3. Назначение пользовательской политики

{ "режим": "Индексировано", "policyRule": { "если": { "все": [ { "поле": "тип", "equals": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "tags['Environment']", «существует»: «ложь» } ] }, "тогда": { "эффект": "Запретить" } } } ```

    * **Объяснение**: Эта политика проверяет, что ресурс является группой ресурсов (`Microsoft.Resources/subscriptions/resourceGroups`) и что тег `Environment` не существует (`exists: false`). Если оба условия верны, эффект «Запретить» предотвращает создание или обновление группы ресурсов.
  1. Нажмите Сохранить.

3. Назначение пользовательской политики

Теперь давайте назначим только что созданную политику определенной группе ресурсов.

  1. В левой навигационной панели службы политики в разделе «Создание» выберите Назначения.

  2. Нажмите «+ Назначить политику».

  3. Основы:

    • Область: нажмите три точки (...) и выберите подписку и группу ресурсов, к которой вы хотите применить политику (например, my-resource-group).
    • Определение политики. Нажмите на три точки («...») и найдите созданную вами политику («Требовать тег среды для групп ресурсов»). Выберите его.
    • Имя назначения: оно будет заполнено автоматически, но вы можете изменить его (например: Attribution-Tag-Environment-RG).
    • Описание: дайте описание.
    • Принудительное соблюдение политики: оставьте параметр «Включено».

  4. Нажмите «Далее».

  5. Параметры: для этой политики нет параметров, нажмите «Далее».

  6. Исправление. Для политик с такими эффектами, как «DeployIfNotExists» или «Modify», здесь следует настроить задачи исправления. Для «Запретить» это неприменимо. Нажмите «Далее».
  7. Сообщения о несоответствии. При необходимости можно настроить сообщение, которое пользователи увидят, когда попытаются создать несоответствующий ресурс. Нажмите «Далее».
  8. Просмотр + создание. Проверьте настройки и нажмите Создать.

4. Тестирование политики обязательного тегирования

  1. На портале Azure попробуйте создать новую группу ресурсов в пределах назначения («my-resource-group»).
  2. При заполнении сведений о группе ресурсов не добавляйте тег «Среда».

  3. Попробуйте создать группу ресурсов.

    • Ожидаемый результат: при создании группы ресурсов должно появиться сообщение об ошибке, указывающее, что политика «Требовать тег среды для групп ресурсов» отклонила операцию, поскольку тег «Среда» отсутствует.

  4. Теперь попробуйте создать новую группу ресурсов и добавить тег «Среда» со значением (например: «Среда: Разработка»).

    • Ожидаемый результат: создание группы ресурсов должно пройти успешно.

5. Создание инициативы (набора политик)

Давайте создадим инициативу по группировке общих политик безопасности, таких как требование использования HTTPS для учетных записей хранения и шифрования на дисках виртуальных машин.

  1. На левой панели навигации службы политики в разделе «Создание» выберите Инициативы.

  2. Нажмите «+Определение инициативы».

  3. Основы:

    • Место определения: выберите подписку или группу управления.
    • Название: «Базовая инициатива безопасности».
    • Описание: Набор основных политик безопасности для обеспечения базового соответствия.
    • Категория: выберите «Использовать существующие» и выберите «Безопасность».

  4. Нажмите «Далее».

  5. Политики: нажмите «+ Добавить определение политики».

    • Обратите внимание на внутренние политики, такие как «Учетные записи хранения должны использовать только HTTPS» и «Диски виртуальных машин должны быть зашифрованы».
    • Выберите их и нажмите «Добавить».

  6. Параметры инициативы: если добавленные политики имеют параметры, вы можете настроить их здесь. Нажмите «Далее».

  7. Просмотр + создание. Проверьте настройки и нажмите Создать.

6. Передача инициативы

Назначьте инициативу безопасности всей подписке, чтобы обеспечить применение всех политик в ней.

  1. В левой навигационной панели службы политики в разделе «Создание» выберите Назначения.

  2. Нажмите «+ Назначить инициативу».

  3. Основы:

    • Область: выберите всю подписку.
    • Инициатива: найдите «Базовая инициатива безопасности» и выберите его.
    • Название назначения: Сербудет заполнено автоматически.
    • Принудительное соблюдение политики: оставьте параметр «Включено».

  4. Нажмите «Далее».

  5. Параметры: настройте любые параметры, определенные в инициативе. Нажмите «Далее».

  6. Исправление. Для политик «Аудит» вы можете создать задачу исправления для исправления несоответствующих ресурсов. Для «Запретить» это неприменимо. Нажмите «Далее».
  7. Сообщения о несоответствии. При необходимости можно настроить сообщения. Нажмите «Далее».
  8. Просмотр + создание. Проверьте настройки и нажмите Создать.

7. Проверка соблюдения требований

После назначения Политике Azure требуется некоторое время, чтобы оценить существующие ресурсы и составить отчет о соответствии.

  1. На левой панели навигации службы политики в разделе «Авторизация» выберите Соответствие.

  2. Вы увидите информационную панель соответствия, показывающую общий статус соответствия вашей политики и назначений инициатив.

  3. Щелкните назначение, чтобы просмотреть подробные сведения, в том числе о том, какие ресурсы соответствуют требованиям, а какие нет. Вы можете фильтровать по «Статусу соответствия», чтобы видеть только несоответствующие ресурсы.

  4. Для ресурсов, которые не соответствуют политикам DeployIfNotExists или Modify, вы можете создать задачу исправления для автоматического исправления этих ресурсов.

    • На странице сведений о задании нажмите «Создать задачу исправления».
    • Выберите политику, которую хотите исправить, и нажмите «Исправить».

Советы и рекомендации по безопасности

  • Начните с «Аудита». При внедрении новых политик начните с эффекта «Аудита», чтобы понять влияние и выявить несоответствующие ресурсы, не блокируя операции. После проверки измените его на Deny или Modify/DeployIfNotExists.
  • Соответствующая область. Назначайте политики в максимально возможной области (группа управления или подписка) и при необходимости используйте исключения для более низких областей. Это обеспечивает широкий и последовательный охват.
  • Используйте инициативы. Сгруппируйте соответствующие политики в инициативы, чтобы упростить управление и обеспечить применение полного набора правил.
  • Соглашения об именах. Используйте четкие и последовательные соглашения об именах для определений политики, инициатив и назначений, чтобы упростить идентификацию и управление.
  • Контроль версий. Сохраняйте определения собственных политик в системе контроля версий (например, Git) для отслеживания изменений, совместной работы и упрощения автоматического развертывания.
  • Непрерывный мониторинг. Регулярно отслеживайте панель мониторинга соответствия политике Azure. Настройте оповещения о критических несоответствиях.
  • Интеграция с Azure DevOps/GitHub Actions: автоматизируйте развертывание политик с помощью конвейеров CI/CD, чтобы обеспечить согласованное и отслеживаемое применение политик.
  • Документация. Ведите четкую документацию о ваших политиках, их целях, последствиях и любых исключениях.

Распространенное устранение неполадок

  • Ресурс заблокирован неправильно:
    • Проверьте журналы активности в Azure Monitor, чтобы узнать, какая политика запретила операцию. Ошибка обычно включает имя политики.
    • Просмотрите определение и назначение политики, чтобы убедиться в правильности условий и области действия.
    • Рассмотрите возможность использования исключения для конкретного ресурса или группы ресурсов, если блокировка является преднамеренной.
  • Несоответствующий ресурс не обнаружен:
    • Убедитесь, что политике назначена правильная область и что принудительное применение включено.
    • Убедитесь, что определение политики правильное и что условия для несоответствующего ресурса оцениваются как «истина».
    • Для распространения изменений политики и обновления отчетов о соответствии может потребоваться до 30 минут.
  • Задачи по исправлению не выполняются:
    • Проверьте журналы задач по исправлению, чтобы определить ошибку.
    • Убедитесь, что управляемое удостоверение, назначенное роли политики, имеет необходимые разрешения для изменения ресурсов.
    • Политика DeployIfNotExists или Modify может содержать ошибку в модели развертывания или операции изменения.
  • Политика не распространяется на существующие ресурсы:
    • Политики с эффектом «Запретить» или «Аудит» оценивают существующие и новые ресурсы. Политики с DeployIfNotExists и Modify требуют задачи по исправлению цвета.исправьте существующие ресурсы или действуйте только над новыми созданиями/обновлениями.
  • Конфликты политик: если к одному и тому же ресурсу применяется несколько политик, обычно преобладает политика с наиболее ограничительным эффектом (например, «Запретить» вместо «Аудита»). Ознакомьтесь с заданиями и объемом.

Заключение

Политика Azure — это фундаментальный инструмент для любой организации, стремящейся обеспечить эффективное управление и обеспечить соответствие своих ресурсов в облаке Azure. Обеспечивая автоматизацию применения правил, от маркировки ресурсов до критически важных конфигураций безопасности, политика Azure помогает поддерживать порядок, снижать риски и оптимизировать затраты в сложных, постоянно развивающихся средах. Возможность создавать собственные политики и группировать их в инициативы обеспечивает гибкость для удовлетворения конкретных бизнес-требований и нормативных требований. Благодаря этому практическому руководству специалисты по безопасности и ИТ-администраторы будут хорошо подготовлены к настройке, проверке и управлению политикой Azure, создавая прочную основу для безопасной и совместимой стратегии управления облаком.

Ссылки:

[1] Microsoft Learn. Что такое политика Azure?. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/overview. [2] Microsoft Learn. Учебное пособие: Создание политик и управление ими для обеспечения соблюдения требований. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage. [3] Microsoft Learn. Разрешения Политики Azure в Azure RBAC. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Learn. Структура определения политики Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure. [5] Microsoft Learn. Структура определения инициативы политики Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure. [6] Microsoft Learn. Учебное пособие: Создание пользовательского определения политики. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Learn. Как исправить ресурсы, не соответствующие Политике Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources