3. تعيين السياسة المخصصة

{ "الوضع": "مفهرس"، "قاعدة السياسة": { "إذا": { "الكل": [ { "الحقل": "اكتب"، "يساوي": "Microsoft.Resources/subscriptions/resourceGroups" }, { "الحقل": "العلامات['البيئة']", "موجود": "خطأ" } ] }, "ثم": { "التأثير": "الرفض" } } } ```

    * **الشرح**: تتحقق هذه السياسة من أن المورد هو مجموعة موارد (`Microsoft.Resources/subscriptions/resourceGroups`) ومن عدم وجود علامة `البيئة` (`موجود: خطأ`). إذا تحقق الشرطان، فإن تأثير "الرفض" يمنع إنشاء مجموعة الموارد أو تحديثها.
  1. انقر حفظ.

3. تعيين السياسة المخصصة

الآن، دعونا نقوم بتعيين السياسة التي أنشأناها للتو لمجموعة موارد محددة.

  1. في جزء التنقل الأيمن لخدمة السياسة، ضمن "الإنشاء"، حدد المهام.

  2. انقر فوق "+ تعيين السياسة".

  3. الأساسيات:

    • النطاق: انقر على النقاط الثلاث (...) وحدد الاشتراك ومجموعة الموارد التي تريد تطبيق السياسة فيها (على سبيل المثال، my-resource-group).
    • تعريف السياسة: انقر على النقاط الثلاث (...) وابحث عن السياسة التي أنشأتها (تتطلب علامة البيئة على مجموعات الموارد). حدده.
    • اسم المهمة: سيتم ملؤه تلقائيًا، ولكن يمكنك تغييره (على سبيل المثال: Attribution-Tag-Environment-RG).
    • الوصف: قم بتقديم وصف.
    • تنفيذ السياسة: أبقِ "ممكّنًا".

  4. انقر فوق "التالي".

  5. المعلمات: لا توجد معلمات لهذه السياسة، انقر فوق التالي.

  6. المعالجة: بالنسبة للسياسات ذات التأثيرات مثل DeployIfNotExists أو Modify، يمكنك تكوين مهام المعالجة هنا. بالنسبة لـ "الرفض"، لا ينطبق ذلك. انقر فوق "التالي".
  7. الرسائل غير المطابقة: قم بتخصيص الرسالة التي يراها المستخدمون بشكل اختياري عندما يحاولون إنشاء مورد غير مطابق. انقر فوق "التالي".
  8. مراجعة + إنشاء: راجع الإعدادات وانقر على إنشاء.

4. اختبار سياسة وضع العلامات الإلزامية

  1. في مدخل Azure، حاول إنشاء مجموعة موارد جديدة ضمن نطاق المهمة ('my-resource-group`).
  2. عند ملء تفاصيل مجموعة الموارد، لا تضف علامة البيئة.

  3. حاول إنشاء مجموعة الموارد.

    • النتيجة المتوقعة: يجب أن يفشل إنشاء مجموعة الموارد مع ظهور رسالة خطأ تشير إلى أن سياسة "يتطلب علامة البيئة في مجموعات الموارد" قد رفضت العملية لأن علامة "البيئة" مفقودة.

  4. الآن، حاول إنشاء مجموعة موارد جديدة وأضف علامة البيئة بقيمة (على سبيل المثال: البيئة: التنمية).

    • النتيجة المتوقعة: يجب أن يكون إنشاء مجموعة الموارد ناجحًا.

5. إنشاء مبادرة (مجموعة السياسات)

لنقم بإنشاء مبادرة لتجميع سياسات الأمان المشتركة، مثل طلب HTTPS على حسابات التخزين والتشفير على أقراص VM.

  1. في جزء التنقل الأيمن لخدمة السياسة، ضمن "الإنشاء"، حدد المبادرات.

  2. انقر فوق +تعريف المبادرة.

  3. الأساسيات:

    • موقع التعريف: حدد الاشتراك أو مجموعة الإدارة.
    • الاسم: مبادرة الأمان الأساسية.
    • الوصف: `مجموعة سياسات الأمان الأساسية للامتثال الأساسي.'
    • الفئة: حدد "استخدام الموجود" واختر "الأمان".

  4. انقر فوق "التالي".

  5. السياسات: انقر على + إضافة تعريف السياسة.

    • ابحث عن السياسات الداخلية مثل "يجب أن تستخدم حسابات التخزين HTTPS فقط" و"يجب تشفير أقراص الأجهزة الافتراضية".
    • حددها ثم انقر فوق "إضافة".

  6. معلمات المبادرة: إذا كانت السياسات المضافة تحتوي على معلمات، فيمكنك تكوينها هنا. انقر فوق "التالي".

  7. مراجعة + إنشاء: راجع الإعدادات وانقر على إنشاء.

6. إسناد المبادرة

قم بتعيين مبادرة الأمان لاشتراك كامل للتأكد من تطبيق كافة السياسات الموجودة فيه.

  1. في جزء التنقل الأيمن لخدمة السياسة، ضمن "الإنشاء"، حدد المهام.

  2. انقر على "+ تعيين المبادرة".

  3. الأساسيات:

    • النطاق: حدد الاشتراك بأكمله.
    • المبادرة: ابحث عن مبادرة الأمان الأساسية وحددها.
    • اسم المهمة: سرسيتم ملؤها تلقائيا.
    • تنفيذ السياسة: أبقِ "ممكّنًا".

  4. انقر فوق "التالي".

  5. المعلمات: قم بتكوين أي معلمات محددة في المبادرة. انقر فوق "التالي".

  6. المعالجة: بالنسبة لسياسات "التدقيق"، يمكنك إنشاء مهمة إصلاح لإصلاح الموارد غير المتوافقة. بالنسبة لـ "الرفض"، لا ينطبق ذلك. انقر فوق "التالي".
  7. رسائل عدم الامتثال: يمكنك تخصيص الرسائل بشكل اختياري. انقر فوق "التالي".
  8. مراجعة + إنشاء: راجع الإعدادات وانقر على إنشاء.

7. مراجعة الامتثال

بعد التعيين، تستغرق سياسة Azure بعض الوقت لتقييم الموارد الموجودة والإبلاغ عن الامتثال.

  1. في جزء التنقل الأيمن لخدمة السياسة، ضمن "التأليف"، حدد الامتثال.

  2. ستشاهد لوحة معلومات امتثال توضح حالة الامتثال العامة لتعيينات السياسة والمبادرات الخاصة بك.

  3. انقر فوق أحد الواجبات لرؤية التفاصيل، بما في ذلك الموارد المتوافقة وتلك غير المتوافقة. يمكنك التصفية حسب "حالة التوافق" لرؤية الموارد غير المتوافقة فقط.

  4. بالنسبة إلى الموارد التي لا تتوافق مع سياسات DeployIfNotExists أو Modify، يمكنك إنشاء مهمة إصلاح لإصلاح هذه الموارد تلقائيًا.

    • في صفحة تفاصيل المهمة، انقر فوق "إنشاء مهمة إصلاح".
    • حدد السياسة التي تريد إصلاحها وانقر فوق "معالجة".

نصائح أمنية وأفضل الممارسات

  • ابدأ بـ "التدقيق": عند تنفيذ سياسات جديدة، ابدأ بتأثير "التدقيق" لفهم التأثير وتحديد الموارد غير المتوافقة دون حظر العمليات. بعد التحقق من الصحة، قم بتغييره إلى Deny أو Modify/DeployIfNotExists.
  • النطاق المناسب: قم بتعيين السياسات على أعلى نطاق ممكن (مجموعة الإدارة أو الاشتراك) واستخدم الاستثناءات للنطاقات الأدنى عند الضرورة. وهذا يضمن تغطية واسعة ومتسقة.
  • استخدام المبادرات: تجميع السياسات ذات الصلة في مبادرات لتبسيط الإدارة وضمان تطبيق مجموعة كاملة من القواعد.
  • اصطلاحات التسمية: استخدم اصطلاحات تسمية واضحة ومتسقة لتعريفات السياسة والمبادرات والتخصيصات لتسهيل عملية التحديد والإدارة.
  • التحكم في الإصدار: قم بتخزين تعريفات السياسة المخصصة الخاصة بك في نظام التحكم في الإصدار (مثل Git) لتتبع التغييرات والتعاون وتسهيل النشر الآلي.
  • ** المراقبة المستمرة **: مراقبة لوحة معلومات الامتثال لسياسة Azure بانتظام. تكوين التنبيهات لحالات عدم المطابقة الحرجة.
  • التكامل مع Azure DevOps/GitHub Actions: أتمتة نشر السياسة باستخدام مسارات CI/CD لضمان تطبيق السياسات بطريقة متسقة ويمكن تتبعها.
  • التوثيق: احتفظ بتوثيق واضح لسياساتك وأهدافها وتأثيراتها وأي استثناءات.

استكشاف الأخطاء وإصلاحها الشائعة

  • تم حظر المورد بشكل غير صحيح:
    • تحقق من سجلات النشاط في Azure Monitor لمعرفة السياسة التي رفضت العملية. يتضمن الخطأ عادةً اسم السياسة.
    • مراجعة تعريف السياسة والتخصيص للتأكد من صحة الشروط والنطاق.
    • فكر في استخدام استبعاد لمورد محدد أو مجموعة موارد محددة إذا كان الحظر مقصودًا.
  • لم يتم اكتشاف المورد غير المطابق:
    • تأكد من تعيين السياسة للنطاق الصحيح ومن أن التنفيذ "ممكّن".
    • تأكد من صحة تعريف السياسة ومن تقييم الشروط إلى "صحيح" للمورد غير المطابق.
    • قد يستغرق نشر تغييرات السياسة وتحديث تقارير الامتثال ما يصل إلى 30 دقيقة.
  • فشلت مهام الإصلاح:
    • تحقق من سجلات مهام الإصلاح لتحديد الخطأ.
    • تأكد من أن الهوية المُدارة المعينة لدور السياسة لديها الأذونات اللازمة لتعديل الموارد.
    • قد يكون هناك خطأ في سياسة DeployIfNotExists أو Modify في نموذج النشر أو عملية التعديل.
  • لا تنطبق السياسة على الموارد الموجودة:
    • السياسات ذات التأثير "الرفض" أو "التدقيق" تعمل على تقييم الموارد الحالية والجديدة. تتطلب السياسات التي تحتوي على DeployIfNotExists وModify مهمة إصلاح للونقم بإصلاح الموارد الموجودة أو التصرف فقط بناءً على الإبداعات/التحديثات الجديدة.
  • تعارضات السياسات: إذا تم تطبيق سياسات متعددة على نفس المورد، فعادةً ما تسود السياسة ذات التأثير الأكثر تقييدًا (على سبيل المثال، "الرفض" بدلاً من "التدقيق"). مراجعة المهام والنطاق.

الخلاصة

تعد Azure Policy أداة أساسية لأي مؤسسة تتطلع إلى إنشاء حوكمة فعالة وضمان امتثال مواردها في سحابة Azure. من خلال تمكين أتمتة تنفيذ القواعد، بدءًا من وضع علامات على الموارد وحتى تكوينات الأمان المهمة، تساعد سياسة Azure في الحفاظ على النظام وتقليل المخاطر وتحسين التكاليف في البيئات المعقدة والمتطورة باستمرار. توفر القدرة على إنشاء سياسات مخصصة وتجميعها في مبادرات مرونة لتلبية متطلبات العمل والمتطلبات التنظيمية المحددة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمن ومسؤولو تكنولوجيا المعلومات مجهزين جيدًا لتكوين سياسة Azure والتحقق من صحتها وإدارتها، وبناء أساس متين لاستراتيجية حوكمة سحابية آمنة ومتوافقة.

المراجع:

[1] مايكروسوفت تعلم. ما هي سياسة Azure؟. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] مايكروسوفت تعلم. البرنامج التعليمي: إنشاء السياسات وإدارتها لفرض الامتثال. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] مايكروسوفت تعلم. أذونات سياسة Azure في Azure RBAC. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] مايكروسوفت تعلم. إطار تعريف سياسة Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] مايكروسوفت تعلم. إطار تعريف مبادرة سياسة Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] مايكروسوفت تعلم. البرنامج التعليمي: إنشاء تعريف سياسة مخصصة. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] مايكروسوفت تعلم. كيفية معالجة الموارد غير المتوافقة مع سياسة Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources