描述 Azure 原則的用途
如何確保資源保持合規? 可在資源設定變更時收到警示嗎?
Azure 原則是 Azure 的一項服務,可讓您建立、指派及管理用於控制或稽核資源的原則。 這些原則會針對資源設定強制執行不同規則,讓這些設定符合公司標準的規範。
Azure 原則如何定義原則?
Azure 原則可讓您定義個別原則及相關原則群組 (亦稱為方案)。 Azure 原則會評估資源,並醒目提示不符合所建立原則規範的資源。 Azure 原則也可防止建立不符合規範的資源。
您可以在每個層級設定 Azure 原則,讓您針對特定資源、資源群組、訂閱等設定原則。 此外,Azure 原則會向下繼承,因此,如果您以高階設定原則,則會自動套用至屬於父系中的所有群組。 例如,如果您在資源群組上設定 Azure 原則,則在該資源群組內建立的所有資源都會自動收到相同的原則。
Azure 原則提供內建的原則和方案定義,分別為:「儲存體」、「網路功能」、「計算」、「資訊安全中心」及「監視」。 例如:若您定義的原則只允許環境中的虛擬機器 (VM) 使用特定的大小,則每當您建立新的 VM 與調整現有 VM 大小時,便會叫用該原則。 Azure 原則也會評估及監視目前您環境中的所有 VM,包括在建立原則之前所建立的 VM。
在某些情況下,Azure 原則可自動補救不符合規範的資源和設定,以確保資源的完整狀態。 例如:若特定資源群組的所有資源皆應標記 AppName 標籤和「SpecialOrders」值,Azure 原則便會在該標籤遺漏時自動套用該標籤。 不過,您仍能保留對環境的完整控制權。 如果您有特定資源不希望 Azure 原則進行自動修正,您可以將該資源標示為例外狀況,原則就不會自動修正該資源。
若有適用於應用程式部署前及部署後階段的持續整合與傳遞管線原則,Azure 原則也會套用這些原則,以整合 Azure DevOps。
什麼是 Azure 原則方案?
Azure 原則方案可將相關原則分為一組。 方案定義包含所有原則定義,可協助追蹤合規性狀態以達成更大的目標。
例如,Azure 原則有一個名為「啟用 Azure 資訊安全中心的監視功能」的方案。 其目標是要在 Azure 資訊安全中心內監視所有 Azure 資源類型的所有可用安全性建議。
在此方案下,會包含下列原則定義:
- 在資訊安全中心內監視未加密的 SQL Database:此原則會監視未加密的 SQL 資料庫與伺服器。
- 在資訊安全中心內監視 OS 弱點:此原則會監視不符合所設定 OS 弱點基準的伺服器。
- 監視安全性中心內缺少的 Endpoint Protection:此原則會監視尚未安裝 Endpoint Protection 代理程式的伺服器。
事實上,「啟用 Azure 資訊安全中心的監視功能」方案包含 100 多種不同的原則定義。