Einsatzmöglichkeiten von Azure Policy

  • 1 Minute

Wie bereits erwähnt, ist Azure Policy ein Dienst, mit dem Sie Richtliniendefinitionen erstellen, zuweisen und verwalten können. Im Allgemeinen dienen die Richtlinien der Einhaltung von Compliance-, Steuerungs- oder Skalierungsanforderungen.

Diese Richtliniendefinitionen werden verwendet, um Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung zu implementieren. Sie können Konfigurationsanforderungen für alle erstellten Ressourcen angeben und eine der folgenden Aktionen ausführen:

  • Identifizieren von Ressourcen, die nicht konform sind
  • Blockieren der Erstellung von Ressourcen
  • Hinzufügen der erforderlichen Konfiguration

Beispielszenarios, in denen Sie Azure Policy verwenden können:

  • Kostenkontrolle

    • Beschränken Sie die SKUs virtueller Computer, die erstellt werden können.
    • Vermeiden Sie die Verwendung von Azure-Regionen, in denen die Kosten für eine Ressource höher ausfallen.
    • Beschränken Sie die Nutzung von Lösungen aus Azure Marketplace, die Ihre Kosten erhöhen können.

  • Security

    • Erzwingen Sie SSL-Verbindungen (Secure Sockets Layer) mit der Azure MySQL-Datenbank.
    • Stellen Sie sicher, dass für die Authentifizierung auf Linux-Computern SSH-Schlüssel erforderlich sind.
    • Stellen SIe sicher, dass Windows-Computer die Anforderungen für Windows-Firewalleigenschaften erfüllen.

  • Überwachung

    • Aktivitätsprotokolle sollten mindestens ein Jahr lang aufbewahrt werden.
    • Der Log Analytics-Agent muss für aufgelistete VM-Images aktiviert sein.
    • Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen.

  • Backup

    • Stellen Sie sicher, dass für alle VMs Azure Backup aktiviert ist.
    • Stellen Sie sicher, dass die georedundante Sicherung für Azure Database for MySQL oder PostgreSQL aktiviert ist.
    • Stellen Sie sicher, dass die langfristige georedundante Sicherung für Azure SQL-Datenbank aktiviert ist.

  • Governance

    • Stellen Sie sicher, dass die Kennzeichnungsverwendung und die Tagerzwingung für Ressourcen ordnungsgemäß ausgeführt werden.
    • Überwachen Sie virtuelle Computer mit einem ausstehenden Neustart.
    • Verwalten Sie Ihre Anforderungen an die Organisationscompliance. Geben Sie an, ob eine TLS/SSL-Zertifikatlebensdauer-Aktion zu einem bestimmten Prozentsatz der Lebensdauer oder zu einer festgelegten Anzahl von Tagen vor dem Ablauf ausgelöst wird.

  • Aktionen nach Maß

    • Stellen Sie den Azure Monitor-Agent auf allen virtuellen Computern bereit.
    • Aktivieren Sie Azure Backup für virtuelle Computer.
    • Stellen Sie sicher, dass die Überwachung für alle Azure SQL-Datenbankinstanzen aktiviert ist.
    • Stellen Sie sicher, dass die Verbindungen (HTTPS) mit Speicherkonten sicher sind.
    • Verhindern Sie auf Ihren virtuellen Computern eingehende Remotedesktop- oder SSH-Verbindungen aus dem Internet.

Überlegungen zur Azure Policy-Implementierung

Hier sind vier wichtige Überlegungen für eine erfolgreiche Implementierung von Azure Policy:

  • Bewertung
  • Test
  • Bereitstellen
  • Azure Functions

In der Bewertung erhalten Sie eine Übersicht über den Status Ihrer Umgebung. Weisen Sie dann eine Richtlinie zu, nur um Ihre Umgebung zu überwachen, bevor Sie Änderungen in Ihrer Umgebung über Richtlinien vornehmen, um Aktionen durchzuführen. Sie können die Option „Übersicht“ im Menü verwenden, um diese Funktionalität zu erhalten.

Bevor Sie Richtlinien erstellen, die Änderungen in Ihrer Umgebung vornehmen, stellen Sie sicher, dass Sie alles testen.

Überprüfen Sie Ihre Richtliniensyntax, die durchzuführenden Aktionen und den verwendeten Bereich (Verwaltungsgruppen, Abonnements und Ressourcengruppen). Überprüfen Sie alle Richtlinieneinschlüsse, -ausschlüsse und -ausnahmen.

Stellen Sie für die anfängliche Bereitstellung sicher, dass Sie Ihre Richtlinie für eine kontrollierte Umgebung oder ein dediziertes Abonnement ausführen. Azure Policy-Zuweisungen werden nicht sofort wirksam. Es gibt eine Verzögerung bei der Richtlinienauswertung, die ungefähr 30 Minuten beträgt. Außerdem kann die Überwachung Ihrer Ressourcen einige Zeit in Anspruch nehmen, da die Azure Policy-Engine alle Ressourcen anhand von Richtlinienregeln innerhalb des zugewiesenen Bereichs auswerten muss.

Verwenden Sie abschließend Compliance, um die Ergebnisse Ihrer Richtlinienzuweisungen zu überprüfen.

Bildschirm mit der Azure Policy-Compliance.