何时使用 Azure Policy
如前所述,Azure Policy 是用于创建、分配和管理策略定义的一种服务。 通常,这些策略用于满足“符合性”、“控制”或“规模”需求。
这些策略定义用于实现对资源一致性、监管合规性、安全性、成本和管理的治理。 你可以为创建的任何资源指定配置要求,并执行以下操作之一:
- 标识不合规的资源。
- 阻止创建资源。
- 添加所需的配置。
可以使用 Azure Policy 的示例方案:
成本控制
- 限制可以创建的虚拟机的 SKU。
- 避免使用资源成本较高的 Azure 区域。
- 限制使用 Azure 市场中可能增加成本的解决方案。
安全性
- 强制执行与 Azure MySQL 数据库的安全套接字层 (SSL) 连接。
- 确保 Linux 计算机上的身份验证要求使用 SSH 密钥。
- 确保 Windows 计算机符合“Windows 防火墙属性”的要求。
监视
- 活动日志至少应保留一年。
- 应为列出的虚拟机映像启用 Log Analytics 代理。
- 特定安全操作应有活动日志警报。
备份
- 确保所有虚拟机都启用了 Azure 备份。
- 确保在 Azure Database for MySQL 或 PostgreSQL 上启用异地冗余备份。
- 确保在 Azure SQL 数据库上启用长期异地冗余备份。
治理
- 确保正确使用标记以及对资源强制使用标记。
- 审核等待重新启动的虚拟机。
- 管理组织的符合性要求。 指定 TLS/SSL 证书生存期操作是在生存期的特定百分比处触发,还是在其到期前的设定天数触发。
大规模操作
- 将 Azure Monitor 代理部署到你的所有虚拟机。
- 为虚拟机启用 Azure 备份。
- 确保对你的所有 Azure SQL 数据库实例都启用了审核。
- 确保安全连接 (HTTPS) 到存储帐户。
- 禁止通过入站远程桌面或 SSH 连接从 Internet 连接到你的虚拟机。
Azure Policy 实现的注意事项
以下是成功实施 Azure Policy 所需考虑的四个重要事项:
- 评估
- 测试
- 部署
- 检查
在评估中,你需大致了解你的环境状态。 然后,在通过策略对环境进行更改以执行操作之前,分配一个策略来审核你的环境。 可以使用菜单中的“概述”选项来获取此功能。
在创建将对环境进行更改的策略之前,请确保测试所有内容。
验证策略语法、要执行的操作和使用的范围(管理组、订阅和资源组)。 验证所有策略包含项、排除项和豁免项。
对于初始部署,请确保针对受控环境或专用订阅运行策略。 Azure Policy 分配不会立即生效。 存在策略评估延迟,大约为 30 分钟左右。 此外,审核资源可能需要一些时间,因为 Azure Policy 引擎需要根据分配范围内的策略规则评估所有资源。
最后,使用“合规性”检查策略分配的结果。