La gouvernance avec Azure Policy


Cloud, Sécurité / jeudi, mars 22nd, 2018
Temps de lecteur estimé: 4 minutes

Une bonne gouvernance informatique implique la planification de vos initiatives et la définition de priorités à un niveau stratégique. Azure Policy est un service dans Azure, que vous utilisez pour créer, affecter et gérer des définitions de stratégie. Les définitions de stratégie appliquent différentes règles et actions sur vos ressources, qui restent donc conformes aux standards et aux contrats de niveau de service de l’entreprise.

Azure Policy exécute une évaluation de vos ressources, en analysant celles qui ne sont pas conformes avec les définitions de stratégie dont vous disposez. Par exemple, vous pouvez disposer d’une stratégie pour n’autoriser que certains types de machines virtuelles. Une autre stratégie peut également exiger que toutes les ressources soient marquées. Ces stratégies sont alors évaluées lors de la création et de la mise à jour des ressources.

 

Microsoft propose des stratégies intégrées qui sont disponibles par défaut. Par exemple :

  • Type de ressource autorisé: cette définition de stratégie a un ensemble de conditions/règles pour spécifier les types de ressources que votre organisation peut déployer. Son action consiste à refuser toutes les ressources qui ne font pas partie de cette liste définie
  • Emplacements autorisés : cette stratégie vous permet de restreindre les emplacements que votre organisation peut spécifier lors du déploiement de ressources. Son action permet d’appliquer vos besoins de conformité géographique
  • Appliquer une balise et sa valeur par défaut : cette stratégie applique une balise requise et sa valeur par défaut si elle n’est pas spécifiée par l’utilisateur
  • Types de ressource non autorisés : cette stratégie permet de spécifier les types de ressource que votre organisation ne peut pas déployer

Sur Github, il existe un repository qui met à disposition encore plus de JSON (car le service se base sur JSON) tels que:

  • L’interdiction du Hybrid Use Benefit
  • La création dans un vNet approuvé
  • etc ….

Voyons à quoi ressemble un JSON pour le dernier exemple:

{
    "properties": {
        "displayName": "Use approved vNet for VM network interfaces",
        "description": "This policy enforces VM network interfaces to use a specific vNet.",
        "parameters": {
            "vNetId": {
                "type": "string",
                "metadata": {
                    "description": "Resource Id for the vNet",
                    "displayName": "vNet Id"
                }
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Network/networkInterfaces"
                    },
                    {
                        "not": {
                            "field": "Microsoft.Network/networkInterfaces/ipconfigrations[*].subnet.id",
                            "like": "[concat(parameters('vNetId'),'*')]"
                        }
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

A NOTER: Azure Policy est actuellement disponible en préversion limitée. Les informations sur la tarification n’ont pas encore été publiées.

Affectation de rôle

Une affectation de stratégie est une définition de stratégie qui a été affectée avec une étendue spécifique. Cette étendue peut aller d’un groupe d’administration à un groupe de ressources. Le terme étendue désigne l’ensemble des groupes de ressources, abonnements ou groupes d’administration auxquels la définition de stratégie est affectée. Toutes les ressources enfants héritent des affectations de stratégie. Ainsi, si une stratégie est appliquée à un groupe de ressources, elle l’est à toutes les ressources de ce groupe de ressources. Toutefois, vous pouvez exclure une sous-étendue de l’affectation de stratégie. Par exemple, dans l’étendue de l’abonnement, vous pouvez affecter une stratégie qui empêche la création de ressources réseau. Toutefois, vous excluez un groupe de ressources au sein de l’abonnement qui est destiné à l’infrastructure réseau.Vous accordez l’accès à ce groupe de ressources réseau aux utilisateurs auxquels vous faites confiance avec la création des ressources réseau.

Paramètres de stratégie

Les paramètres de stratégie permettent de simplifier la gestion des stratégies en réduisant le nombre de définitions de stratégies que vous devez créer. Vous pouvez définir des paramètres lors de la création d’une définition de stratégie, pour la rendre plus générique. Vous pouvez ensuite réutiliser cette définition de stratégie pour différents scénarios. Pour ce faire, transmettez différentes valeurs lors de l’affectation de la définition de stratégie. Par exemple, spécifiez un ensemble d’emplacements pour un abonnement.

Définition d’initiative

Une définition d’initiative est une collection de définitions de stratégie qui sont spécialement conçues pour atteindre un objectif global particulier.Les définitions d’initiative simplifient la gestion et l’affectation des définitions de stratégie. Elles simplifient ces procédures en regroupant un ensemble de stratégies en un seul élément. Par exemple, vous pouvez créer une initiative intitulée Activer la surveillance dans Azure Security Center, avec comme objectif de surveiller toutes les recommandations de sécurité disponibles dans votre centre Azure Security Center.

Voyons comment créer tout cela, je vais créer une policy qui n’autorise la création de ressources qu’en Europe et en France avec le déploiement de l’agent OMS.

On peux ensuite vérifier la bonne application de la policy.

image_printImprimer l'article

Je travaille actuellement en tant que Cloud Solution Architect et CoE Azure Lead pour le groupe CAPGEMINI. Acteur et expert communautaire reconnu depuis de nombreuses années, j’anime cette communauté autour des technologies Microsoft, modère les forums officiels Microsoft Technet et participe régulièrement aux  évènements  tels  que  les  Microsoft  Techdays/Expériences  ou  les  Microsoft  Days  en  tant  qu’Ask  The  Expert ou speaker. Je suis à l’origine de nombreuses publications dans le presse IT.

Mon implication communautaire m’a valu la reconnaissance de mes pairs et de Microsoft Corp au titre de Most Valuble Professionnal depuis plus de 9 années et suis également Microsoft P-Seller.

Partagez si ça vous plait !