Описание целей Политики Azure

Завершено

Как обеспечить соответствие ресурсов требованиям? Как получать оповещения при изменении конфигурации ресурса?

Политика Azure — это служба в Azure, которая позволяет создавать и назначать политики для контроля и аудита ресурсов, а также управлять ими. Эти политики применяют различные правила в конфигурациях ресурсов, чтобы эти конфигурации соответствовали вашим стандартам.

Схема, показывающая поток политики Azure от группировки политик, через назначение инициатив, наследование областей и оценку ресурсов.

Как Политика Azure определяет политики?

Политика Azure позволяет определять как отдельные политики, так и группы связанных политик, называемые инициативами. Политика Azure оценивает ресурсы и выделяет те, которые не соответствуют созданным политикам. Политика Azure также может препятствовать созданию несоответствующих ресурсов.

Политики Azure можно задать на каждом уровне, что позволяет настраивать политики для определенного ресурса, группы ресурсов, подписки и т. д. Кроме того, политики Azure наследуемы, поэтому, если вы устанавливаете политику на высоком уровне, она будет автоматически применена ко всем подразделениям, входящим в родительскую структуру. Например, если задать Политику Azure в группе ресурсов, все ресурсы, созданные в этой группе ресурсов, будут автоматически получать одну и ту же политику.

Политика Azure поставляется со встроенными определениями политик и инициатив для хранения, сетей, вычислений, Центра безопасности Azure и мониторинга. Например, если вы определили политику, которая позволяет использовать в вашей среде только определенный размер для виртуальных машин, эта политика вызывается при создании новых виртуальных машин и изменении размера существующих виртуальных машин. Политика Azure также оценивает и отслеживает все текущие виртуальные машины в вашей среде, включая виртуальные машины, созданные до создания политики.

В некоторых случаях политика Azure может автоматически устранять несоответствующие ресурсы и конфигурации. Например, можно требовать тег AppName и добавлять его с помощью политики Azure при его отсутствии. Вы по-прежнему сохраняете полный контроль над средой, так как ресурсы могут быть помечены как исключения.

Политику Azure можно интегрировать с Azure DevOps с помощью политик конвейера непрерывной интеграции и поставки, которые распространяются на приложения до и после развертывания.

Политики защиты для изменений с поддержкой искусственного интеллекта

Если команды используют рекомендации Copilot или автоматизацию, аналогичную агенту, политика Azure всё равно соблюдает ваши стандарты. Вы можете требовать допустимые расположения, обязательные теги, утвержденные номера SKU ресурсов и базовые элементы управления безопасностью независимо от того, как было предложено изменение.

Это помогает командам быстрее перемещаться с помощью ИИ, сохраняя изменения, соответствующие требованиям организации и нормативным требованиям.

Что такое инициативы политики Azure?

Инициатива Политики Azure — это способ группирования связанных политик. Определение инициативы содержит все определения политики, чтобы отслеживать соответствие требованиям для более значимой цели.

Например, Политика Azure включает в себя инициативу Включения мониторинга в центре безопасности Azure. Ее целью является мониторинг всех доступных рекомендаций по безопасности для всех типов ресурсов Azure в центре безопасности Azure.

В эту инициативу входят следующие определения политики:

  • Мониторинг незашифрованной базы данных SQL в Центре безопасности Эта политика отслеживает незашифрованные базы данных и серверы SQL.
  • Мониторинг уязвимостей ОС в Центре безопасности Эта политика отслеживает серверы, не удовлетворяющие настроенной базовой конфигурации уязвимостей ОС.
  • Мониторинг отсутствия Endpoint Protection в Центре безопасности Эта политика отслеживает серверы, у которых нет установленного агента защиты конечных точек.

Инициатива Включение мониторинга в центре безопасности Azure содержит более 100 отдельных определений политик.