3. Toewysing van die pasgemaakte beleid

{ "mode": "Indekseer", "beleidreël": { "as": { "almal": [ { "field": "tik", "equals": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "tags['Omgewing']", "bestaan": "onwaar" } ] }, "toe": { "effect": "Weer" } } } ```

    * **Verduideliking**: Hierdie beleid kontroleer dat die hulpbron 'n hulpbrongroep is (`Microsoft.Resources/subscriptions/resourceGroups`) en dat die `Environment`-merker nie bestaan nie (`bestaan: vals`). As beide voorwaardes waar is, verhoed die `Weer`-effek dat die hulpbrongroep geskep of opgedateer word.

1. Klik Stoor.

3. Toewysing van die pasgemaakte beleid

Kom ons ken nou die beleid wat ons sopas geskep het toe aan 'n spesifieke hulpbrongroep.

1. In die linkernavigasiepaneel van die Beleiddiens, onder Skepping, kies Opdragte.

2. Klik + Assign Policy.

3. Basies:

   • Omvang: Klik op die drie kolletjies (...) en kies die intekening en hulpbrongroep waar jy die beleid wil toepas (bv. my-hulpbrongroep).
   • Beleiddefinisie: Klik op die drie kolletjies (...) en soek die beleid wat jy geskep het (Vereis Omgewingsmerker op Hulpbrongroepe). Kies dit.
   • Opdragnaam: Dit sal outomaties ingevul word, maar jy kan dit verander (bv: Attribution-Tag-Environment-RG). Beskrywing: Verskaf 'n beskrywing.
   • Beleidstoepassing: Hou Aangeskakel.

4. Klik Volgende.

5. Parameters: Daar is geen parameters vir hierdie beleid nie, klik Volgende.

6. Remediëring: Vir beleide met effekte soos DeployIfNotExists of Modify, sal jy remediëringstake hier opstel. Vir Ontken is dit nie van toepassing nie. Klik op Volgende.
7. Nie-konformerende boodskappe: Pasmaak opsioneel die boodskap wat gebruikers sien wanneer hulle probeer om 'n nie-konformerende hulpbron te skep. Klik op Volgende.
8. Hersien + skep: Gaan die instellings na en klik Skep.

4. Toets die verpligte etiketteringbeleid

1. Probeer in die Azure-portaal 'n nuwe hulpbrongroep skep binne die bestek van opdrag (my-hulpbrongroep).
2. Wanneer jy die hulpbrongroepbesonderhede invul, moenie die Omgewing-merker byvoeg nie.

3. Probeer om die hulpbrongroep te skep.

   • Verwagte resultaat: Hulpbrongroepskepping behoort misluk met 'n foutboodskap wat aandui dat die Vereis omgewingmerker op hulpbrongroepe-beleid die bewerking geweier het omdat die Omgewing-merker ontbreek.

4. Probeer nou om 'n nuwe hulpbrongroep te skep en voeg die Omgewing-merker by met 'n waarde (byvoorbeeld: Omgewing: Ontwikkeling).

   • Verwagte resultaat: Die skep van hulpbrongroepe behoort suksesvol te wees.

5. Skep 'n inisiatief (beleidstel)

Kom ons skep 'n inisiatief om algemene sekuriteitsbeleide te groepeer, soos om HTTPS op bergingsrekeninge en enkripsie op VM-skywe te vereis.

1. In die linkernavigasiepaneel van die Beleiddiens, onder Skepping, kies Inisiatiewe.

2. Klik + Initiative Definisie.

3. Basies:

   • Definisie ligging: Kies die intekening of bestuursgroep.
   • Naam: Basiese sekuriteitsinisiatief.
   • Beskrywing: Stel noodsaaklike sekuriteitsbeleide vir basiese nakoming.
   • Kategorie: Kies Gebruik bestaande en kies Sekuriteit.

4. Klik Volgende.

5. Beleide: Klik + Voeg beleiddefinisie by.

   • Soek interne beleide soos Stoorrekeninge moet slegs HTTPS gebruik en Virtuele masjienskywe moet geïnkripteer word.
   • Kies hulle en klik 'Voeg by'.

6. Inisiatiefparameters: As die bygevoegde beleide parameters het, kan jy dit hier instel. Klik op Volgende.

7. Hersien + skep: Gaan die instellings na en klik Skep.

6. Toewysing van die inisiatief

Ken die sekuriteitsinisiatief aan 'n hele intekening toe om te verseker dat alle beleide daarin toegepas word.

1. In die linkernavigasiepaneel van die Beleiddiens, onder Skepping, kies Opdragte.

2. Klik + Ken inisiatief toe.

3. Basies:

   • Omvang: Kies die hele intekening.
   • Inisiatief: Soek vir Basiese Sekuriteitsinisiatief en kies dit. Opdragnaam: Sersal outomaties ingevul word.
   • Beleidstoepassing: Hou Aangeskakel.

4. Klik Volgende.

5. Parameters: Stel enige parameters op wat in die inisiatief gedefinieer is. Klik op Volgende.

6. Remediëring: Vir Oudit-beleide kan jy 'n remediëringstaak skep om hulpbronne reg te stel wat nie voldoen nie. Vir Ontken is dit nie van toepassing nie. Klik op Volgende.
7. Nie-voldoeningsboodskappe: Pasmaak boodskappe opsioneel. Klik op Volgende.
8. Hersien + skep: Gaan die instellings na en klik Skep.

7. Hersien nakoming

Na toewysing neem Azure Policy 'n geruime tyd om bestaande hulpbronne te evalueer en voldoening aan te meld.

1. In die linkernavigasiepaneel van die Beleiddiens, onder Outhoring, kies Nakoming.

2. Jy sal 'n voldoeningskontroleskerm sien wat die algehele voldoeningstatus van jou beleid en inisiatiefopdragte aandui.

3. Klik 'n opdrag om besonderhede te sien, insluitend watter hulpbronne voldoen en watter nie. Jy kan volgens Konformiteitstatus filtreer om slegs hulpbronne te sien wat nie voldoen nie.

4. Vir hulpbronne wat nie aan DeployIfNotExists- of Modify-beleide voldoen nie, kan jy 'n remediëringstaak skep om hierdie hulpbronne outomaties reg te stel.

   • Op die werkopdragbesonderhedebladsy, klik Skep remediëringstaak.
   • Kies die polis wat jy wil herstel en klik op Remedieer.

Sekuriteitswenke en beste praktyke

• Begin met Oudit: Wanneer jy nuwe beleide implementeer, begin met die Oudit-effek om die impak te verstaan en nie-voldoenende hulpbronne te identifiseer sonder om bedrywighede te blokkeer. Nadat u dit bekragtig het, verander dit na Deny of Modify/DeployIfNotExists.
• Gepaste omvang: Ken beleide toe op die hoogste moontlike omvang (bestuursgroep of intekening) en gebruik uitsluitings vir laer omvang wanneer nodig. Dit verseker breë en konsekwente dekking.
• Gebruik inisiatiewe: Groepeer verwante beleide in inisiatiewe om bestuur te vereenvoudig en te verseker dat 'n volledige stel reëls toegepas word.
• Naamkonvensies: Gebruik duidelike en konsekwente naamkonvensies vir beleidsdefinisies, inisiatiewe en opdragte vir makliker identifikasie en bestuur.
• Weergawebeheer: Stoor jou pasgemaakte beleiddefinisies in 'n weergawebeheerstelsel (bv. Git) om veranderinge op te spoor, saam te werk en outomatiese ontplooiing te fasiliteer.
• Deurlopende monitering: Monitor die Azure Policy-nakomingskontroleskerm gereeld. Stel waarskuwings op vir kritieke afwykings.
• Integrasie met Azure DevOps/GitHub Actions: Outomatiseer beleidontplooiing deur CI/CD-pyplyne te gebruik om te verseker dat beleide op 'n konsekwente en naspeurbare wyse toegepas word.
• Dokumentasie: Handhaaf duidelike dokumentasie van jou beleide, hul doelwitte, gevolge en enige uitsonderings.

Algemene probleemoplossing

• Hulpbron onbehoorlik geblokkeer:
  • Gaan die aktiwiteitlogboeke in Azure Monitor na om te sien watter beleid die operasie geweier het. Die fout sluit gewoonlik die polisnaam in.
  • Hersien die beleidsdefinisie en -opdrag om te verseker dat die voorwaardes en omvang korrek is.
  • Oorweeg dit om 'n uitsluiting vir die spesifieke hulpbron of groep hulpbronne te gebruik as blokkering doelbewus is.
• Nie-konformerende hulpbron word nie opgespoor nie:
  • Verifieer dat die beleid aan die korrekte omvang toegewys is en dat afdwinging Aktiveer is.
  • Verseker dat die beleidsdefinisie korrek is en dat die voorwaardes evalueer na 'waar' vir die nie-konformerende hulpbron.
  • Dit kan tot 30 minute neem vir beleidsveranderinge om te versprei en vir voldoeningsverslae om op te dateer. Remediëringstake misluk:
  • Gaan die hersteltaaklogboeke na om die fout te identifiseer.
  • Verseker dat die bestuurde identiteit wat aan die beleidsrol toegewys is, die nodige toestemmings het om hulpbronne te wysig.
  • Die DeployIfNotExists of Modify-beleid kan dalk 'n fout in die ontplooiingsmodel of wysigingsbewerking hê.
• Beleid is nie van toepassing op bestaande hulpbronne:
  • Beleide met effek "Weer" of "Oudit" evalueer bestaande en nuwe hulpbronne. Beleide met 'DeployIfNotExists' en 'Modify' vereis 'n hersteltaak vir kleurbestaande hulpbronne reg te stel of slegs op nuwe skeppings/opdaterings op te tree.
• Beleidskonflikte: As veelvuldige beleide op dieselfde hulpbron van toepassing is, geld die beleid met die mees beperkende effek gewoonlik (bv. "Weer" bo "Oudit"). Hersien opdragte en omvang.

Gevolgtrekking

Azure-beleid is 'n fundamentele hulpmiddel vir enige organisasie wat doeltreffende bestuur wil vestig en nakoming van sy hulpbronne in die Azure-wolk verseker. Deur outomatisering van reëlafdwinging, van hulpbronmerking tot kritieke sekuriteitkonfigurasies, te aktiveer, help Azure Policy om orde te handhaaf, risiko te verminder en koste te optimaliseer in komplekse, voortdurend ontwikkelende omgewings. Die vermoë om pasgemaakte beleide te skep en dit in inisiatiewe te groepeer, bied buigsaamheid om aan spesifieke besigheids- en regulatoriese vereistes te voldoen. Met hierdie praktiese gids sal sekuriteitspersoneel en IT-administrateurs goed toegerus wees om Azure-beleid op te stel, te valideer en te bestuur, wat 'n stewige grondslag bou vir 'n veilige en voldoenende wolkbestuurstrategie.

Verwysings:

[1] Microsoft Learn. Wat is Azure-beleid?. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft Learn. Tutoriaal: Skep en bestuur beleide om nakoming af te dwing. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft Learn. Azure-beleidstoestemmings in Azure RBAC. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Learn. Azure-beleiddefinisieraamwerk. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft Learn. Azure Policy-inisiatief-definisieraamwerk. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft Learn. Tutoriaal: Skep 'n pasgemaakte beleidsdefinisie. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Learn. Hoe om hulpbronne wat nie aan Azure-beleid voldoen te herstel*. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources