Správa dodržování předpisů virtuálních počítačů

Tento článek popisuje, jak spravovat dodržovánípředpisůch Pokud chcete minimalizovat riziko z imagí systému, použijte Azure VM Image Builder a Galerii výpočetních prostředků Azure.

Architektura

Řešení se skládá ze dvou procesů:

• Proces publikování zlatých obrázků
• Proces sledování dodržování předpisů virtuálních počítačů

Stáhněte si soubor aplikace Visio s touto architekturou.

Tok dat

Proces publikování zlaté image běží měsíčně a obsahuje tyto kroky:

1. Tento proces zachycuje základní image z Azure Marketplace.
2. Image Builder virtuálního počítače přizpůsobí image.
3. Proces tetování obrázků sleduje informace o verzi obrázku, jako je zdroj a datum publikování.
4. Automatizované testy ověřují image.
5. Pokud image selže, vrátí se do kroku přizpůsobení pro opravy.
6. Proces publikuje finalizovanou image.
7. Galerie výpočetních prostředků zpřístupní image týmům DevOps.

Stáhněte si soubor aplikace Visio s touto architekturou.

Proces sledování dodržování předpisů virtuálních počítačů obsahuje tyto kroky:

1. Azure Policy přiřazuje virtuálním počítačům definice zásad a vyhodnocuje dodržování předpisů.
2. Azure Policy publikuje data dodržování předpisů pro virtuální počítače a další prostředky Azure na řídicí panel Azure Policy.

Komponenty

• Image Builder virtuálního počítače je spravovaná služba pro přizpůsobení systémových imagí. Tato služba sestaví a distribuuje image, které týmy DevOps používají.

• Galerie výpočetních prostředků pomáhá strukturovat a organizovat vlastní image. Ukládáním imagí do úložišť poskytuje tato služba řízený přístup k imagím. Uživatelé můžou být v rámci vaší organizace i mimo ni.

• Azure Policy nabízí definice zásad. Tyto definice můžete použít k vynucování standardů vaší organizace a k posouzení dodržování předpisů ve velkém měřítku. Na řídicím panelu Azure Policy se zobrazují výsledky vyhodnocení azure Policy. Tato data vás informují o stavu dodržování předpisů vašich prostředků.

• Funkce konfigurace počítače Azure Automanage ve službě Azure Policy poskytuje způsob, jak dynamicky auditovat nebo přiřazovat konfigurace počítačů prostřednictvím kódu. Konfigurace obecně zahrnují nastavení prostředí nebo operačního systému.

Alternativy

• Ke správě dodržování předpisů můžete použít nástroj třetí strany. U tohoto typu nástroje ale obvykle potřebujete nainstalovat agenta na cílový virtuální počítač. Možná budete muset zaplatit licenční poplatek.

• Rozšíření vlastních skriptů můžete použít k instalaci softwaru na virtuální počítače nebo konfiguraci virtuálních počítačů po nasazení. Každý virtuální počítač nebo škálovací sada virtuálních počítačů ale může mít jenom jedno rozšíření vlastních skriptů. A pokud používáte rozšíření vlastních skriptů, zabráníte týmům DevOps v přizpůsobení jejich aplikací.

Podrobnosti scénáře

Každý podnik má vlastní předpisy a standardy dodržování předpisů. Pokud jde o zabezpečení, každá společnost má vlastní chuť k riziku. Standardy zabezpečení se můžou lišit od jedné organizace po druhou a od jedné oblasti k druhé.

Následující různé standardy mohou být v dynamicky škálovaných cloudových prostředích náročnější než v místních systémech. Pokud týmy používají postupy DevOps, obvykle existuje méně omezení, která můžou vytvářet prostředky Azure, jako jsou virtuální počítače. Tato skutečnost komplikuje problémy s dodržováním předpisů.

Pomocí Azure Policy a přiřazení řízení přístupu na základě role můžou podniky vynucovat standardy pro prostředky Azure. U virtuálních počítačů ale tyto mechanismy ovlivňují pouze řídicí rovinu nebo trasu k virtuálnímu počítači. Systémové image, které běží na virtuálním počítači, stále představují bezpečnostní hrozbu. Některé společnosti brání vývojářům v přístupu k virtuálním počítačům. Tento přístup snižuje flexibilitu, což ztěžuje dodržování postupů DevOps.

Tento článek představuje řešení pro správu dodržování předpisů virtuálních počítačů, které běží v Azure. Kromě sledování dodržování předpisů řešení také minimalizuje riziko ze systémových imagí, které běží na virtuálních počítačích. Řešení je současně kompatibilní s postupy DevOps. Mezi základní komponenty patří Azure VM Image Builder, Galerie výpočetních prostředků Azure a Azure Policy.

Potenciální případy použití

Toto řešení platí pro organizace s cílovými zónami Azure, které dokončí tyto úlohy:

• Poskytování zlatých obrázků týmům DevOps Zlatá image je publikovaná verze image marketplace.
• Testování a ověřování imagí před jejich zpřístupněním týmům DevOps
• Sledování obrázku, který každý tým DevOps používá
• Vynucování firemních standardů bez snížení produktivity
• Zajištění, aby týmy DevOps používaly nejnovější verze imagí.
• Správa dodržování předpisů serverů pro domácí zvířata, které jsou náročné na údržbu, a servery dobytek, které jsou snadno nahraditelné.

Přístup

Následující části obsahují podrobný popis přístupu řešení.

Identifikace domácích zvířat a skotu

Týmy DevOps používají analogii označovanou jako domácí zvířata a dobytek k definování modelů služeb. Pokud chcete sledovat dodržování předpisů virtuálního počítače, nejprve určete, jestli se jedná o server pro domácí zvířata nebo dobytek:

• Domácí zvířata vyžadují významnou pozornost. Není snadné ho rozdávat. Obnovení domácího mazlíčka vyžaduje značné množství času a finančních zdrojů. Například server, na kterém běží SAP, může být domácí mazlíček. Kromě softwaru, který běží na serveru, mohou další aspekty také určit model služby. Pokud máte nízkou odolnost proti chybám, mohou být produkční servery v systémech v reálném čase a téměř v reálném čase také domácími mazlíčky.

• Servery dobytek jsou součástí identické skupiny. Můžete je snadno nahradit. Například virtuální počítače, které běží ve škálovací sadě virtuálních počítačů, jsou dobytek. Pokud je v sadě dostatek virtuálních počítačů, váš systém bude dál spuštěný a nemusíte znát název jednotlivých virtuálních počítačů. Testování serverů prostředí, které splňují následující podmínky, poskytují další příklad dobytka:

  • K vytvoření serverů od začátku použijete automatizovaný postup.
  • Po dokončení testů vyřadíte servery z provozu.

Prostředí může obsahovat pouze servery pro domácí zvířata nebo může obsahovat pouze servery dobytka. Naproti tomu sada virtuálních počítačů v prostředí může být domácí zvířata. Jinou sadou virtuálních počítačů ve stejném prostředí může být dobytek.

Správa dodržování předpisů:

• Dodržování předpisů pro domácí mazlíčky může být náročnější než dodržování předpisů dobytka. Obvykle můžou sledovat a udržovat dodržování předpisů v prostředích a serverech pro domácí mazlíčky jenom týmy DevOps. Toto řešení ale zvyšuje viditelnost stavu každého domácího mazlíčka, což usnadňuje všem uživatelům v organizaci sledování dodržování předpisů.
• Pro dobytek prostředí aktualizujte virtuální počítače a pravidelně je znovu sestavujte od začátku. Tyto kroky by měly být přiměřené pro dodržování předpisů. Tento cyklus aktualizace můžete sladit s pravidelným tempem vydávání verzí vašeho týmu DevOps.

Omezení obrázků

Nepovolujte týmům DevOps používat image virtuálních počítačů Azure Marketplace. Povolte jenom image virtuálních počítačů, které galerie výpočetních prostředků publikuje. Toto omezení je důležité pro zajištění dodržování předpisů virtuálních počítačů. K vynucení tohoto omezení můžete použít vlastní zásady ve službě Azure Policy. Ukázku najdete v tématu Povolení vydavatelů obrázků.

V rámci tohoto řešení by nástroj Image Builder virtuálního počítače měl používat image Azure Marketplace. Je nezbytné použít nejnovější image, která je k dispozici na Azure Marketplace. Na tuto image použijte všechna vlastní nastavení. Image z Azure Marketplace se aktualizují často a každá image má určité přednastavené konfigurace, aby vaše image byly ve výchozím nastavení zabezpečené.

Přizpůsobení obrázků

Zlatá image je verze image z marketplace, která je publikovaná v Galerii výpočetních prostředků. Zlaté obrázky jsou dostupné pro využití týmy DevOps. Před publikováním image se provede přizpůsobení. Aktivity přizpůsobení jsou jedinečné pro jednotlivé podniky. Mezi běžné činnosti patří:

• Posílení operačního systému.
• Nasazení vlastních agentů pro software třetích stran
• Instalace kořenových certifikátů certifikační autority organizace

Image Builder virtuálního počítače můžete použít k přizpůsobení imagí úpravou nastavení operačního systému a spuštěním vlastních skriptů a příkazů. Image Builder virtuálního počítače podporuje image Windows a Linuxu. Další informace o přizpůsobeníich

Sledování tetování obrázků

Tetování obrázků je proces sledování všech informací o správě verzí imagí, které virtuální počítač používá. Tyto informace jsou při řešení potíží neocenitelné a můžou zahrnovat:

• Původní zdroj image, například název a verze vydavatele.
• Řetězec verze operačního systému, který potřebujete, pokud existuje místní upgrade.
• Verze vlastní image.
• Datum publikování.

Množství a typ informací, které sledujete, závisí na úrovni dodržování předpisů vaší organizace.

Pro tetování obrázků na virtuálních počítačích s Windows nastavte vlastní registr. Do této cesty registru přidejte všechny požadované informace jako páry klíč-hodnota. Na virtuálních počítačích s Linuxem zadejte data o tetování obrázků do proměnných prostředí nebo souboru. Umístěte soubor do /etc/ složky, kde není v konfliktu s prací nebo aplikacemi vývojáře. Pokud chcete použít Azure Policy ke sledování dat o tetování nebo sestavě, uložte každou část dat jako jedinečný pár klíč-hodnota. Informace o určení verze image Marketplace najdete v tématu Jak najít verzi image Marketplace.

Ověření zlatých obrázků pomocí automatizovaných testů

Obecně platí, že byste měli aktualizovat zlaté image měsíčně, abyste zůstali aktuální s nejnovějšími aktualizacemi a změnami imagí Na Webu Azure Marketplace. Pro tento účel použijte postup opakovaného testování. V rámci procesu vytváření image použijte kanál Azure nebo jiný automatizovaný pracovní postup pro testování. Nastavte kanál pro nasazení nového virtuálního počítače pro spouštění testů před začátkem každého měsíce. Testy by měly před publikováním pro spotřebu potvrdit parované obrázky. Automatizujte testy pomocí řešení automatizace testů nebo spouštěním příkazů nebo dávek na virtuálním počítači.

Mezi běžné testovací scénáře patří:

• Ověření doby spuštění virtuálního počítače
• Potvrzení veškerého přizpůsobení image, například nastavení konfigurace operačního systému nebo nasazení agenta

Neúspěšný test by měl proces přerušit. Po vyřešení původní příčiny problému opakujte test. Pokud testy běží bez problému, automatizace procesu testování snižuje úsilí, které jde do udržování evergreen stavu.

Publikování zlatých obrázků

Publikování konečných imagí v Galerii výpočetních prostředků jako spravované image nebo jako virtuální pevný disk (VHD), které můžou týmy DevOps používat. Označte všechny starší obrázky jako staré. Pokud jste nenastavili datum ukončení životnosti pro verzi image v Galerii výpočetních prostředků, můžete raději ukončit nejstarší image. Toto rozhodnutí závisí na zásadách vaší společnosti.

Informace o omezeních, která platí pro použití galerie výpočetních prostředků, najdete v tématu Ukládání a sdílení imagí v Galerii výpočetních prostředků Azure.

Dalším dobrým postupem je publikování nejnovějších imagí v různých oblastech. Pomocí Galerie výpočetních prostředků můžete spravovat životní cyklus a replikaci imagí napříč různými oblastmi Azure.

Další informace o výpočetní galerii najdete v tématu Ukládání a sdílení imagí v Galerii výpočetních prostředků Azure.

Aktualizace zlatých obrázků

Pokud se image používá pro aplikaci, může být obtížné aktualizovat základní image operačního systému s nedávnými změnami dodržování předpisů. Přísné obchodní požadavky můžou komplikovat proces aktualizace základního virtuálního počítače. Aktualizace je také složitá, když je virtuální počítač pro firmu důležitý.

Vzhledem k tomu, že servery pro dobytek jsou dávkovatelné, můžete s týmy DevOps koordinovat aktualizace těchto serverů v časovém období plánované údržby jako obvykle.

Aktualizace serverů pro domácí mazlíčky je náročnější. Ukončení image může ohrozit aplikace. Ve scénářích se škálováním na více instancí Azure nemůže najít příslušné image, což vede k selháním.

Při aktualizaci serverů pro domácí zvířata zvažte tyto pokyny:

• Osvědčené postupy najdete v tématu Přehled pilíře spolehlivosti v architektuře Azure Well-Architected Framework.

• Pokud chcete proces zjednodušit, podívejte se na principy, které tyto dokumenty probírají:

  • Model razítka nasazení
  • Model geode
  • Vzor přepážky

• Označte každý server domácích zvířat jako domácí mazlíček. Nakonfigurujte zásadu ve službě Azure Policy tak, aby tuto značku zohlednila během aktualizací.

Zlepšení přehledu

Obecně platí, že ke správě jakékoli aktivity dodržování předpisů v rovině řízení byste měli použít Azure Policy. Azure Policy můžete použít také pro:

• Sledování dodržování předpisů virtuálních počítačů
• Instalace agentů Azure
• Zaznamenávání diagnostických protokolů
• Zlepšení viditelnosti dodržování předpisů virtuálních počítačů

Pomocí funkce konfigurace počítače Azure Automanage ve službě Azure Policy můžete auditovat změny konfigurace, které provedete během přizpůsobení image. Pokud dojde k posunu, na řídicím panelu Azure Policy se zobrazí seznam ovlivněných virtuálních počítačů jako nevyhovující předpisům. Azure Policy může pomocí informací o tetování obrázků sledovat, kdy používáte zastaralé image nebo operační systémy.

Auditovat servery pet pro každou aplikaci Pomocí zásad Azure s efektem auditu můžete zlepšit viditelnost těchto serverů. Upravte proces auditu podle chuti k rizikům vaší společnosti a interních procesů řízení rizik.

Každý tým DevOps může sledovat úrovně dodržování předpisů svých aplikací na řídicím panelu Azure Policy a provádět příslušné opravné akce. Když tyto zásady přiřadíte skupině pro správu nebo předplatnému, zadejte popis přiřazení adresy URL, která vede k wikiwebu pro celou společnost. Můžete také použít krátkou adresu URL, například aka.ms/policy-21. Na wikiwebu uveďte kroky, které by týmy DevOps měly provést, aby jejich virtuální počítače dodržovaly předpisy.

Správci it rizik a bezpečnostní pracovníci můžou také pomocí řídicího panelu Azure Policy spravovat rizika společnosti podle chuti k rizikům společnosti.

Pomocí funkce konfigurace počítače Azure Automanage ve službě Azure Policy s možnostmi nápravy můžete použít opravné akce automaticky. Dotazování virtuálního počítače často nebo provádění změn na virtuálním počítači, který používáte pro aplikaci pro důležité obchodní informace, může snížit výkon. Pečlivě naplánujte nápravné akce pro produkční úlohy. Udělte týmu DevOps vlastnictví dodržování předpisů aplikací ve všech prostředích. Tento přístup je nezbytný pro pet servery a prostředí, což jsou obvykle dlouhodobé komponenty Azure.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

Můžete nakonfigurovat počet replik, které galerie výpočetních prostředků ukládá pro každou image. Vyšší počet replik minimalizuje riziko omezování při současném zřizování více virtuálních počítačů. Obecné pokyny ke škálování a konfiguraci odpovídajícího počtu replik najdete v tématu Škálování pro galerii výpočetních prostředků Azure.

Odolnost

Toto řešení používá spravované komponenty, které jsou na regionální úrovni automaticky odolné. Obecné pokyny k návrhu odolných řešení najdete v tématu Návrh odolných aplikací pro Azure.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Pokud nepoužíváte službu třetí strany, jako je Ansible nebo Terraform, tento přístup je téměř zdarma. Můžou platit náklady na úložiště a výchozí přenos dat. Mezi další potenciální poplatky patří tyto komponenty:

• Azure Policy a konfigurace počítače Azure Automanage jsou bezplatné pro prostředky Azure. Pokud vaše společnost používá hybridní přístup, za prostředky Azure Arc se účtují další poplatky.

• Během období verze Public Preview používá Image Builder virtuálního počítače jeden typ výpočetní instance s 1 vCPU a 3,5 GB paměti RAM. Můžou se účtovat poplatky za ukládání a přenos dat.

• Galerie výpočetních prostředků nemá žádné poplatky s výjimkou:

  • Náklady na ukládání replik.
  • Poplatky za odchozí přenos dat sítě pro replikaci imagí.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Yunus Emre Alpozen | Architekt programu

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Cílová zóna Azure
• Řízení a auditování prostředků pomocí Služby Azure Policy
• Azure VM Image Builder
• Azure Compute Gallery
• Azure Policy a řídicí panel zásad
• Konfigurace počítače Azure Automanage

Související prostředky

• DevTest a DevOps pro řešení IaaS
• DevSecOps v AKS
• Technická služba s podporou počítačů