Оценка влияния нового определения политики Azure
Политика Azure — это мощный инструмент для управления ресурсами Azure в соответствии с требованиями соответствия бизнес-стандартам. Когда люди, процессы или конвейеры создают или обновляют ресурсы, политика Azure проверяет запрос. Когда эффект определения политики изменяется, добавляет или развертываетIfNotExists, политика изменяет запрос или добавляет в него. Если эффект определения политики является аудитом или аудитомIfNotExists, политика приводит к созданию записи журнала действий для новых и обновленных ресурсов. И если эффект определения политики запрещен или запрещен, политика останавливает создание или изменение запроса.
Это ожидаемые результаты, если известно, что политика определена правильно. Однако важно проверить, что новая политика работает так, как задумано, прежде чем разрешить ей изменять или блокировать работу. Проверка должна гарантировать, что только требуемые ресурсы будут определены как не соответствующие требованиям, а соответствующие ресурсы не будут ошибочно включены в список (так называемый ложноположительный результат).
Для проверки нового определения политики рекомендуется выполнить следующие действия.
- Строго определите политику.
- Проверьте эффективность политики.
- Выполните аудит новых или обновленных запросов ресурсов.
- Разверните политику в ресурсах.
- Непрерывный мониторинг.
Строгое определение политики
Важно понимать, как бизнес-политика реализуется в виде определения политики и как ресурсы Azure связаны с другими службами Azure. Этот шаг выполняется путем определения требований и определения свойств ресурсов. Также важно не ограничиваться узким определением бизнес-политики. Например, указывает ли политика, что все Виртуальные машины должны...? Что касается других служб Azure, использующих виртуальные машины, такие как HDInsight или Служба Azure Kubernetes (AKS)? При определении политики необходимо учитывать, как эта политика влияет на ресурсы, используемые другими службами.
По этой причине определения политик должны быть строгими и направленными на ресурсы и свойства, которые необходимо проверить на соответствие.
Проверка эффективности политики
Прежде чем начать управление новыми или обновленными ресурсами с помощью нового определения политики, нужно понять, как она оценивает ограниченное подмножество существующих ресурсов, например тестовую группу ресурсов. Расширение ПОЛИТИКА AZURE VS Code позволяет изолировать тестирование определений в существующих ресурсах Azure с помощью проверки оценки по запросу. Вы также можете назначить определение в среде разработки с помощью режима принудительного применения (doNotEnforce) для назначения политики, чтобы предотвратить запуск или создание записей журнала действий.
Этот шаг дает возможность оценить результаты проверки соответствия новой политики для существующих ресурсов без влияния на рабочий процесс. Убедитесь, что соответствующие ресурсы не отображаются как несоответствующие (ложноположительные) и что все ресурсы, которые вы ожидаете, не соответствуют требованиям, помечены правильно. После того как начальный подмножество ресурсов проверяется должным образом, медленно расширяйте оценку до более существующих ресурсов и других областей.
Оценка существующих ресурсов таким образом также позволяет исправлять несоответствующие ресурсы до полной реализации новой политики. Эту очистку можно выполнить вручную или с помощью задачи исправления, если эффект определения политики илиmodifydeployIfNotExists.
Определения политик с deployIfNotExists помощью шаблона Azure Resource Manager следует использовать для проверки и проверки изменений, происходящих при развертывании шаблона ARM.
Аудит новых или обновленных ресурсов
После проверки нового определения политики правильно сообщает о существующих ресурсах, пришло время проверить влияние политики при создании или обновлении ресурсов. Если определение политики поддерживает параметризацию эффектов, используйте аудит или auditIfNotExist. Эта конфигурация позволяет отслеживать создание и обновление ресурсов, чтобы узнать, активирует ли новое определение политики запись в журнале действий Azure для ресурса, который не соответствует требованиям, не влияя на существующие рабочие или запросы.
Рекомендация заключается в обновлении и создании новых ресурсов, которые соответствуют определению политики, чтобы увидеть, что audit или auditIfNotExists эффект активируется правильно, когда ожидается. Будьте на поиске запросов ресурсов, которые не должны влиять на новое определение политики, которое активирует audit или auditIfNotExists эффект. Эти затронутые ресурсы являются еще одним примером ложноположительного результата и должны быть исправлены в определении политики до полной реализации.
В случае изменения определения политики на этом этапе тестирования рекомендуется начать процесс проверки с аудитом существующих ресурсов. Изменение определения политики для ложного срабатывания новых или обновленных ресурсов, скорее всего, также влияет на существующие ресурсы.
Развертывание политики в ресурсах
После завершения проверки нового определения политики с помощью существующих ресурсов и новых или обновленных запросов ресурсов начинается процесс реализации политики. Рекомендуется сначала создать назначение политики для нового определения политики подмножеством всех ресурсов, таких как группа ресурсов. Можно дополнительно фильтровать по типу ресурса или расположению с помощью свойства resourceSelectors в назначении политики. После проверки начального развертывания расширьте область политики до более широкой группы ресурсов. После проверки первоначального развертывания разверните эффект политики, изменив resourceSelector фильтры, чтобы определить больше расположений или типов ресурсов. Или, удалив назначение и заменив его новым в более широких областях, таких как подписки и группы управления. Продолжайте этот постепенный выпуск, пока он не будет назначен полной области ресурсов, которые должны быть охвачены новым определением политики.
Если при выпуске обнаружены ресурсы, которые должны быть исключены из нового определения политики, проблему можно устранить одним из следующих способов.
- Обновите определение политики, чтобы быть более явным, чтобы уменьшить непредвиденные последствия.
- Измените область назначения политики (путем удаления и создания нового назначения).
- Добавьте группу ресурсов в список исключений для назначения политики.
Все изменения в области (уровень или исключения) должны быть полностью проверены и согласованы с отделами безопасности и соответствия требованиям, чтобы гарантировать, что все будет учтено.
Мониторинг политики и соответствия требованиям
Реализация и назначение определения политики — это не последний шаг. Непрерывно отслеживайте уровень соответствия ресурсов для нового определения политики и настраивайте соответствующие предупреждения и уведомления Azure Monitor при обнаружении несоответствующих устройств. Рекомендация заключается в оценке определения политики и связанных назначений на запланированной основе для проверки того, что определение политики соответствует требованиям бизнес-политики и соответствия требованиям. Ненужные политики необходимо удалять. Политики также должны обновляться от времени по мере развития базовых ресурсов Azure и добавления новых свойств и возможностей.
Следующие шаги
- Узнайте больше о структуре определения политик.
- Узнайте больше о структуре назначения политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.