3. Özel İlkeyi Atama

{ "mod": "Dizinlendi", "politika Kuralı": { "eğer": { "hepsi": [ { "alan": "tür", "eşittir": "Microsoft.Resources/subscriptions/resourceGroups" }, { "field": "etiketler['Ortam']", "var": "yanlış" } ] }, "sonra": { "efect": "Reddet" } } } ''''

    * **Açıklama**: Bu politika, kaynağın bir kaynak grubu olduğunu ("Microsoft.Resources/subscriptions/resourceGroups") ve "Environment" etiketinin mevcut olmadığını ("exists: false") kontrol eder. Her iki koşul da doğruysa "Reddet" efekti, kaynak grubunun oluşturulmasını veya güncelleştirilmesini engeller.
  1. Kaydet'i tıklayın.

3. Özel İlkeyi Atama

Şimdi yeni oluşturduğumuz politikayı belirli bir kaynak grubuna atayalım.

  1. Politika hizmetinin sol gezinme bölmesinde, "Oluşturma"nın altında Atamalar'ı seçin.

  2. '+ Politika Ata'yı tıklayın.

  3. Temel Bilgiler:

    • Kapsam: Üç noktayı (...) tıklayın ve politikayı uygulamak istediğiniz aboneliği ve kaynak grubunu seçin (ör. 'kaynak grubum').
    • Politika tanımı: Üç noktayı (...) tıklayın ve oluşturduğunuz politikayı arayın (Kaynak Gruplarında Ortam Etiketi Gerektir). Onu seçin.
    • Ödev adı: Otomatik olarak doldurulacaktır ancak bunu değiştirebilirsiniz (ör. Atıf-Etiket-Ortam-RG).
    • Açıklama: Bir açıklama girin.
    • Politika Uygulaması: 'Etkin'i koruyun.

  4. 'İleri'yi tıklayın.

  5. Parametreler: Bu politika için parametre yok, 'İleri'ye tıklayın.

  6. Düzeltme: "DeployIfNotExists" veya "Modify" gibi etkileri olan politikalar için düzeltme görevlerini burada yapılandırabilirsiniz. 'Reddet' için geçerli değildir. 'İleri'yi tıklayın.
  7. Uygun Olmayan Mesajlar: İsteğe bağlı olarak kullanıcıların uygun olmayan bir kaynak oluşturmaya çalıştıklarında görecekleri mesajı özelleştirin. 'İleri'yi tıklayın.
  8. İncele + oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

4. Zorunlu Etiketleme Politikasının Test Edilmesi

  1. Azure portalında, atama kapsamında ("kaynak grubum") yeni bir kaynak grubu oluşturmayı deneyin.
  2. Kaynak grubu ayrıntılarını doldururken Ortam etiketini eklemeyin.

  3. Kaynak grubunu oluşturmayı deneyin.

    • Beklenen Sonuç: Kaynak grubu oluşturma işlemi, "Kaynak Gruplarında Ortam Etiketi Gerektir" politikasının "Ortam" etiketi eksik olduğundan işlemi reddettiğini belirten bir hata mesajıyla başarısız olmalıdır.

  4. Şimdi yeni bir kaynak grubu oluşturmayı deneyin ve 'Environment' etiketini bir değerle (ör. 'Environment: Development') eklemeyi deneyin.

    • Beklenen Sonuç: Kaynak grubu oluşturma işlemi başarılı olmalıdır.

5. Bir Girişim Oluşturma (Politika Seti)

Depolama hesaplarında HTTPS'nin zorunlu kılınması ve VM disklerinde şifreleme gibi ortak güvenlik politikalarını gruplandırmak için bir girişim oluşturalım.

  1. Politika hizmetinin sol gezinme bölmesinde, 'Oluşturma'nın altında Girişimler'i seçin.

  2. '+Girişim Tanımı'na tıklayın.

  3. Temel Bilgiler:

    • Tanım konumu: Abonelik veya yönetim grubunu seçin.
    • Ad: 'Temel Güvenlik Girişimi'.
    • Açıklama: `Temel uyumluluk için temel güvenlik politikaları kümesi.'
    • Kategori: "Mevcut olanı kullan"ı seçin ve "Güvenlik"i seçin.

  4. 'İleri'yi tıklayın.

  5. Politikalar: "+ Politika tanımı ekle"yi tıklayın.

    • 'Depolama hesapları yalnızca HTTPS kullanmalı' ve 'Sanal makine diskleri şifrelenmelidir' gibi dahili politikaları arayın.
    • Bunları seçin ve 'Ekle'ye tıklayın.

  6. Girişim Parametreleri: Eklenen politikaların parametreleri varsa, bunları buradan yapılandırabilirsiniz. 'İleri'yi tıklayın.

  7. İncele + oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

6. Girişimi Atamak

İçindeki tüm ilkelerin uygulandığından emin olmak için güvenlik girişimini aboneliğin tamamına atayın.

  1. Politika hizmetinin sol gezinme bölmesinde, "Oluşturma"nın altında Atamalar'ı seçin.

  2. '+ İnisiyatif ata'ya tıklayın.

  3. Temel Bilgiler:

    • Kapsam: Aboneliğin tamamını seçin.
    • Girişim: 'Temel Güvenlik Girişimi'ni arayın ve seçin.
    • Atama adı: Serotomatik olarak doldurulacaktır.
    • Politika Uygulaması: 'Etkin'i koruyun.

  4. 'İleri'yi tıklayın.

  5. Parametreler: Girişimde tanımlanan tüm parametreleri yapılandırın. 'İleri'yi tıklayın.

  6. Düzeltme: 'Denetim' politikaları için, uyumlu olmayan kaynakları düzeltmek amacıyla bir iyileştirme görevi oluşturabilirsiniz. 'Reddet' için geçerli değildir. 'İleri'yi tıklayın.
  7. Uyumsuzluk mesajları: İsteğe bağlı olarak mesajları özelleştirin. 'İleri'yi tıklayın.
  8. İncele + oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

7. Uyumluluğun İncelenmesi

Atama sonrasında Azure İlkesinin mevcut kaynakları değerlendirmesi ve uyumluluğu raporlaması biraz zaman alır.

  1. Politika hizmetinin sol gezinme bölmesinde, 'Yazma'nın altında Uyumluluk'u seçin.

  2. Politikanızın ve girişim atamalarınızın genel uyumluluk durumunu gösteren bir uyumluluk kontrol paneli göreceksiniz.

  3. Hangi kaynakların uyumlu olduğu ve hangilerinin uyumlu olmadığı dahil ayrıntıları görmek için bir atamayı tıklayın. Yalnızca uyumlu olmayan kaynakları görmek için 'Uygunluk Durumu'na göre filtreleyebilirsiniz.

  4. "DeployIfNotExists" veya "Modify" politikalarına uymayan kaynaklar için, bu kaynakları otomatik olarak düzeltmek amacıyla bir düzeltme görevi oluşturabilirsiniz.

    • Atama ayrıntıları sayfasında 'İyileştirme görevi oluştur'u tıklayın.
    • Düzeltmek istediğiniz politikayı seçin ve 'Düzelt'i tıklayın.

Güvenlik İpuçları ve En İyi Uygulamalar

  • 'Denetim' ile başlayın: Yeni politikaları uygularken, etkiyi anlamak ve işlemleri engellemeden uyumlu olmayan kaynakları belirlemek için 'Denetim' etkisi ile başlayın. Doğruladıktan sonra bunu 'Reddet' veya 'Değiştir'/'DeployIfNotExists' olarak değiştirin.
  • Uygun Kapsam: Politikaları mümkün olan en yüksek kapsamda (yönetim grubu veya abonelik) atayın ve gerektiğinde daha düşük kapsamlar için hariç tutmaları kullanın. Bu, geniş ve tutarlı bir kapsama alanı sağlar.
  • Girişimleri Kullanın: Yönetimi basitleştirmek ve eksiksiz bir kurallar dizisinin uygulanmasını sağlamak için ilgili politikaları girişimler halinde gruplandırın.
  • Adlandırma Kuralları: Daha kolay tanımlama ve yönetim amacıyla politika tanımları, girişimler ve atamalar için açık ve tutarlı adlandırma kuralları kullanın.
  • Sürüm Kontrolü: Değişiklikleri izlemek, işbirliği yapmak ve otomatik dağıtımı kolaylaştırmak için özel politika tanımlarınızı bir sürüm kontrol sisteminde (ör. Git) saklayın.
  • Sürekli İzleme: Azure İlkesi uyumluluk kontrol panelini düzenli olarak izleyin. Kritik uygunsuzluklar için uyarıları yapılandırın.
  • Azure DevOps/GitHub Eylemleri ile entegrasyon: İlkelerin tutarlı ve izlenebilir bir şekilde uygulandığından emin olmak için CI/CD işlem hatlarını kullanarak ilke dağıtımını otomatikleştirin.
  • Belgeleme: Politikalarınızın, amaçlarının, etkilerinin ve istisnalarının açık bir şekilde belgelenmesini sağlayın.

Genel Sorun Giderme

  • Kaynak uygunsuz şekilde engellendi:
    • Hangi politikanın işlemi reddettiğini görmek için Azure Monitor'deki etkinlik günlüklerini kontrol edin. Hata genellikle politika adını içerir.
    • Koşulların ve kapsamın doğru olduğundan emin olmak için politika tanımını ve atamayı gözden geçirin.
    • Engelleme kasıtlıysa, belirli bir kaynak veya kaynak grubu için bir hariç tutma kullanmayı düşünün.
  • Uygun olmayan kaynak tespit edilmiyor:
    • İlkenin doğru kapsama atandığını ve uygulamanın "Etkin" olduğunu doğrulayın.
    • Politika tanımının doğru olduğundan ve uygun olmayan kaynak için koşulların "doğru" olarak değerlendirildiğinden emin olun.
    • Politika değişikliklerinin yayılması ve uyumluluk raporlarının güncellenmesi 30 dakika kadar sürebilir.
  • Düzeltme görevleri başarısız oluyor:
    • Hatayı tanımlamak için düzeltme görevi günlüklerini kontrol edin.
    • İlke rolüne atanan yönetilen kimliğin, kaynakları değiştirmek için gerekli izinlere sahip olduğundan emin olun.
    • 'DeployIfNotExists' veya 'Modify' politikasının dağıtım modelinde veya değişiklik işleminde bir hatası olabilir.
  • Politika mevcut kaynaklar için geçerli değildir:
    • 'Reddet' veya 'Denetim' etkisine sahip politikalar mevcut ve yeni kaynakları değerlendirir. "DeployIfNotExists" ve "Modify" içeren politikalar, renk için bir düzeltme görevi gerektirirmevcut kaynakları düzeltin veya yalnızca yeni yaratımlar/güncellemeler üzerinde harekete geçin.
  • Politika çakışmaları: Aynı kaynağa birden fazla politika uygulanıyorsa genellikle en kısıtlayıcı etkiye sahip olan politika geçerli olur (ör. "Denetim" yerine "Reddet"). Ödevleri ve kapsamı gözden geçirin.

Sonuç

Azure İlkesi, etkili yönetim oluşturmak ve Azure bulutundaki kaynaklarının uyumluluğunu sağlamak isteyen her kuruluş için temel bir araçtır. Azure İlkesi, kaynak etiketlemeden kritik güvenlik yapılandırmalarına kadar kural uygulamasının otomasyonunu sağlayarak karmaşık, sürekli gelişen ortamlarda düzenin korunmasına, riskin azaltılmasına ve maliyetlerin optimize edilmesine yardımcı olur. Özel politikalar oluşturma ve bunları girişimler halinde gruplandırma yeteneği, belirli iş ve mevzuat gerekliliklerini karşılama esnekliği sağlar. Bu pratik kılavuzla güvenlik uzmanları ve BT yöneticileri, Azure İlkesini yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak ve güvenli ve uyumlu bir bulut yönetişim stratejisi için sağlam bir temel oluşturacak.

Referanslar:

[1] Microsoft Learn. Azure Politikası nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft Learn. Eğitim: Uyumluluğu zorunlu kılmak için politikalar oluşturun ve yönetin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft Learn. Azure RBAC'deki Azure İlkesi izinleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Learn. Azure İlkesi tanım çerçevesi. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft Learn. Azure İlkesi girişimi tanım çerçevesi. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft Learn. Eğitim: Özel bir politika tanımı oluşturun. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Learn. Azure İlkesi ile uyumlu olmayan kaynaklar nasıl düzeltilir. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources