Descrever a finalidade do Azure Policy
Como garantir que seus recursos permaneçam em conformidade? Você poderá receber um alerta se a configuração de um recurso for alterada?
O Azure Policy é um serviço do Azure que permite criar, atribuir e gerenciar políticas que controlam ou auditam os recursos. Essas políticas impõem regras diferentes sobre as configurações dos recursos, de modo que essas configurações permaneçam em conformidade com os padrões corporativos.
Como o Azure Policy define as políticas?
O Azure Policy permite que você defina políticas individuais e grupos de políticas relacionadas, conhecidas como iniciativas. O Azure Policy avalia seus recursos e realça os que não estão em conformidade com as políticas criadas por você. Ele também pode impedir a criação de recursos sem conformidade.
As Políticas do Azure podem ser definidas em cada nível, permitindo que você defina políticas em um recurso específico, um grupo de recursos, uma assinatura e assim por diante. Além disso, as Políticas do Azure são herdadas, portanto, se você definir uma política em um nível superior, ela será aplicada automaticamente a todos os agrupamentos que se enquadram no pai. Por exemplo, se você definir um Azure Policy em um grupo de recursos, todos os recursos criados nesse grupo de recursos receberão automaticamente a mesma política.
O Azure Policy vem com definições de iniciativa e política internas para Armazenamento, Rede, Computação, Central de Segurança e Monitoramento. Por exemplo, se você definir uma política que permita o uso de apenas um tamanho de VM (máquina virtual) em seu ambiente, essa política será invocada quando você criar uma VM e sempre que você redimensionar as VMs existentes. O Azure Policy também avalia e monitora todas as VMs atuais em seu ambiente, incluindo VMs que foram criadas antes da criação da política.
Em alguns casos, ele pode corrigir automaticamente os recursos e as configurações sem conformidade para garantir a integridade do estado dos recursos. Por exemplo, se todos os recursos de determinado grupo de recursos precisarem ser marcados com AppName e um valor igual a "SpecialOrders", o Azure Policy aplicará automaticamente essa marca se ela estiver ausente. No entanto, você ainda manterá o controle total do seu ambiente. Se houver um recurso específico que você não deseja que o Azure Policy corrija automaticamente, poderá sinalizar esse recurso como uma exceção e a política não o corrigirá automaticamente.
Além disso, o Azure Policy se integra ao Azure DevOps aplicando as políticas de pipeline de entrega e integração contínua que se pertencem às fases pré e pós-implantação dos seus aplicativos.
O que são iniciativas do Azure Policy?
Uma iniciativa do Azure Policy é uma forma de agrupar políticas relacionadas. A definição de iniciativa contém todas as definições de política para ajudar a acompanhar seu estado de conformidade para atingir uma meta maior.
Por exemplo, o Azure Policy inclui uma iniciativa chamada Habilitar o Monitoramento na Central de Segurança do Azure. A meta dele é monitorar todas as recomendações de segurança disponíveis para todos os tipos de recursos do Azure na Central de Segurança do Azure.
Com essa iniciativa, as seguintes definições de política são incluídas:
- Monitorar um banco de dados SQL não criptografado na Central de Segurança Essa política monitora servidores e bancos de dados SQL não criptografados.
- Monitorar vulnerabilidades de SO na Central de Segurança Esta política monitora servidores que não atendem à linha de base de vulnerabilidade do sistema operacional configurado.
- Monitorar o Endpoint Protection ausente na Central de Segurança Essa política monitora servidores que não têm um agente de proteção de ponto de extremidade instalado.
Na verdade, a iniciativa Habilitar o Monitoramento na Central de Segurança do Azure contém mais de 100 definições de política separadas.