Azure Policy の目的について説明する
リソースの準拠状態を "維持" するにはどうすればよいでしょうか。 リソースの構成が変更された場合にアラートを受け取ることはできますか。
Azure のサービスである Azure Policy を使用すると、リソースを制御または監査するポリシーの作成、割り当て、管理を行うことができます。 これらのポリシーにより、リソース構成にさまざまなルールと効果が適用されて、それらの構成は会社の標準に準拠した状態に保たれます。
Azure Policy でポリシーを定義する方法
Azure Policy を使うと、個別のポリシーと、関連するポリシーの "グループ" ("イニシアティブ" と呼ばれます) の両方を定義できます。 Azure Policy によってリソースが評価され、作成したポリシーに準拠していないリソースが明示されます。 Azure Policy を使用すると、準拠していないリソースが作成されないようにすることもできます。
Azure ポリシーは各レベルで設定できるため、特定のリソース、リソース グループ、サブスクリプションなどでポリシーを設定できます。 さらに、Azure ポリシーは継承されるため、高レベルでポリシーを設定すると、親に含まれるすべてのグループに自動的に適用されます。 たとえば、リソース グループに Azure Policy を設定すると、そのリソース グループ内に作成されたすべてのリソースが同じポリシーを自動的に受け取ります。
Azure Policy には、ストレージ、ネットワーク、コンピューティング、Security Center、および監視用の組み込みのポリシーとイニシアチブ定義が付属しています。 たとえば、環境内の仮想マシン (VM) に特定のサイズのみを許可するポリシーを定義すると、そのポリシーは、新しい VM を作成するときや、既存の VM のサイズを変更するときに呼び出されます。 Azure Policy ではまた、ポリシーが作成される前に作成された VM を含め、環境内のすべての現在の VM が評価され、監視されます。
場合によっては、準拠していないリソースや構成を Azure Policy で自動的に修復して、リソースの状態の整合性を保証することができます。 たとえば、特定のリソース グループ内のすべてのリソースにタグ AppName と値 "SpecialOrders" を付ける必要があるときにそれがない場合、Azure Policy によってそのタグが自動的に再適用されます。 ただし、環境は引き続き完全に制御できます。 Azure Policy に自動修正させたくない特定のリソースがある場合、そのリソースに例外フラグを設定できます。そのリソースはポリシーによって自動修正されることはありません。
また Azure Policy は、アプリケーションのデプロイ前とデプロイ後のフェーズに関係する継続的インテグレーションおよび配信パイプラインのポリシーを適用する Azure DevOps とも統合できます。
Azure Policy のイニシアティブとは
Azure Policy のイニシアティブは、関連するポリシーをまとめてグループ化する手段です。 イニシアティブ定義には、大きな目標に対するコンプライアンスの状態を追跡するのに役立つすべてのポリシー定義が含まれます。
たとえば、Azure Policy には Azure Security Center での監視を有効にするという名前のイニシアティブが含まれています。 その目的は、すべての Azure リソースの種類に対して利用可能なすべてのセキュリティ推奨事項を Azure Security Center で監視することです。
このイニシアティブには、次のようなポリシー定義が含まれます。
- 暗号化されていない SQL Database を Security Center で監視する: このポリシーでは、暗号化されていない SQL データベースとサーバーを監視します。
- OS の脆弱性を Security Center で監視する: このポリシーでは、構成されている OS の脆弱性のベースラインを満たしていないサーバーを監視します。
- 不足している Endpoint Protection を Security Center で監視する: このポリシーでは、Endpoint Protection エージェントがインストールされていないサーバーを監視します。
実際、Azure Security Center での監視を有効にするイニシアティブには、100 を超える個別のポリシー定義が含まれます。