3. Assegnazione della policy personalizzata

{ "mode": "Indicizzato", "regolapolitica": { "se": { "tuttiOf": [ { "campo": "tipo", "equals": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "tags['Ambiente']", "esiste": "falso" } ] }, "allora": { "effetto": "Nega" } } } ```

    * **Spiegazione**: questa policy verifica che la risorsa sia un gruppo di risorse (`Microsoft.Resources/subscriptions/resourceGroups`) e che il tag `Environment` non esista (`exists: false`). Se entrambe le condizioni sono vere, l'effetto "Deny" impedisce la creazione o l'aggiornamento del gruppo di risorse.
  1. Fare clic su Salva.

3. Assegnazione della policy personalizzata

Ora assegniamo la policy appena creata a un gruppo di risorse specifico.

  1. Nel riquadro di navigazione sinistro del servizio Policy, in "Creazione", seleziona Assegnazioni.

  2. Fare clic su "+ Assegna policy".

  3. Nozioni di base:

    • Ambito: fai clic sui tre punti (...) e seleziona la sottoscrizione e il gruppo di risorse a cui desideri applicare la policy (ad esempio my-resource-group).
    • Definizione della policy: fai clic sui tre punti (...) e cerca la policy che hai creato ("Richiedi tag di ambiente sui gruppi di risorse"). Selezionalo.
    • Nome compito: verrà compilato automaticamente, ma puoi modificarlo (es: Attribution-Tag-Environment-RG).
    • Descrizione: fornire una descrizione.
    • Applicazione delle policy: Mantieni Abilitato.

  4. Fare clic su "Avanti".

  5. Parametri: non sono presenti parametri per questa policy, fare clic su "Avanti".

  6. Riparazione: per le policy con effetti come "DeployIfNotExists" o "Modifica", configurare qui le attività di riparazione. Per "Nega" non è applicabile. Fare clic su "Avanti".
  7. Messaggi non conformi: facoltativamente, personalizza il messaggio che gli utenti vedono quando tentano di creare una risorsa non conforme. Fare clic su "Avanti".
  8. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

4. Testare la politica di tagging obbligatoria

  1. Nel portale di Azure, prova a creare un nuovo gruppo di risorse nell'ambito dell'assegnazione (my-resource-group).
  2. Quando inserisci i dettagli del gruppo di risorse, non aggiungere il tag "Ambiente".

  3. Prova a creare il gruppo di risorse.

    • Risultato previsto: la creazione del gruppo di risorse dovrebbe fallire con un messaggio di errore che indica che la policy "Richiedi tag di ambiente sui gruppi di risorse" ha negato l'operazione perché manca il tag "Ambiente".

  4. Ora prova a creare un nuovo gruppo di risorse e aggiungi il tag "Ambiente" con un valore (ad esempio: "Ambiente: Sviluppo").

    • Risultato previsto: la creazione del gruppo di risorse dovrebbe avere esito positivo.

5. Creazione di un'iniziativa (insieme di politiche)

Creiamo un'iniziativa per raggruppare policy di sicurezza comuni, ad esempio la richiesta di HTTPS sugli account di archiviazione e la crittografia sui dischi delle macchine virtuali.

  1. Nel riquadro di navigazione sinistro del servizio Policy, in "Creazione", seleziona Iniziative.

  2. Fare clic su "+Definizione iniziativa".

  3. Nozioni di base:

    • Posizione definizione: seleziona l'abbonamento o il gruppo di gestione.
    • Nome: "Iniziativa di sicurezza di base".
    • Descrizione: Set di politiche di sicurezza essenziali per la conformità di base.
    • Categoria: seleziona "Utilizza esistente" e scegli "Sicurezza".

  4. Fare clic su "Avanti".

  5. Politiche: fare clic su "+ Aggiungi definizione di politica".

    • Cerca policy interne come "Gli account di archiviazione devono utilizzare solo HTTPS" e "I dischi delle macchine virtuali devono essere crittografati".
    • Selezionali e fai clic su "Aggiungi".

  6. Parametri di iniziativa: se i criteri aggiunti dispongono di parametri, è possibile configurarli qui. Fare clic su "Avanti".

  7. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

6. Assegnazione dell'iniziativa

Assegna l'iniziativa di sicurezza a un intero abbonamento per garantire che tutte le policy al suo interno vengano applicate.

  1. Nel riquadro di navigazione sinistro del servizio Policy, in "Creazione", seleziona Assegnazioni.

  2. Fare clic su "+ Assegna iniziativa".

  3. Nozioni di base:

    • Ambito: seleziona l'intero abbonamento.
    • Iniziativa: cerca "Iniziativa di sicurezza di base" e selezionala.
    • Nome incarico: Serverrà compilato automaticamente.
    • Applicazione delle policy: Mantieni Abilitato.

  4. Fare clic su "Avanti".

  5. Parametri: Configurare eventuali parametri definiti nell'iniziativa. Fare clic su "Avanti".

  6. Riparazione: per le politiche di "controllo", è possibile creare un'attività di riparazione per correggere le risorse non conformi. Per "Nega" non è applicabile. Fare clic su "Avanti".
  7. Messaggi di non conformità: facoltativamente, personalizzare i messaggi. Fare clic su "Avanti".
  8. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

7. Revisione della conformità

Dopo l'assegnazione, i criteri di Azure impiegano del tempo per valutare le risorse esistenti e segnalare la conformità.

  1. Nel riquadro di navigazione sinistro del servizio Policy, in "Creazione", seleziona Conformità.

  2. Verrà visualizzato un dashboard di conformità che mostra lo stato di conformità generale delle assegnazioni di policy e iniziative.

  3. Fare clic su un compito per visualizzare i dettagli, tra cui quali risorse sono conformi e quali no. Puoi filtrare per "Stato di conformità" per visualizzare solo le risorse non conformi.

  4. Per le risorse che non sono conformi alle policy "DeployIfNotExists" o "Modify", puoi creare un'attività di riparazione per correggere automaticamente queste risorse.

    • Nella pagina dei dettagli dell'assegnazione, fai clic su "Crea attività di riparazione".
    • Seleziona la policy che desideri correggere e fai clic su "Rimedia".

Suggerimenti e best practice per la sicurezza

  • Inizia con "Audit": quando implementi nuove policy, inizia con l'effetto "Audit" per comprendere l'impatto e identificare le risorse non conformi senza bloccare le operazioni. Dopo la convalida, modificalo in "Deny" o "Modify"/"DeployIfNotExists".
  • Ambito appropriato: assegna le policy all'ambito più elevato possibile (gruppo di gestione o sottoscrizione) e utilizza le esclusioni per gli ambiti inferiori quando necessario. Ciò garantisce una copertura ampia e coerente.
  • Utilizzare iniziative: raggruppare le politiche correlate in iniziative per semplificare la gestione e garantire l'applicazione di un insieme completo di regole.
  • Convenzioni di denominazione: utilizza convenzioni di denominazione chiare e coerenti per definizioni di policy, iniziative e assegnazioni per una più semplice identificazione e gestione.
  • Controllo della versione: archivia le definizioni delle policy personalizzate in un sistema di controllo della versione (ad esempio Git) per tenere traccia delle modifiche, collaborare e facilitare la distribuzione automatizzata.
  • Monitoraggio continuo: monitora regolarmente il dashboard di conformità dei criteri di Azure. Configura avvisi per non conformità critiche.
  • Integrazione con Azure DevOps/GitHub Actions: automatizza la distribuzione delle policy utilizzando pipeline CI/CD per garantire che le policy vengano applicate in modo coerente e tracciabile.
  • Documentazione: mantieni una documentazione chiara delle tue politiche, dei loro obiettivi, effetti ed eventuali eccezioni.

Risoluzione dei problemi comuni

  • Risorsa bloccata erroneamente:
    • Controllare i log delle attività in Monitoraggio di Azure per vedere quali criteri hanno negato l'operazione. L'errore in genere include il nome della policy.
    • Rivedere la definizione e l'assegnazione della politica per garantire che le condizioni e l'ambito siano corretti.
    • Considera l'utilizzo di un'esclusione per la risorsa o il gruppo di risorse specifico se il blocco è intenzionale.
  • La risorsa non conforme non viene rilevata:
    • Verifica che la policy sia assegnata all'ambito corretto e che l'applicazione sia "Abilitata".
    • Assicurarsi che la definizione della politica sia corretta e che le condizioni siano valutate come "vere" per la risorsa non conforme.
    • Potrebbero essere necessari fino a 30 minuti per la propagazione delle modifiche alle policy e l'aggiornamento dei report di conformità.
  • Le attività di correzione non riescono:
    • Controllare i registri delle attività di riparazione per identificare l'errore.
    • Assicurarsi che l'identità gestita assegnata al ruolo della policy disponga delle autorizzazioni necessarie per modificare le risorse.
    • La policy "DeployIfNotExists" o "Modify" potrebbe contenere un errore nel modello di distribuzione o nell'operazione di modifica.
  • La politica non si applica alle risorse esistenti:
    • Le policy con effetto "Deny" o "Audit" valutano le risorse nuove ed esistenti. Le policy con "DeployIfNotExists" e "Modify" richiedono un'attività di riparazione per il colorecorreggere le risorse esistenti o agire solo su nuove creazioni/aggiornamenti.
  • Conflitti di policy: se più policy si applicano alla stessa risorsa, solitamente prevale la policy con l'effetto più restrittivo (ad esempio "Deny" su "Audit"). Esaminare le assegnazioni e l'ambito.

Conclusione

Criteri di Azure è uno strumento fondamentale per qualsiasi organizzazione che desideri stabilire una governance efficace e garantire la conformità delle proprie risorse nel cloud di Azure. Abilitando l'automazione dell'applicazione delle regole, dal tagging delle risorse alle configurazioni critiche di sicurezza, i criteri di Azure aiutano a mantenere l'ordine, ridurre i rischi e ottimizzare i costi in ambienti complessi e in continua evoluzione. La possibilità di creare policy personalizzate e raggrupparle in iniziative offre la flessibilità necessaria per soddisfare specifici requisiti aziendali e normativi. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire i criteri di Azure, costruendo una solida base per una strategia di governance del cloud sicura e conforme.

Riferimenti:

[1]Microsoft Learn. Che cos'è Criteri di Azure?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2]Microsoft Learn. Tutorial: creazione e gestione di policy per garantire la conformità. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3]Microsoft Learn. Autorizzazioni di criteri di Azure in RBAC di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4]Microsoft Learn. Framework di definizione dei criteri di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5]Microsoft Learn. Framework di definizione dell'iniziativa dei criteri di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6]Microsoft Learn. Tutorial: creazione di una definizione di policy personalizzata. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7]Microsoft Learn. Come correggere le risorse non conformi ai criteri di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources