Azureの基礎をざっと確認する Azure Policy でインフラストラクチャの標準を適用して監視する
■はじめに
引き続きAZ-900受験のためのアウトプットです。
Azureの基礎、前回の続きです。
■内容の要点を整理
以下の内容から座学で拾えるセクションのみ要約します。
docs.microsoft.com
今回は、Azure Policy でインフラストラクチャの標準を適用して監視する編です。
■Azure Policy
どんなサービス?
ポリシーの作成、割り当て、管理に使用する Azure サービス
例:4 個を超える CPU を搭載した VM の作成を禁止するポリシー
RBACとは似てるけど異なる
RBAC=ユーザ操作に焦点
Azure Policy =デプロイ中のプロパティに焦点
Azure Policy は既定で許可し、明示的に拒否するシステム
ポリシーの定義
主に5つあるよ
- 許可されているストレージ アカウントの SKU
- 使用できるリソースの種類
- 許可されている場所
- 許可されている仮想マシン SKU
- 許可されていないリソースの種類
ポリシーを適用する場合はAzure Portalか、PolicyInsights拡張子をつけてPowerShellで実行
適用状況は「リソース コンプライアンス」タブで確認できる
ポリシーの割り当て
割り当て対象は、完全なサブスクリプションからリソース グループまで
ポリシーを割り当てるには、Azure portal、PowerShell、または Azure CLI を使用
ポリシー規則が一致したときに発火するポリシーの効果には以下の5つがあるよ
- Deny(失敗)
- Disabled(無効)
- Append(パラメーター/フィールドを追加)
- Audit、AuditIfNotExists(警告のみ)
- DeployIfNotExists(デプロイを実行)
ポリシーの評価をする場合、Azure Policyセクションで確認可能
最後にポリシーを削除する場合、Remove-AzPolicyAssignmentを使用
■イニシアチブを使用してポリシーを整理する
イニシアチブ定義って?
一連のポリシー定義またはポリシー定義のグループ
例:
1:Azure Security Center で利用可能なすべてのセキュリティ推奨事項を監視する
2:暗号化されていない SQL データベースを Security Center で監視する
3:OS の脆弱性を Security Center で監視する
4:Endpoint Protection の不足を Security Center で監視する
■複数の Azure サブスクリプション全体のアクセス、ポリシー、コンプライアンスを管理する
Azure 管理グループって?
"複数の" Azure サブスクリプション全体のアクセス、ポリシー、コンプライアンスを管理するためのコンテナー
管理グループの使用を開始
Azure Portalで[管理グループの使用を開始します]を選択
作成した管理グループは、[テナント ルート グループ] の下に表示
管理グループに関する重要な事実
- 組織内のすべての Azure AD ユーザーが作成化
- 1 つの Azure AD 組織で 10,000 の管理グループ
- 最大 6 つの深さのレベルをサポート
- それぞれ多数の子を持つことが可能
- ルート管理グループに自動的に追加
■Azure Blueprints を使用して標準リソースを定義する
Azure Blueprintsって?
中央の情報技術部門は、組織の標準、パターン、要件を実装および順守した反復可能な一連の Azure リソース
開発チームは新しい環境を迅速に構築してデプロイすることが可能
リソース テンプレートを宣言することによる調整
- ロールの割り当て
- ポリシーの割り当て
- Azure Resource Manager テンプレート
- リソース グループ
これらを以下の3つの手順で構成するよ
- Azure ブループリントを作成する
- ブループリントを割り当てる
- ブループリントの割り当てを追跡する
Resource Manager テンプレートとの違い
Azure Blueprints
=個々のアーティファクトの種類をまとめたパッケージ
Resource Manager
=機能は同じだが Azure にネイティブに存在しないドキュメント
Azure Policyとの違い
Azure Blueprints
=連の標準、パターン、要件を作成するためのパッケージまたはコンテナー
Azure Policy
=数多くのアーティファクトの 1 つとしてブループリント定義に含めることが可能
■コンプライアンス マネージャーを使用してサービスのコンプライアンスを調べる
リソースをどのように管理しているか、以下の4つのソースで説明しているよ
Microsoft プライバシーに関する声明
個人データを処理する方法の開示Microsoft セキュリティ センター
セキュリティ、プライバシー、コンプライアンス、および透明性に関する情報サイトService Trust Portal
Compliance Manager サービスをホスト
Trust Center の付属機能あり
飽くまで改善のための推奨事項
有効性を評価することは、各組織の責任で行う必要あり
■サービス正常性を監視する
主要サービスは2つあるよ
- Azure Monitor
- Azure Service Health
Azure Monitor
主に以下の5つのデータ ソースから収集するよ
- アプリケーション監視データ
- ゲスト OS 監視データ
- Azure リソース監視データ
- Azure サブスクリプション監視データ
- Azure テナントの監視データ
Azure Monitorには、さらに以下のような機能やツールが入っているよ
Application Insights
Web アプリケーションの監視サービスコンテナーに対する Azure Monitor
コンテナー ワークロードのパフォーマンスを監視するサービスAzure Monitor for VMs
Azure VM の大規模な監視サービス
またアラート条件への応答として以下のような通知や自動プロセス起動を行うよアラート
- 自動スケーリング
またデータの可視化も行うよ
- ダッシュボード
- ビュー
- ower BI
Azure Service Health
次のようなビューを表示してくれるよ
Azure の状態
Azure サービスの正常性の状態をグローバルに確認できるビューService Health
Azure サービスの状態を追跡するカスタマイズ可能なダッシュボード
進行中のサービスの問題
次に予定されている定期的なメンテナンス
関連する正常性の勧告
等々Resource Health
Azure サービスのイシューによってリソースが影響を受けているかの情報とサポート
結構覚える系が多いので、もう少し繰り返しチェックする必要ある感じです。
本日はここまで。
ではでは。