Descrivere l'utilizzo di Criteri di Azure
Come ci si assicura che le risorse rimangano conformi? È possibile richiedere l'invio di avvisi in caso di modifica della configurazione di una risorsa?
Criteri di Azure è un servizio di Azure che consente di creare, assegnare e gestire criteri per il controllo e la verifica delle risorse. Questi criteri applicano regole diverse a tutte le configurazioni delle risorse in modo da mantenerne la conformità agli standard aziendali.
In che modo vengono definiti i criteri in Criteri di Azure?
Criteri di Azure consente di definire singoli criteri e gruppi di criteri correlati, noti come iniziative. Criteri di Azure valuta le risorse ed evidenzia quelle non conformi ai criteri creati. Criteri di Azure può anche impedire la creazione di risorse non conformi.
I criteri di Azure possono essere impostati a ogni livello, ovvero per una risorsa specifica, per un gruppo di risorse, per una sottoscrizione e così via. Inoltre, i criteri di Azure vengono ereditati, quindi i criteri impostati a un livello superiore vengono automaticamente applicati a tutti i raggruppamenti che rientrano nell'elemento padre. Ad esempio, se si imposta un criterio di Azure per un gruppo di risorse, tutte le risorse create al suo interno riceveranno automaticamente lo stesso criterio.
Criteri di Azure include definizioni di criteri e iniziative predefinite per archiviazione, rete, calcolo, Centro sicurezza e monitoraggio. Se ad esempio si definisce un criterio che consente l'uso nell'ambiente solo di determinate dimensioni di macchine virtuali (VM), tale criterio viene richiamato quando si crea una nuova VM e ogni volta che si ridimensionano quelle esistenti. Il servizio Criteri di Azure, inoltre, valuta e monitora tutte le VM correnti nell'ambiente, incluse quelle create prima della creazione dei criteri.
In alcuni casi, Criteri di Azure può correggere automaticamente risorse e configurazioni non conformi in modo da garantire l'integrità dello stato delle risorse. Se ad esempio è necessario aggiungere a tutte le risorse di un determinato gruppo di risorse il tag AppName e il valore "SpecialOrders", Criteri di Azure applicherà automaticamente il tag se è mancante. Tuttavia, si mantiene comunque il controllo completo dell'ambiente. Se non si vuole che Criteri di Azure corregga automaticamente una specifica risorsa, è possibile contrassegnarla come eccezione e non verrà inclusa nel criterio.
Criteri di Azure si integra anche con Azure DevOps tramite l'applicazione di tutti criteri di integrazione continua e di pipeline di distribuzione relativi alla pre-distribuzione e alla post-distribuzione delle applicazioni.
Che cosa sono le iniziative di Criteri di Azure?
Un'iniziativa di Criteri di Azure è un modo di raggruppare criteri correlati. La definizione dell'iniziativa contiene tutte le definizioni di criteri per tenere traccia dello stato di conformità per un obiettivo più ampio.
Ad esempio, Criteri di Azure include un'iniziativa denominata Abilita il monitoraggio nel Centro sicurezza di Azure. L'obiettivo è monitorare tutte le raccomandazioni per la sicurezza disponibili per tutti i tipi di risorsa di Azure nel Centro sicurezza di Azure.
In base a questa iniziativa sono incluse le definizioni di criteri seguenti:
- Monitora database SQL non crittografato nel Centro sicurezza Questo criterio monitora i server e i database SQL non crittografati.
- Monitora le vulnerabilità del sistema operativo nel Centro sicurezza Questo criterio monitora i server che non soddisfano la baseline di vulnerabilità del sistema operativo configurata.
- Monitora server senza Endpoint Protection nel Centro sicurezza Questo criterio monitora i server in cui non è installato un agente Endpoint Protection.
Infatti, l'iniziativa Abilita il monitoraggio nel Centro sicurezza di Azure contiene oltre 100 definizioni di criteri separate.