Описание целей Политики Azure
Как обеспечить соответствие ресурсов требованиям? Как получать оповещения при изменении конфигурации ресурса?
Политика Azure — это служба в Azure, которая позволяет создавать и назначать политики для контроля и аудита ресурсов, а также управлять ими. Эти политики гарантируют соблюдение различных правил конфигураций ресурсов, что обеспечивает соответствие конфигураций корпоративным стандартам.
Как Политика Azure определяет политики?
Политика Azure позволяет определять как отдельные политики, так и группы связанных политик, называемые инициативами. Политика Azure оценивает ресурсы и выделяет те, которые не соответствуют созданным политикам. Политика Azure также может препятствовать созданию несоответствующих ресурсов.
Политики Azure можно задать на каждом уровне, что позволяет настраивать политики для определенного ресурса, группы ресурсов, подписки и т. д. Кроме того, политики Azure могут наследоваться, поэтому при настройке политики на высоком уровне она будет автоматически применяться ко всем группам, которые находятся в родительском элементе. Например, если задать Политику Azure в группе ресурсов, все ресурсы, созданные в этой группе ресурсов, будут автоматически получать одну и ту же политику.
Политика Azure поставляется со встроенными определениями политик и инициатив для службы хранилища, сети, вычислений, Центра безопасности и мониторинга. Например, если вы определили политику, которая позволяет использовать в вашей среде только определенный размер для виртуальных машин, эта политика вызывается при создании новых виртуальных машин и изменении размера существующих виртуальных машин. Политика Azure также оценивает и отслеживает все текущие виртуальные машины в вашей среде, включая виртуальные машины, созданные до создания политики.
В некоторых случаях Политика Azure может автоматически исправлять несоответствующие ресурсы и конфигурации, чтобы обеспечить целостность состояния ресурсов. Например, если все ресурсы в определенной группе ресурсов должны быть помечены тегом AppName и значением SpecialOrders, Политика Azure может автоматически применить этот тег, если он отсутствует. Однако вы по-прежнему сохраняете полный контроль над средой. Если у вас есть конкретный ресурс, который Политика Azure не должна исправлять автоматически, этот ресурс можно пометить как исключение, и политика не будет автоматически исправлять его.
Политику Azure можно интегрировать с Azure DevOps с помощью политик конвейера непрерывной интеграции и поставки, которые распространяются на приложения до и после развертывания.
Что такое инициативы Политик Azure?
Инициатива Политики Azure — это способ группирования связанных политик. Определение инициативы содержит все определения политики, чтобы отслеживать соответствие требованиям для более значимой цели.
Например, Политика Azure включает в себя инициативу Включения мониторинга в центре безопасности Azure. Ее целью является мониторинг всех доступных рекомендаций по безопасности для всех типов ресурсов Azure в центре безопасности Azure.
В эту инициативу входят следующие определения политики:
- Мониторинг баз данных SQL без шифрования в Центре безопасности. Эта политика отслеживает базы данных и серверы SQL без шифрования.
- Мониторинг уязвимостей ОС в центре безопасности. Эта политика отслеживает серверы, которые не соответствуют настроенному базовому плану уязвимости ОС.
- Мониторинг отсутствия защиты конечных точек в Центре безопасности. Эта политика отслеживает серверы без установленного агента защиты конечных точек.
Инициатива Включение мониторинга в центре безопасности Azure содержит более 100 отдельных определений политик.