rendere conformi le risorse esistenti, vedere Correzione delle risorse.
Video introduttivo
La panoramica di Criteri di Azure riportata di seguito è tratta da Build 2018. Per scaricare le diapositive o il video, visitare Govern your Azure environment through Azure Policy (Governance dell'ambiente di Azure tramite Criteri di Azure) su Channel 9.
Introduzione
Criteri di Azure e controllo degli accessi in base al ruolo di Azure
Esistono alcune differenze importanti tra Criteri di Azure e il controllo degli accessi in base al ruolo di Azure. Criteri di Azure valuta lo stato esaminando le proprietà delle risorse rappresentate in Resource Manager e le proprietà di alcuni provider di risorse. Criteri di Azure garantisce che lo stato della risorsa sia conforme alle regole business, indipendentemente da chi ha eseguito la modifica o da chi ha le autorizzazioni per eseguire modifiche. Criteri di Azure tramite l'effetto DenyAction può anche bloccare determinate azioni sulle risorse. Alcune risorse di Criteri di Azure, ad esempio definizioni di criteri, definizioni di iniziativa e assegnazioni, sono visibili a tutti gli utenti. Questa progettazione consente la trasparenza per tutti gli utenti e i servizi per le regole dei criteri impostate nel proprio ambiente.
Il controllo degli accessi in base al ruolo di Azure è incentrato sulla gestione delle azioni dell'utente in ambiti diversi. Se il controllo di un'azione è necessario in base alle informazioni utente, il controllo degli accessi in base al ruolo di Azure è lo strumento corretto da usare. Anche se un utente è autorizzato a eseguire un'azione, se il risultato è una risorsa non conforme Criteri di Azure blocca la creazione o l'aggiornamento.
La combinazione del controllo degli accessi in base al ruolo di Azure e di Criteri di Azure fornisce il controllo completo dell'ambito in Azure.
Autorizzazioni del controllo degli accessi in base al ruolo di Azure in Criteri di Azure
Criteri di Azure dispone di diverse autorizzazioni, note come operazioni, in due provider di risorse:
Molti ruoli predefiniti concedono autorizzazioni alle risorse di Criteri di Azure. Il ruolo Collaboratore ai criteri delle risorse include la maggior parte delle operazioni di Criteri di Azure. Proprietario dispone invece di diritti completi. I ruoli Collaboratore e lettore hanno accesso a tutte le operazioni di Criteri di Azure in lettura.
Il collaboratore può attivare la correzione delle risorse, ma non può creare o aggiornare definizioni e assegnazioni. Il ruolo Amministratore Accesso utenti è necessario per concedere l'identità gestita nelle autorizzazioni necessarie per le assegnazioni di tipo deployIfNotExists o modify.
Nota
Tutti gli oggetti Criteri, incluse definizioni, iniziative e assegnazioni, saranno leggibili per tutti i ruoli nell'ambito. Ad esempio, un'assegnazione di criteri con ambito a un abbonamento di Azure sarà leggibile da tutti i titolari di ruolo nell'ambito della sottoscrizione e di seguito.
Se nessuno dei ruoli predefiniti dispone delle autorizzazioni necessarie, creare un ruolo personalizzato.
Criteri di Azure operazioni possono avere un effetto significativo sull'ambiente Azure. È necessario assegnare solo il set minimo di autorizzazioni necessarie per eseguire un'attività e queste autorizzazioni non devono essere concesse agli utenti che non ne hanno bisogno.
Nota
L'identità gestita di un'assegnazione di criteri deployIfNotExists o modifica necessita di autorizzazioni sufficienti per creare o aggiornare le risorse di destinazione. Per altre informazioni, vedere Configurare le definizioni dei criteri per la correzione.
Requisito di autorizzazioni speciali per Criteri di Azure con Azure Rete virtuale Manager
Azure Rete virtuale Manager (anteprima) consente di applicare criteri di sicurezza e gestione coerenti a più reti virtuali di Azure in tutta l'infrastruttura cloud. I gruppi dinamici di Azure Rete virtuale Manager (AVNM) usano definizioni di Criteri di Azure per valutare l'appartenenza alla rete virtuale in tali gruppi.
Per creare, modificare o eliminare criteri di gruppo dinamici di Azure Rete virtuale Manager, è necessario:
- Leggere e scrivere le autorizzazioni di Controllo degli accessi in base al ruolo di Azure per i criteri sottostanti
- Autorizzazioni di Controllo degli accessi in base al ruolo di Azure per l'aggiunta al gruppo di rete (l'autorizzazione classica Amministrazione non è supportata).
In particolare, l'autorizzazione del provider di risorse richiesta è Microsoft.Network/networkManagers/networkGroups/join/action.
Importante
Per modificare i gruppi dinamici AVNM, è necessario concedere l'accesso solo tramite l'assegnazione di ruolo di Controllo degli accessi in base al ruolo di Azure. L'autorizzazione classica Amministrazione/legacy non è supportata. Ciò significa che se all'account è stato assegnato solo il ruolo di sottoscrizione coamministratore, non si dispone di autorizzazioni per i gruppi dinamici AVNM.
Risorse coperte da Criteri di Azure
Anche se un criterio può essere assegnato a livello di gruppo di gestione, vengono valutate solo le risorse a livello di sottoscrizione o gruppo di risorse.
Per alcuni provider di risorse, ad esempio configurazione del computer, servizio Azure Kubernetes e Azure Key Vault, è disponibile un'integrazione più approfondita per la gestione di impostazioni e oggetti. Per altre informazioni, vedere Modalità provider di risorse.
Raccomandazioni per la gestione dei criteri
Ecco alcuni consigli e suggerimenti da tenere presenti:
Iniziare con un
auditeffetto oauditIfNotExistanziché un effetto di imposizione (deny,modify,deployIfNotExist) per tenere traccia dell'impatto della definizione dei criteri sulle risorse nell'ambiente. Se sono già disponibili script per la scalabilità automatica delle applicazioni, l'impostazione di un effetto di imposizione potrebbe ostacolare tali attività di automazione già in atto.Tenere presente le gerarchie organizzative quando si creano definizioni e assegnazioni. È consigliabile creare definizioni a livelli più generici, ad esempio il gruppo di gestione o a livello di sottoscrizione. Quindi, creare l'assegnazione al livello figlio successivo. Se si crea una definizione in un gruppo di gestione, l'assegnazione può essere limitata a una sottoscrizione o un gruppo di risorse all'interno di tale gruppo.
È consigliabile creare e assegnare definizioni di iniziativa anche se si definisce un singolo criterio. Ad esempio, si dispone della definizione del criterio policyDefA e la si crea nella definizione di iniziativa initiativeDefC. Se si crea un'altra definizione di criteri in un secondo momento per policyDefB con obiettivi simili a policyDefA, è possibile aggiungerla sotto initiativeDefC e tenerne traccia congiuntamente.
Dopo aver creato un'assegnazione di iniziativa, le definizioni di criteri aggiunte all'iniziativa diventano anch'esse parte di tale assegnazione.
Quando viene valutata un'assegnazione di iniziativa, vengono valutati anche tutti i criteri inclusi nell'iniziativa. Se è necessario convalidare i criteri singolarmente, è preferibile non includerli in un'iniziativa.
Gestire Criteri di Azure risorse come codice con revisioni manuali sulle modifiche apportate a definizioni, iniziative e assegnazioni di criteri. Per altre informazioni sui modelli e gli strumenti suggeriti, vedere Progettare Criteri di Azure come flussi di lavoro del codice.
Oggetti Criteri di Azure
Definizione di criteri
Il processo di creazione e implementazione dei criteri in Criteri di Azure ha inizio con la creazione di una definizione di criteri. Ogni definizione di criteri include condizioni da cui ne dipende l'applicazione. C'è anche un effetto definito associato, che viene applicato se le condizioni sono soddisfatte.
In Criteri di Azure sono disponibili diversi criteri predefiniti. Ad esempio:
- SKU di account consentiti Archiviazione (nega): determina se un account di archiviazione distribuito si trova all'interno di un set di dimensioni dello SKU. L'effetto consiste nel rifiutare tutti gli account di archiviazione che non rispettano il set di dimensioni di SKU definite.
- Tipo di risorsa consentito (Nega): definisce i tipi di risorse che è possibile distribuire. L'effetto consiste nel rifiutare tutte le risorse non incluse nell'elenco definito.
- Percorsi consentiti (nega): limita le posizioni disponibili per le nuove risorse. L'effetto viene usato per imporre i requisiti di conformità geografica.
- SKU di macchina virtuale consentiti (nega): specifica un set di SKU di macchine virtuali che è possibile distribuire.
- Aggiungere un tag alle risorse (Modifica): applica un tag obbligatorio e il relativo valore predefinito se non è specificato dalla richiesta di distribuzione.
- Tipi di risorse non consentiti (Nega): impedisce la distribuzione di un elenco di tipi di risorse.
Per implementare queste definizioni di criteri (definizioni predefinite e personalizzate), è necessario assegnarle. È possibile assegnare uno qualsiasi di questi criteri tramite il portale di Azure, PowerShell o l’interfaccia della riga di comando di Azure.
La valutazione dei criteri avviene con diverse azioni, ad esempio l'assegnazione o l'aggiornamento dei criteri. Per un elenco completo, vedere Trigger di valutazione dei criteri.
Per altre informazioni sulle strutture delle definizioni dei criteri, vedere Struttura delle definizioni di criteri.
I parametri dei criteri consentono di semplificarne la gestione riducendo il numero di definizioni di criteri che è necessario creare. È possibile definire parametri mentre si crea una definizione di criteri per renderla più generica. La definizione di criteri può successivamente essere usata anche per altri scenari. È sufficiente, a tal fine, passare valori diversi durante l'assegnazione della definizione di criteri. Si può ad esempio specificare un set di località per una sottoscrizione.
I parametri vengono definiti quando si crea una definizione di criteri. Quando viene definito un parametro, vengono assegnati un nome e facoltativamente un valore. È ad esempio possibile definire un parametro per i criteri denominato location (posizione) e assegnargli valori diversi durante l'assegnazione dei criteri, ad esempio EastUS o WestUS.
Per altre informazioni sui parametri dei criteri, vedere Struttura definizioni - Parametri.
Definizione di iniziativa
Una definizione di iniziativa è una raccolta di definizioni di criteri personalizzate per raggiungere un unico obiettivo generale. Le definizioni di iniziativa semplificano la gestione e l'assegnazione delle definizioni di criteri, in quanto raggruppano un set di criteri in un unico elemento. Ad esempio, è possibile creare un'iniziativa denominata Abilita monitoraggio in Microsoft Defender per il cloud, con l'obiettivo di monitorare tutte le raccomandazioni di sicurezza disponibili nell'istanza di Microsoft Defender per il cloud.
Nota
L'SDK, ad esempio l'interfaccia della riga di comando di Azure e Azure PowerShell, usa proprietà e parametri denominati PolicySet per fare riferimento alle iniziative.
In questa iniziativa saranno incluse definizioni di criteri come le seguenti:
- Monitorare i database SQL non crittografati in Microsoft Defender per il cloud : per il monitoraggio di database e server SQL non crittografati.
- Monitorare le vulnerabilità del sistema operativo in Microsoft Defender per il cloud: per i server di monitoraggio che non soddisfano la baseline configurata.
- Monitoraggio di Endpoint Protection mancante in Microsoft Defender per il cloud: per il monitoraggio dei server senza un agente di Endpoint Protection installato.
Analogamente ai parametri dei criteri, i parametri delle iniziative consentono di semplificarne la gestione riducendo la ridondanza. I parametri delle iniziative sono parametri usati dalle definizioni di criteri incluse nell'iniziativa.
Si consideri ad esempio uno scenario con una definizione di iniziativa, initiativeC, che include le definizioni di criteri policyA e policyB, per ognuna delle quali è previsto un diverso tipo di parametro:
| Criteri | Nome del parametro | Tipo di parametro | Nota |
|---|---|---|---|
| policyA | allowedLocations | array | Questo parametro prevede come valore un elenco di stringhe, perché il parametro è stato definito come di tipo matrice |
| policyB | allowedSingleLocation | string | Questo parametro prevede come valore una parola, perché il parametro è stato definito come di tipo stringa |
In questo scenario, per la definizione dei parametri dell'iniziativa initiativeC sono disponibili tre opzioni:
- Sfruttare i parametri delle definizioni di criteri incluse nell'iniziativa. In questo esempio allowedLocations e allowedSingleLocation diventano i parametri dell'iniziativa initiativeC.
- Specificare valori per i parametri delle definizioni di criteri incluse nella definizione di iniziativa. In questo esempio è possibile specificare un elenco di posizioni per il parametro policyA , allowedLocations e il parametro di policyB, allowedSingleLocation. È anche possibile specificare i valori quando si assegna l'iniziativa.
- Specificare un elenco di opzioni di valore utilizzabili durante l'assegnazione dell'iniziativa. Quando si assegna l'iniziativa, i parametri ereditati dalle definizioni di criteri incluse nell'iniziativa possono contenere solo valori presenti nell'elenco specificato.
Durante la creazione di opzioni di valori in una definizione di iniziativa, non è possibile a immettere un valore diverso durante l'assegnazione dell'iniziativa perché non è incluso nell'elenco.
Per altre informazioni sulle strutture delle definizioni di iniziativa, vedere Struttura delle definizioni di iniziativa.
Attività
Un'assegnazione è una definizione o un'iniziativa di criteri assegnata a un ambito specifico. L'ambito può spaziare da un gruppo di gestione a una singola risorsa. Il termine ambito fa riferimento a tutte le risorse, i gruppi di risorse, le sottoscrizioni o i gruppi di gestione a cui è assegnata la definizione. Le assegnazioni vengono ereditate da tutte le risorse figlio. Questo significa che una definizione applicata a un gruppo di risorse viene anche applicata a tutte le risorse presenti nel gruppo. È tuttavia possibile escludere un ambito secondario dall'assegnazione.
Nell'ambito della sottoscrizione è ad esempio possibile assegnare una definizione che impedisca la creazione di risorse di rete. È possibile escludere un gruppo di risorse nella sottoscrizione che è pensato per l'infrastruttura di rete. e consentire quindi l'accesso a questo gruppo specifico a utenti fidati in grado di creare risorse di rete.
In un altro esempio, è possibile assegnare una definizione allowlist di tipo risorsa a livello di gruppo di gestione. E assegnare quindi un criterio più permissivo, consentendo più tipi di risorse, a un gruppo di gestione figlio o anche direttamente alle sottoscrizioni. Questo esempio tuttavia non funzionerebbe perché Criteri di Azure è un sistema di rifiuto esplicito. È invece necessario escludere il gruppo di gestione figlio o la sottoscrizione dall'assegnazione a livello di gruppo di gestione. Assegnare quindi il criterio più permissivo a livello di gruppo di gestione figlio o di sottoscrizione. Se eventuali assegnazioni provocano il rifiuto di una risorsa, l'unico modo per consentire la risorsa consiste nel modificare l'assegnazione che la rifiuta.
Le assegnazioni di criteri usano sempre lo stato più recente della definizione o dell'iniziativa assegnata durante la valutazione delle risorse. Se viene modificata una definizione di criteri già assegnata, tutte le assegnazioni esistenti di tale definizione useranno la logica aggiornata durante la valutazione.
Per altre informazioni sull'impostazione delle assegnazioni tramite il portale, vedere Creare un'assegnazione di criteri per identificare le risorse non conformi nell'ambiente Azure. Sono inoltre disponibili i passaggi per PowerShell e Interfaccia della riga di comando di Azure. Per informazioni sulla struttura delle assegnazioni, vedere Struttura delle assegnazioni.
Numero massimo di oggetti di Criteri di Azure
Per Criteri di Azure è previsto un numero massimo per ogni tipo di oggetto. Per le definizioni la voce Ambito indica la sottoscrizione o il gruppo di gestione. Per le assegnazioni e le esenzioni, una voce di Ambito indica il gruppo di gestione, la sottoscrizione, il gruppo di risorse o la singola risorsa.
| Dove | Quale | Numero massimo |
|---|---|---|
| Ambito | Definizioni dei criteri | 500 |
| Ambito | Definizioni di iniziativa | 200 |
| Tenant | Definizioni di iniziativa | 2500 |
| Ambito | Assegnazioni di criteri o iniziative | 200 |
| Ambito | Esenzioni | 1000 |
| Definizione di criteri | Parametri | 20 |
| Definizione di iniziativa | Criteri | 1000 |
| Definizione di iniziativa | Parametri | 400 |
| Assegnazioni di criteri o iniziative | Esclusioni (notScopes) | 400 |
| Regola dei criteri | Istruzioni condizionali annidate | 512 |
| Attività di correzione | Risorse | 50,000 |
| Definizione, iniziativa o corpo della richiesta di assegnazione dei criteri | Byte | 1.048.576 |
Le regole dei criteri hanno più limiti al numero di condizioni e alla loro complessità. Per altre informazioni, vedere Limiti delle regole dei criteri per altri dettagli.
Passaggi successivi
Di seguito sono riportati i passaggi successivi consigliati dopo questa panoramica di Criteri di Azure e di alcuni dei concetti chiave: