3. Přiřazení vlastní zásady

{ "mode": "Indexováno", "policyRule": { "if": { "allOf": [ { "field": "type", "rovná se": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "tags['Prostředí']", "existuje": "nepravda" } ] }, "pak": { "efekt": "Odmítnout" } } } ```

    * **Vysvětlení**: Tato zásada kontroluje, zda je prostředek skupinou prostředků (`Microsoft.Resources/subscriptions/resourceGroups`) a že značka `Environment` neexistuje (`exists: false`). Pokud jsou splněny obě podmínky, efekt „Odmítnout“ zabrání vytvoření nebo aktualizaci skupiny prostředků.
  1. Klikněte na Uložit.

3. Přiřazení vlastní zásady

Nyní přiřaďme zásadu, kterou jsme právě vytvořili, ke konkrétní skupině prostředků.

  1. V levém navigačním podokně služby zásad v části „Vytvoření“ vyberte Přiřazení.

  2. Klikněte na + Assign Policy.

  3. Základy:

    • Rozsah: Klikněte na tři tečky (...) a vyberte předplatné a skupinu prostředků, na kterou chcete zásadu použít (např. my-resource-group).
    • Definice zásad: Klikněte na tři tečky (...) a vyhledejte zásadu, kterou jste vytvořili (Vyžadovat značku prostředí u skupin zdrojů). Vyberte to.
    • Název úkolu: Vyplní se automaticky, ale můžete ho změnit (např.: Attribution-Tag-Environment-RG).
    • Popis: Uveďte popis.
    • Vymáhání zásad: Ponechte možnost „Povoleno“.

  4. Klikněte na Další.

  5. Parametry: Pro tuto zásadu nejsou žádné parametry, klikněte na „Další“.

  6. Oprava: Pro zásady s efekty jako DeployIfNotExists nebo Modify byste zde nakonfigurovali úlohy nápravy. Pro Deny to neplatí. Klikněte na Další.
  7. Neodpovídající zprávy: Volitelně přizpůsobte zprávu, kterou uživatelé uvidí, když se pokusí vytvořit nevyhovující zdroj. Klikněte na Další.
  8. Zkontrolovat + vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

4. Testování zásad povinného označování

  1. V Azure Portal zkuste vytvořit novou skupinu prostředků v rámci přiřazení (my-resource-group).
  2. Při vyplňování podrobností o skupině prostředků nepřidávejte značku Prostředí.

  3. Zkuste vytvořit skupinu prostředků.

    • Očekávaný výsledek: Vytvoření skupiny prostředků by mělo selhat s chybovou zprávou oznamující, že zásada „Vyžadovat značku prostředí u skupin zdrojů“ odepřela operaci, protože chybí značka „Prostředí“.

  4. Nyní zkuste vytvořit novou skupinu prostředků a přidejte značku Prostředí s hodnotou (např.: Prostředí: Vývoj).

    • Očekávaný výsledek: Vytvoření skupiny prostředků by mělo být úspěšné.

5. Vytvoření iniciativy (sada zásad)

Vytvořme iniciativu pro seskupení společných zásad zabezpečení, jako je vyžadování HTTPS na účtech úložiště a šifrování na discích virtuálních počítačů.

  1. V levém navigačním podokně služby zásad v části „Vytvoření“ vyberte Iniciativy.

  2. Klikněte na +Definice iniciativy.

  3. Základy:

    • Umístění definice: Vyberte předplatné nebo skupinu správy.
    • Název: Basic Security Initiative.
    • Popis: Sada základních zásad zabezpečení pro základní shodu.
    • Kategorie: Vyberte „Použít existující“ a vyberte „Zabezpečení“.

  4. Klikněte na Další.

  5. Zásady: Klikněte na + Přidat definici zásad.

    • Hledejte interní zásady jako Účty úložiště musí používat pouze HTTPS a Disky virtuálních počítačů musí být šifrovány.
    • Vyberte je a klikněte na „Přidat“.

  6. Parametry iniciativy: Pokud mají přidané zásady parametry, můžete je nakonfigurovat zde. Klikněte na Další.

  7. Zkontrolovat + vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

6. Přidělení iniciativy

Přiřaďte iniciativu zabezpečení k celému předplatnému, abyste zajistili, že budou aplikovány všechny zásady v něm obsažené.

  1. V levém navigačním podokně služby zásad v části „Vytvoření“ vyberte Přiřazení.

  2. Klikněte na + Přiřadit iniciativu.

  3. Základy:

    • Rozsah: Vyberte celé předplatné.
    • Iniciativa: Vyhledejte Basic Security Initiative a vyberte ji.
    • Název zadání: Serse vyplní automaticky.
    • Vymáhání zásad: Ponechte možnost „Povoleno“.

  4. Klikněte na Další.

  5. Parametry: Nakonfigurujte libovolné parametry definované v iniciativě. Klikněte na Další.

  6. Oprava: Pro zásady „Audit“ můžete vytvořit úlohu nápravy, která opraví nevyhovující zdroje. Pro Deny to neplatí. Klikněte na Další.
  7. Zprávy o nesouladu: Volitelně si zprávy přizpůsobte. Klikněte na Další.
  8. Zkontrolovat + vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

7. Kontrola souladu

Po přiřazení Azure Policy nějakou dobu trvá, než vyhodnotí existující prostředky a nahlásí shodu.

  1. V levém navigačním podokně služby zásad v části „Vytváření“ vyberte Shoda.

  2. Zobrazí se řídicí panel shody s celkovým stavem souladu vašich zásad a přiřazení iniciativ.

  3. Klepnutím na přiřazení zobrazíte podrobnosti včetně toho, které zdroje vyhovují a které ne. Můžete filtrovat podle Stav shody a zobrazit pouze nevyhovující zdroje.

  4. Pro prostředky, které nesplňují zásady DeployIfNotExists nebo Modify, můžete vytvořit úlohu nápravy, která tyto prostředky automaticky opraví.

    • Na stránce podrobností úkolu klikněte na Vytvořit úlohu nápravy.
    • Vyberte zásadu, kterou chcete opravit, a klikněte na „Opravit“.

Bezpečnostní tipy a doporučené postupy

  • Začněte s „Auditem“: Při implementaci nových zásad začněte s efektem „Audit“, abyste pochopili dopad a identifikovali nevyhovující zdroje bez blokování operací. Po ověření jej změňte na Deny nebo Modify/DeployIfNotExists.
  • Odpovídající rozsah: Přiřaďte zásady v nejvyšším možném rozsahu (skupina správy nebo předplatné) a v případě potřeby použijte výjimky pro nižší rozsahy. To zajišťuje široké a konzistentní pokrytí.
  • Použít iniciativy: Seskupte související zásady do iniciativ, abyste zjednodušili správu a zajistili uplatňování úplné sady pravidel.
  • Konvence pojmenování: Používejte jasné a konzistentní konvence pojmenování pro definice zásad, iniciativy a přiřazení pro snazší identifikaci a správu.
  • Kontrola verzí: Uložte si definice vlastních zásad v systému správy verzí (např. Git), abyste mohli sledovat změny, spolupracovat a usnadnit automatizované nasazení.
  • Nepřetržité monitorování: Pravidelně sledujte řídicí panel dodržování zásad Azure. Nakonfigurujte upozornění na kritické neshody.
  • Integrace s Azure DevOps/GitHub Actions: Automatizujte nasazení zásad pomocí kanálů CI/CD, abyste zajistili, že zásady budou aplikovány konzistentním a sledovatelným způsobem.
  • Dokumentace: Udržujte jasnou dokumentaci svých zásad, jejich cílů, účinků a jakýchkoli výjimek.

Běžné odstraňování problémů

  • Nesprávně blokovaný zdroj:
    • Zkontrolujte protokoly aktivit v Azure Monitor a zjistěte, které zásady operaci odepřely. Chyba obvykle obsahuje název zásady.
    • Zkontrolujte definici a přiřazení zásad a ujistěte se, že podmínky a rozsah jsou správné.
    • Pokud je blokování záměrné, zvažte použití vyloučení pro konkrétní zdroj nebo skupinu zdrojů.
  • Neodpovídající zdroj nebyl detekován:
    • Ověřte, zda je zásada přiřazena ke správnému rozsahu a zda je vynucení nastaveno na „Povoleno“.
    • Ujistěte se, že definice zásady je správná a že se podmínky pro nevyhovující zdroj vyhodnotí jako „pravda“.
    • Může trvat až 30 minut, než se změny zásad projeví a než se aktualizují zprávy o souladu.
  • Úkoly nápravy se nezdaří:
    • Zkontrolujte protokoly úloh nápravy a identifikujte chybu.
    • Ujistěte se, že spravovaná identita přiřazená k roli politiky má potřebná oprávnění k úpravě prostředků.
    • Zásady DeployIfNotExists nebo Modify mohou obsahovat chybu v modelu nasazení nebo upravit operaci.
  • Zásady se nevztahují na stávající zdroje:
    • Zásady s účinkem „Odmítnout“ nebo „Audit“ vyhodnocují stávající a nové zdroje. Zásady s „DeployIfNotExists“ a „Modify“ vyžadují úlohu nápravy barvyopravit stávající zdroje nebo jednat pouze s novými výtvory/aktualizacemi.
  • Konflikty zásad: Pokud se na stejný zdroj vztahuje více zásad, obvykle převládá zásada s nejvíce omezujícím účinkem (např. „Odmítnout“ nad „Audit“). Zkontrolujte úkoly a rozsah.

Závěr

Azure Policy je základním nástrojem pro každou organizaci, která chce zavést efektivní správu a zajistit soulad svých prostředků v cloudu Azure. Tím, že Azure Policy umožňuje automatizaci vynucení pravidel, od označování prostředků po kritické konfigurace zabezpečení, pomáhá udržovat pořádek, snižovat rizika a optimalizovat náklady ve složitých, neustále se vyvíjejících prostředích. Schopnost vytvářet vlastní zásady a seskupovat je do iniciativ poskytuje flexibilitu pro splnění specifických obchodních a regulačních požadavků. Díky této praktické příručce budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě Azure Policy, čímž vytvoří pevný základ pro bezpečnou a vyhovující strategii cloud governance.

Reference:

[1] Microsoft Learn. Co jsou zásady Azure?. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft Learn. Výukový program: Vytvářejte a spravujte zásady k vynucení souladu. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft Learn. Oprávnění Azure Policy v Azure RBAC. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Learn. Rámec definice politiky Azure. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft Learn. Rámec definice iniciativy Azure Policy. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft Learn. Výukový program: Vytvořte vlastní definici zásad. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Learn. Jak opravit zdroje, které nejsou v souladu se zásadami Azure. Dostupné na: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources