Implementando_o_Azure_Policy_para_Governanca_e_Conformidade_de_Recursos

{ "modo": "Indexado", "Regla de política": { "si": { "todoDe": [ { "campo": "tipo", "equals": "Microsoft.Resources/subscriptions/resourceGroups" }, { "campo": "etiquetas['Entorno']", "existe": "falso" } ] }, "entonces": { "efecto": "Denegar" } } } ```

    * **Explicación**: Esta política verifica que el recurso sea un grupo de recursos (`Microsoft.Resources/subscriptions/resourceGroups`) y que la etiqueta `Environment` no exista (`exists: false`). Si ambas condiciones son verdaderas, el efecto "Denegar" impide que se cree o actualice el grupo de recursos.
  1. Haga clic en Guardar.

3. Asignación de la política personalizada

Ahora, asignemos la política que acabamos de crear a un grupo de recursos específico.

  1. En el panel de navegación izquierdo del servicio de políticas, en "Creación", seleccione Asignaciones.

  2. Haga clic en + Asignar política.

  3. Conceptos básicos:

    • Alcance: Haga clic en los tres puntos (...) y seleccione la suscripción y el grupo de recursos donde desea aplicar la política (por ejemplo, mi-grupo-de-recursos).
    • Definición de política: Haga clic en los tres puntos (...) y busque la política que creó (Requerir etiqueta de entorno en grupos de recursos). Selecciónelo.
    • Nombre de la tarea: Se completará automáticamente, pero puedes cambiarlo (por ejemplo: Atribución-Etiqueta-Entorno-RG).
    • Descripción: proporcione una descripción.
    • Aplicación de políticas: Mantener "Habilitado".

  4. Haga clic en "Siguiente".

  5. Parámetros: No hay parámetros para esta política, haga clic en Siguiente.

  6. Remediación: Para políticas con efectos como DeployIfNotExists o Modify, debe configurar las tareas de reparación aquí. Para "Denegar", no es aplicable. Haga clic en "Siguiente".
  7. Mensajes no conformes: opcionalmente, personalice el mensaje que ven los usuarios cuando intentan crear un recurso no conforme. Haga clic en "Siguiente".
  8. Revisar + crear: revise la configuración y haga clic en Crear.

4. Prueba de la política de etiquetado obligatorio

  1. En Azure Portal, intente crear un nuevo grupo de recursos dentro del alcance de la asignación (mi-grupo-de-recursos).
  2. Al completar los detalles del grupo de recursos, no agregue la etiqueta Environment.

  3. Intente crear el grupo de recursos.

    • Resultado esperado: La creación del grupo de recursos debería fallar con un mensaje de error que indica que la política "Requerir etiqueta de entorno en grupos de recursos" denegó la operación porque falta la etiqueta "Entorno".

  4. Ahora, intente crear un nuevo grupo de recursos y agregue la etiqueta Environment con un valor (por ejemplo: Environment: Development).

    • Resultado esperado: la creación del grupo de recursos debería realizarse correctamente.

5. Creación de una iniciativa (conjunto de políticas)

Creemos una iniciativa para agrupar políticas de seguridad comunes, como requerir HTTPS en cuentas de almacenamiento y cifrado en discos de VM.

  1. En el panel de navegación izquierdo del servicio de políticas, en "Creación", seleccione Iniciativas.

  2. Haga clic en +Definición de iniciativa.

  3. Conceptos básicos:

    • Ubicación de definición: seleccione la suscripción o el grupo de administración.
    • Nombre: Iniciativa de Seguridad Básica.
    • Descripción: Conjunto de políticas de seguridad esenciales para el cumplimiento básico.
    • Categoría: seleccione Usar existente y elija Seguridad.

  4. Haga clic en "Siguiente".

  5. Políticas: Haga clic en + Agregar definición de política.

    • Busque políticas internas como "Las cuentas de almacenamiento deben usar HTTPS únicamente" y "Los discos de las máquinas virtuales deben estar cifrados".
    • Selecciónelos y haga clic en Agregar.

  6. Parámetros de iniciativa: Si las políticas agregadas tienen parámetros, puede configurarlos aquí. Haga clic en "Siguiente".

  7. Revisar + crear: revise la configuración y haga clic en Crear.

6. Asignación de la iniciativa

Asigne la iniciativa de seguridad a una suscripción completa para garantizar que se apliquen todas las políticas que contiene.

  1. En el panel de navegación izquierdo del servicio de políticas, en "Creación", seleccione Asignaciones.

  2. Haga clic en + Asignar iniciativa.

  3. Conceptos básicos:

    • Alcance: Seleccione la suscripción completa.
    • Iniciativa: busque Iniciativa de seguridad básica y selecciónela.
    • Nombre de la tarea: Serse completará automáticamente.
    • Aplicación de políticas: Mantener "Habilitado".

  4. Haga clic en "Siguiente".

  5. Parámetros: configure cualquier parámetro definido en la iniciativa. Haga clic en "Siguiente".

  6. Remediación: Para las políticas de "Auditoría", puede crear una tarea de reparación para reparar los recursos que no cumplen. Para "Denegar", no es aplicable. Haga clic en "Siguiente".
  7. Mensajes de incumplimiento: Opcionalmente, personalice los mensajes. Haga clic en "Siguiente".
  8. Revisar + crear: revise la configuración y haga clic en Crear.

7. Revisión del cumplimiento

Después de la asignación, Azure Policy tarda algún tiempo en evaluar los recursos existentes e informar el cumplimiento.

  1. En el panel de navegación izquierdo del servicio de políticas, en "Autoría", seleccione Cumplimiento.

  2. Verá un panel de cumplimiento que muestra el estado de cumplimiento general de sus asignaciones de políticas e iniciativas.

  3. Haga clic en una tarea para ver detalles, incluidos qué recursos cumplen y cuáles no. Puede filtrar por "Estado de conformidad" para ver solo los recursos que no cumplen.

  4. Para los recursos que no cumplen con las políticas DeployIfNotExists o Modify, puede crear una tarea de corrección para reparar automáticamente estos recursos.

    • En la página de detalles de la tarea, haga clic en "Crear tarea de corrección".
    • Seleccione la política que desea remediar y haga clic en "Remediar".

Consejos de seguridad y mejores prácticas

  • Comience con Auditoría: al implementar nuevas políticas, comience con el efecto Auditoría para comprender el impacto e identificar recursos que no cumplen con las normas sin bloquear las operaciones. Después de validar, cámbielo a Deny o Modify/DeployIfNotExists.
  • Alcance apropiado: Asigne políticas en el alcance más alto posible (grupo de administración o suscripción) y use exclusiones para alcances inferiores cuando sea necesario. Esto garantiza una cobertura amplia y consistente.
  • Usar iniciativas: agrupe políticas relacionadas en iniciativas para simplificar la gestión y garantizar que se aplique un conjunto completo de reglas.
  • Convenciones de nomenclatura: utilice convenciones de nomenclatura claras y coherentes para definiciones de políticas, iniciativas y asignaciones para facilitar su identificación y gestión.
  • Control de versiones: almacene sus definiciones de políticas personalizadas en un sistema de control de versiones (por ejemplo, Git) para realizar un seguimiento de los cambios, colaborar y facilitar la implementación automatizada.
  • Monitoreo continuo: supervise periódicamente el panel de cumplimiento de Azure Policy. Configurar alertas para no conformidades críticas.
  • Integración con Azure DevOps/GitHub Actions: automatice la implementación de políticas mediante canalizaciones de CI/CD para garantizar que las políticas se apliquen de manera coherente y rastreable.
  • Documentación: Mantenga una documentación clara de sus políticas, sus objetivos, efectos y posibles excepciones.

Solución de problemas comunes

  • Recurso bloqueado incorrectamente:
    • Verifique los registros de actividad en Azure Monitor para ver qué política negó la operación. El error suele incluir el nombre de la política.
    • Revisar la definición y asignación de la política para garantizar que las condiciones y el alcance sean correctos.
    • Considere utilizar una exclusión para el recurso o grupo de recursos específico si el bloqueo es intencional.
  • No se detecta recurso no conforme:
    • Verifique que la política esté asignada al alcance correcto y que la aplicación esté "habilitada".
    • Asegúrese de que la definición de la política sea correcta y que las condiciones se evalúen como "verdaderas" para el recurso no conforme.
    • Los cambios de política pueden tardar hasta 30 minutos en propagarse y los informes de cumplimiento en actualizarse.
  • Las tareas de reparación fallan:
    • Verifique los registros de tareas de reparación para identificar el error.
    • Asegúrese de que la identidad administrada asignada al rol de política tenga los permisos necesarios para modificar los recursos.
    • La política DeployIfNotExists o Modify puede tener un error en el modelo de implementación o en la operación de modificación.
  • La política no se aplica a los recursos existentes:
    • Las políticas con efecto Denegar o Auditar evalúan los recursos nuevos y existentes. Las políticas con DeployIfNotExists y Modify requieren una tarea de corrección del colorarreglar los recursos existentes o solo actuar sobre nuevas creaciones/actualizaciones.
  • Conflictos de políticas: si se aplican varias políticas al mismo recurso, generalmente prevalece la política con el efecto más restrictivo (por ejemplo, "Denegar" sobre "Auditoría"). Revisar las asignaciones y el alcance.

Conclusión

Azure Policy es una herramienta fundamental para cualquier organización que busque establecer una gobernanza efectiva y garantizar el cumplimiento de sus recursos en la nube de Azure. Al permitir la automatización de la aplicación de reglas, desde el etiquetado de recursos hasta las configuraciones de seguridad críticas, Azure Policy ayuda a mantener el orden, reducir el riesgo y optimizar los costos en entornos complejos y en constante evolución. La capacidad de crear políticas personalizadas y agruparlas en iniciativas proporciona flexibilidad para cumplir con requisitos regulatorios y comerciales específicos. Con esta guía práctica, los profesionales de la seguridad y los administradores de TI estarán bien equipados para configurar, validar y administrar Azure Policy, construyendo una base sólida para una estrategia de gobernanza de la nube segura y compatible.

Referencias:

[1] Microsoft aprende. ¿Qué es Azure Policy?. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft aprende. Tutorial: Cree y administre políticas para hacer cumplir el cumplimiento. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft aprende. Permisos de Azure Policy en Azure RBAC. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft aprende. Marco de definición de Azure Policy. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft aprende. Marco de definición de la iniciativa Azure Policy. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft aprende. Tutorial: Crear una definición de política personalizada. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft aprende. Cómo corregir recursos que no cumplen con la política de Azure. Disponible en: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources