Implementando_o_Azure_Policy_para_Governanca_e_Conformidade_de_Recursos

{ "mode": "Indexé", "politiqueRègle": { "si": { "toutDe": [ { "field": "type", "equals": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "tags['Environnement']", "existe": "faux" } ] }, "alors": { "effect": "Refuser" } } } ```

    * **Explication** : Cette stratégie vérifie que la ressource est un groupe de ressources (`Microsoft.Resources/subscriptions/resourceGroups`) et que la balise `Environment` n'existe pas (`exists : false`). Si les deux conditions sont vraies, l'effet « Refuser » empêche la création ou la mise à jour du groupe de ressources.
  1. Cliquez sur Enregistrer.

3. Attribution de la stratégie personnalisée

Maintenant, attribuons la stratégie que nous venons de créer à un groupe de ressources spécifique.

  1. Dans le volet de navigation de gauche du service de stratégie, sous « Création », sélectionnez Assignments.

  2. Cliquez sur « + Attribuer une stratégie ».

  3. Bases :

    • Portée : cliquez sur les trois points (...) et sélectionnez l'abonnement et le groupe de ressources auxquels vous souhaitez appliquer la stratégie (par exemple, « mon-groupe-de-ressources »).
    • Définition de la politique : cliquez sur les trois points (...) et recherchez la politique que vous avez créée (« Exiger une balise d'environnement sur les groupes de ressources »). Sélectionnez-le.
    • Nom de l'attribution : Il sera renseigné automatiquement, mais vous pouvez le modifier (ex : Attribution-Tag-Environment-RG).
    • Description : fournissez une description.
    • Application de la politique : gardez « Activé ».

  4. Cliquez sur « Suivant ».

  5. Paramètres : Il n'y a aucun paramètre pour cette stratégie, cliquez sur « Suivant ».

  6. Remédiation : pour les stratégies avec des effets tels que « DeployIfNotExists » ou « Modify », vous devez configurer les tâches de correction ici. Pour « Deny », cela ne s'applique pas. Cliquez sur « Suivant ».
  7. Messages non conformes : personnalisez éventuellement le message que les utilisateurs voient lorsqu'ils tentent de créer une ressource non conforme. Cliquez sur « Suivant ».
  8. Vérifier + créer : Vérifiez les paramètres et cliquez sur Créer.

4. Test de la politique de marquage obligatoire

  1. Dans le portail Azure, essayez de créer un nouveau groupe de ressources dans le cadre de l'affectation (« mon-groupe-de-ressources »).
  2. Lorsque vous remplissez les détails du groupe de ressources, n'ajoutez pas la balise Environnement.

  3. Essayez de créer le groupe de ressources.

    • Résultat attendu : la création d'un groupe de ressources doit échouer avec un message d'erreur indiquant que la stratégie « Exiger la balise d'environnement sur les groupes de ressources » a refusé l'opération car la balise « Environnement » est manquante.

  4. Maintenant, essayez de créer un nouveau groupe de ressources et ajoutez la balise Environnement avec une valeur (ex : Environnement : Développement).

    • Résultat attendu : la création du groupe de ressources devrait réussir.

5. Créer une initiative (ensemble de politiques)

Créons une initiative pour regrouper les politiques de sécurité communes, telles que l'exigence de HTTPS sur les comptes de stockage et le chiffrement sur les disques des machines virtuelles.

  1. Dans le volet de navigation de gauche du service Policy, sous « Création », sélectionnez Initiatives.

  2. Cliquez sur « +Définition de l'initiative ».

  3. Bases :

    • Emplacement de définition : sélectionnez l'abonnement ou le groupe de gestion.
    • Nom : Initiative de sécurité de base.
    • Description : Ensemble de politiques de sécurité essentielles pour une conformité de base.
    • Catégorie : Sélectionnez « Utiliser l'existant » et choisissez « Sécurité ».

  4. Cliquez sur « Suivant ».

  5. Politiques : cliquez sur « + Ajouter une définition de politique ».

    • Recherchez les politiques internes telles que « Les comptes de stockage doivent utiliser HTTPS uniquement » et « Les disques des machines virtuelles doivent être chiffrés ».
    • Sélectionnez-les et cliquez sur « Ajouter ».

  6. Paramètres d'initiative : si les stratégies ajoutées ont des paramètres, vous pouvez les configurer ici. Cliquez sur « Suivant ».

  7. Vérifier + créer : Vérifiez les paramètres et cliquez sur Créer.

6. Attribution de l'initiative

Attribuez l’initiative de sécurité à un abonnement entier pour garantir que toutes les stratégies qu’il contient sont appliquées.

  1. Dans le volet de navigation de gauche du service de stratégie, sous « Création », sélectionnez Assignments.

  2. Cliquez sur « + Attribuer l'initiative ».

  3. Bases :

    • Portée : sélectionnez l'intégralité de l'abonnement.
    • Initiative : recherchez « Initiative de sécurité de base » et sélectionnez-la.
    • Nom de l'affectation : Sersera rempli automatiquement.
    • Application de la politique : gardez « Activé ».

  4. Cliquez sur « Suivant ».

  5. Paramètres : configurez tous les paramètres définis dans l'initiative. Cliquez sur « Suivant ».

  6. Remédiation : pour les stratégies « Audit », vous pouvez créer une tâche de correction pour corriger les ressources non conformes. Pour « Deny », cela ne s'applique pas. Cliquez sur « Suivant ».
  7. Messages de non-conformité : personnalisez éventuellement les messages. Cliquez sur « Suivant ».
  8. Vérifier + créer : Vérifiez les paramètres et cliquez sur Créer.

7. Vérification de la conformité

Après l’affectation, Azure Policy prend un certain temps pour évaluer les ressources existantes et signaler la conformité.

  1. Dans le volet de navigation de gauche du service de stratégie, sous « Création », sélectionnez Conformité.

  2. Vous verrez un tableau de bord de conformité affichant l'état de conformité global de vos affectations de politique et d'initiative.

  3. Cliquez sur une affectation pour afficher les détails, notamment les ressources qui sont conformes et celles qui ne le sont pas. Vous pouvez filtrer par « Statut de conformité » pour voir uniquement les ressources non conformes.

  4. Pour les ressources qui ne sont pas conformes aux politiques « DeployIfNotExists » ou « Modifier », vous pouvez créer une tâche de correction pour réparer automatiquement ces ressources.

    • Sur la page des détails de l'affectation, cliquez sur « Créer une tâche de correction ».
    • Sélectionnez la stratégie que vous souhaitez corriger et cliquez sur « Corriger ».

Conseils de sécurité et bonnes pratiques

  • Commencez par « Audit » : lors de la mise en œuvre de nouvelles politiques, commencez par l'effet « Audit » pour comprendre l'impact et identifier les ressources non conformes sans bloquer les opérations. Après validation, remplacez-le par Deny ou Modify/DeployIfNotExists.
  • Portée appropriée : attribuez des stratégies à la portée la plus élevée possible (groupe d'administration ou abonnement) et utilisez des exclusions pour les portées inférieures si nécessaire. Cela garantit une couverture large et cohérente.
  • Utiliser des initiatives : regroupez les politiques associées en initiatives pour simplifier la gestion et garantir l'application d'un ensemble complet de règles.
  • Conventions de dénomination : utilisez des conventions de dénomination claires et cohérentes pour les définitions de politiques, les initiatives et les affectations afin de faciliter l'identification et la gestion.
  • Contrôle de version : stockez vos définitions de stratégie personnalisées dans un système de contrôle de version (par exemple Git) pour suivre les modifications, collaborer et faciliter le déploiement automatisé.
  • Surveillance continue : surveillez régulièrement le tableau de bord de conformité Azure Policy. Configurez des alertes pour les non-conformités critiques.
  • Intégration avec Azure DevOps/GitHub Actions : automatisez le déploiement des politiques à l'aide de pipelines CI/CD pour garantir que les politiques sont appliquées de manière cohérente et traçable.
  • Documentation : Conservez une documentation claire de vos politiques, de leurs objectifs, de leurs effets et de toutes exceptions.

Dépannage courant

  • Ressource incorrectement bloquée :
    • Vérifiez les journaux d'activité dans Azure Monitor pour voir quelle stratégie a refusé l'opération. L'erreur inclut généralement le nom de la stratégie.
    • Examinez la définition et l'affectation de la politique pour vous assurer que les conditions et la portée sont correctes.
    • Envisagez d'utiliser une exclusion pour la ressource ou le groupe de ressources spécifique si le blocage est intentionnel.
  • La ressource non conforme n'est pas détectée :
    • Vérifiez que la stratégie est affectée à la portée correcte et que l'application est « Activée ».
    • Assurez-vous que la définition de la politique est correcte et que les conditions sont évaluées comme « vraies » pour la ressource non conforme.
    • La propagation des modifications de politique et la mise à jour des rapports de conformité peuvent prendre jusqu'à 30 minutes.
  • Les tâches de correction échouent :
    • Vérifiez les journaux des tâches de correction pour identifier l'erreur.
    • Assurez-vous que l'identité managée affectée au rôle de stratégie dispose des autorisations nécessaires pour modifier les ressources.
    • La politique DeployIfNotExists ou Modify peut avoir une erreur dans le modèle de déploiement ou l'opération de modification.
  • La politique ne s'applique pas aux ressources existantes :
    • Les politiques avec effet « Refuser » ou « Audit » évaluent les ressources existantes et nouvelles. Les stratégies avec « DeployIfNotExists » et « Modify » nécessitent une tâche de correction pour la couleurréparer les ressources existantes ou agir uniquement sur les nouvelles créations/mises à jour.
  • Conflits de politiques : si plusieurs politiques s'appliquent à la même ressource, la politique ayant l'effet le plus restrictif prévaut généralement (par exemple, « Refuser » sur « Audit »). Examiner les missions et la portée.

Conclusion

Azure Policy est un outil fondamental pour toute organisation cherchant à établir une gouvernance efficace et à garantir la conformité de ses ressources dans le cloud Azure. En permettant l'automatisation de l'application des règles, du balisage des ressources aux configurations de sécurité critiques, Azure Policy aide à maintenir l'ordre, à réduire les risques et à optimiser les coûts dans des environnements complexes et en constante évolution. La possibilité de créer des politiques personnalisées et de les regrouper en initiatives offre la flexibilité nécessaire pour répondre aux exigences commerciales et réglementaires spécifiques. Grâce à ce guide pratique, les professionnels de la sécurité et les administrateurs informatiques seront bien équipés pour configurer, valider et gérer Azure Policy, établissant ainsi une base solide pour une stratégie de gouvernance cloud sécurisée et conforme.

Références :

[1] Microsoft Apprendre. Qu'est-ce qu'Azure Policy ?. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft Apprendre. Tutoriel : Créer et gérer des politiques pour assurer la conformité. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft Apprendre. Autorisations Azure Policy dans Azure RBAC. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Apprendre. Cadre de définition de la politique Azure. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft Apprendre. Cadre de définition de l'initiative Azure Policy. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft Apprendre. Tutoriel : Créer une définition de stratégie personnalisée. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Apprendre. Comment corriger les ressources non conformes à la politique Azure. Disponible sur : https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources