Appliquer et superviser les standards d’infrastructure avec Azure Policy

Définir la conformité informatique avec Azure Policy

Azure Policy est un service Azure qui vous permet de créer, d’affecter et de gérer des stratégies. Ces stratégies appliquent différentes règles et différents effets à vos ressources. Ainsi, ces dernières restent conformes aux standards et aux SLA (contrats de niveau de service) de votre entreprise. Azure Policy répond à ce besoin en évaluant la conformité de vos ressources aux stratégies affectées.

En quoi Azure Policy et RBAC sont-ils différents ?

À première vue, il semble qu’Azure Policy permette de restreindre l’accès à des types de ressource spécifiques, à l’image du contrôle d’accès en fonction du rôle (RBAC). Toutefois, ils ne résolvent pas les mêmes problèmes. RBAC se focalise sur les actions des utilisateurs dans différentes étendues. Vous pouvez être ajouté au rôle Contributeur d’un groupe de ressources, ce qui vous permet d’apporter des changements à n’importe quel élément de ce groupe de ressources. Azure Policy se focalise sur les propriétés des ressources durant le déploiement et sur les ressources déjà existantes. Azure Policy contrôle des propriétés comme les types ou les emplacements des ressources. Contrairement à RBAC, Azure Policy est un système d’autorisations par défaut et de refus explicites.

Création d’une stratégie

Le processus de création et d’implémentation d’une stratégie Azure commence par la création d’une définition de stratégie. Chaque définition de stratégie comporte des conditions dans lesquelles elle est appliquée. Si les conditions sont remplies, un effet d’accompagnement a lieu. Pour appliquer une stratégie, vous devez :

  • Créer une définition de stratégie
  • Attribuer une définition à une étendue de ressources
  • Voir les résultats de l’évaluation de stratégie

Voici un exemple de stratégie de calcul qui autorise seulement des tailles de machine virtuelle spécifiques :

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      {
        "not": {
          "field": "Microsoft.Compute/virtualMachines/sku.name",
          "in": "[parameters('listOfAllowedSKUs')]"
        }
      }
    ]
  },
  "then": {
    "effect": "Deny"
  }
}

Notez la valeur de [parameters(‘listofAllowedSKUs’)] ; il s’agit d’un jeton de remplacement qui est rempli quand la définition de la stratégie est appliquée à une étendue. Quand un paramètre est défini, un nom lui est affecté et éventuellement une valeur.

Application de la stratégie Azure

Pour appliquer une stratégie, nous pouvons utiliser le portail Azure ou l’un des outils en ligne de commande tels qu’Azure PowerShell, en ajoutant l’extension Microsoft.PolicyInsights.

# Register the resource provider if it's not already registered
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Une fois que nous avons inscrit le fournisseur, nous pouvons créer une affectation de stratégie. Par exemple, voici une définition de stratégie qui identifie les machines virtuelles n’utilisant pas de disques managés.

# Get a reference to the resource group that will be the scope of the assignment
$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

# Get a reference to the built-in policy definition that will be assigned
$definition = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }

# Create the policy assignment with the built-in definition against your resource group
New-AzPolicyAssignment -Name 'audit-vm-manageddisks' -DisplayName 'Audit VMs without managed disks Assignment' -Scope $rg.ResourceId -PolicyDefinition $definition

Identification des ressources non conformes

Nous pouvons utiliser la définition de stratégie appliquée pour identifier les ressources non conformes à l’affectation de stratégie via le portail Azure.

Les résultats correspondent à ce que vous voyez sous l’onglet Conformité des ressources d’une affectation de stratégie dans le portail Azure :

conformite

Affecter une définition à une étendue de ressources

Une fois que vous avez défini une ou plusieurs définitions de stratégie, vous devez les attribuer. Une attribution de stratégie est une définition de stratégie affectée à une étendue spécifique.

Cette étendue peut aller d’un abonnement complet à un groupe de ressources. Toutes les ressources enfants héritent des affectations de stratégie. Cet héritage signifie que si une stratégie est appliquée à un groupe de ressources, elle l’est à toutes les ressources de ce groupe. Vous pouvez cependant exclure une sous-étendue de l’affectation de stratégie. Par exemple, nous pouvons appliquer une stratégie pour un abonnement entier, puis exclure quelques groupes de ressources spécifiques.

Suppression d’une définition de stratégie

Enfin, vous pouvez supprimer les exigences relatives à une stratégie via le portail ou via la commande PowerShell Remove-AzPolicyAssignment, comme indiqué ci-dessous.

Remove-AzPolicyAssignment -Name 'audit-vm-manageddisks' -Scope '/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>'

Organiser une stratégie avec des initiatives

Les initiatives fonctionnent parallèlement aux stratégies dans Azure Policy. Une définition d’initiative est un ensemble ou un groupe de définitions de stratégie qui permettent de suivre l’état de conformité d’un objectif plus large. Même si vous avez une seule stratégie, nous vous recommandons d’utiliser des initiatives si vous prévoyez d’augmenter le nombre de stratégies au fil du temps.

À l’image d’une attribution de stratégie, une attribution d’initiative est une définition d’initiative attribuée à une étendue spécifique. Les attributions d’initiatives réduisent la nécessité de créer plusieurs définitions d’initiatives pour chaque étendue. Cette étendue peut également aller d’un groupe d’administration à un groupe de ressources.

Définition d’initiatives

Les définitions d’initiative simplifient le processus de gestion et d’attribution des définitions de stratégie en regroupant un ensemble de stratégies dans un seul élément. Par exemple, vous pouvez créer une initiative nommée Activer la supervision dans Azure Security Center pour superviser toutes les recommandations de sécurité disponibles dans votre centre Azure Security Center.

Dans cette initiative, vous avez les définitions de stratégie suivantes :

Définition de stratégieObjectif
Superviser les bases de données SQL non chiffrées dans Security CenterPour superviser les bases de données et les serveurs SQL Server non chiffrés.
Superviser les vulnérabilités du système d’exploitation dans Security CenterPour superviser les serveurs qui ne répondent pas à la base de référence configurée.
Superviser l’absence d’Endpoint Protection dans Security CenterPour superviser les serveurs où aucun agent Endpoint Protection n’est installé.

Vous pouvez définir des initiatives à l’aide du Portail Azure ou des outils en ligne de commande. Dans le portail, vous utilisez la section « Création ».

Initiative

Gestion de la gouvernance d’entreprise

La gestion des accès intervient au niveau de l’abonnement Azure. Ce contrôle permet à une organisation de configurer chaque division de l’entreprise d’une manière spécifique en fonction des responsabilités et des exigences. La planification des règles et le maintien de leur cohérence entre les différents abonnements peuvent être difficiles sans un peu d’aide.

Les groupes d’administration Azure sont des conteneurs qui permettent de gérer l’accès, les stratégies et la conformité de plusieurs abonnements Azure. Les groupes d’administration vous permettent de classer vos ressources Azure de manière hiérarchique dans des collections, ce qui fournit un niveau de classification supplémentaire supérieur au niveau des abonnements. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.

diagramme

Définir des ressources standard avec Azure Blueprints

Tout comme un blueprint permet aux ingénieurs et aux architectes de décrire les paramètres de conception d’un projet, Azure Blueprints permet aux architectes cloud et aux groupes informatiques centraux de définir un ensemble reproductible de ressources Azure qui implémentent et respectent les standards, les modèles et les exigences d’une organisation. Azure Blueprints permet aux équipes de développement de créer et de déployer rapidement de nouveaux environnements conformes aux exigences de l’organisation avec un ensemble de composants intégrés, par exemple au niveau du réseau, pour accélérer le développement et la livraison.

Azure Blueprints est un moyen déclaratif d’orchestrer le déploiement de divers modèles de ressources et autres artefacts, par exemple :

  • Attributions de rôles
  • Attributions de stratégies
  • Modèles Azure Resource Manager
  • Groupes de ressources

Le processus d’implémentation d’Azure Blueprints comprend les étapes générales suivantes :

  • Créer un blueprint Azure
  • Attribuer le blueprint
  • Suivre les attributions du blueprint

Découvrir la conformité de votre service avec le Gestionnaire de conformité

Microsoft prend cette gestion très au sérieux et offre une transparence complète avec quatre sources :

  1. Déclaration de confidentialité Microsoft
  2. Centre de gestion de la confidentialité Microsoft
  3. Portail d’approbation de services
  4. Gestionnaire de conformité

Qu’est-ce que le Centre de gestion de la confidentialité Microsoft ?

Le Centre de gestion de la confidentialité est une ressource de site web contenant des informations et des détails sur la manière dont Microsoft implémente et prend en charge la sécurité, la confidentialité, la conformité et la transparence dans tous les produits et services cloud de Microsoft.

Il fournit un support et des ressources à la communauté pour les questions juridiques et de conformité, notamment :

  • Des informations détaillées sur la sécurité, la confidentialité, les offres de conformité, les stratégies, les fonctionnalités et les pratiques des produits cloud Microsoft.
  • Des ressources recommandées sous la forme d’une liste organisée des ressources les plus appropriées et les plus utilisées pour chaque rubrique.
  • Des informations spécifiques aux rôles organisationnels clés, notamment les responsables commerciaux, les administrateurs de locataires ou les équipes de sécurité des données, les responsables de l’évaluation des risques et de la confidentialité ainsi que les équipes de conformité légale.
  • Une recherche documentaire interentreprises (bientôt disponible), qui permettra aux clients de services cloud existants d’effectuer des recherches dans le Portail d’approbation de services
  • Une aide et un support directs quand vous ne trouvez pas ce que vous cherchez.

Qu’est-ce que le Portail d’approbation de services ?

Le Portail d’approbation de services (STP, Service Trust Portal) héberge le service Gestionnaire de conformité. Il constitue le site public de Microsoft pour la publication de rapports d’audit et d’autres informations sur la conformité des services cloud de Microsoft. Les utilisateurs du STP peuvent télécharger des rapports d’audit produits par des auditeurs externes et obtenir des insights à partir de rapports Microsoft sur la manière dont Microsoft crée et exploite ses services cloud.

Superviser l’intégrité de vos services

Azure fournit deux services principaux pour superviser l’intégrité de vos applications et de vos ressources.

  • Azure Monitor
  • Azure Service Health

Azure Monitor

Azure Monitor optimise la disponibilité et les performances de vos applications en fournissant une solution complète pour collecter, analyser et agir sur la télémétrie provenant de vos environnements cloud et locaux. Il vous aide à comprendre le fonctionnement de vos applications et identifie de façon proactive les problèmes qui les affectent ainsi que les ressources dont elles dépendent.

Sources de données

Couche DonnéesDescription
Données de supervision de l’applicationDonnées concernant les performances et les fonctionnalités du code que vous avez écrit, quelle que soit la plateforme.
Données de supervision du système d’exploitation invitéDonnées concernant le système d’exploitation sur lequel votre application est exécutée. Il peut s’agir d’Azure, d’un autre cloud ou d’un système local.
Données de supervision des ressources AzureDonnées concernant le fonctionnement d’une ressource Azure.
Données de supervision de l’abonnement AzureDonnées concernant le fonctionnement et la gestion d’un abonnement Azure, et données concernant l’intégrité et le fonctionnement d’Azure.
Données de supervision du locataire AzureDonnées concernant le fonctionnement des services Azure au niveau du locataire, par exemple Azure Active Directory.

Azure Service Health

Azure Service Health est une suite d’expériences qui fournissent une aide et un support personnalisés quand vous êtes affecté par des problèmes liés aux services Azure. Il peut vous envoyer des notifications, vous aider à comprendre l’impact des problèmes et vous tenir informé de leur résolution. Azure Service Health peut également vous aider à vous préparer à la maintenance planifiée et aux changements susceptibles d’affecter la disponibilité de vos ressources.

L’État d’Azure fournit une vue globale de l’état d’intégrité des services Azure. Avec l’État d’Azure, vous pouvez obtenir les toutes dernières informations sur la disponibilité du service. Tout le monde a accès à l’État d’Azure et peut voir l’ensemble des services indiquant leur état d’intégrité.

Service Health vous fournit un tableau de bord personnalisable qui suit l’état de vos services Azure dans les régions où vous les utilisez. Dans ce tableau de bord, vous pouvez suivre les événements actifs, notamment les problèmes de service en cours, la maintenance planifiée à venir ou les conseils d’intégrité pertinents.

Resource Health vous aide à diagnostiquer les problèmes et obtenir du support quand un problème du service Azure affecte vos ressources. Il vous fournit des détails sur l’état actuel et passé de vos ressources. Il fournit également un support technique pour vous aider à atténuer les problèmes.

Questionnaire

  1. Vrai ou faux : Vous pouvez télécharger les rapports d’audit publiés ainsi que d’autres informations relatives à la conformité du service cloud de Microsoft à partir du Portail d’approbation de services.

Vrai

Faux

  1. Quel service Azure vous permet de configurer une gestion affinée des accès pour les ressources Azure, afin d’accorder aux utilisateurs uniquement les droits nécessaires à l’exécution de leurs travaux ?

Verrous

Stratégie

Initiatives

Contrôle d’accès en fonction du rôle

  1. Quel service Azure vous permet de créer, d’attribuer et de gérer des stratégies pour appliquer différentes règles et effets sur vos ressources, et ainsi rester conforme aux standards de votre entreprise et aux contrats SLA ?

Azure Policy

Azure Blueprints

Azure Security Center

Contrôle d’accès en fonction du rôle

  1. Parmi les services suivants, lequel fournit des informations d’état actualisées sur l’intégrité des services Azure ?

Gestionnaire de conformité

Azure Monitor

Portail d’approbation de services

Azure Service Health

  1. Où pouvez-vous obtenir des détails sur les données personnelles traitées par Microsoft, sur la manière dont Microsoft les traite et à quelles fins ?

Déclaration de confidentialité Microsoft

Gestionnaire de conformité

Azure Service Health

Centre de gestion de la confidentialité