Använda Azure Policy för att skydda dina Nexus-resurser

I den här artikeln kan du lära dig hur du använder Azure Policy för att skydda och verifiera efterlevnadsstatusen för dina Nexus-resurser.

Innan du börjar

Om du inte har använt Azure Policy tidigare finns här några användbara resurser som du kan använda för att bekanta dig mer med Azure Policy.

• Dokumentation om Azure Policy
• Interaktiva utbildningsmoduler: Azure Policy-utbildning på Microsoft Learn

Förstå principdefinitioner och tilldelningar

• Principdefinitioner: De regler som dina resurser måste följa. De kan vara inbyggda eller anpassade.
• Tilldelningar: Processen för att tillämpa en principdefinition på dina resurser.

Steg för säkerhetstillämpning

1. Utforska inbyggda principer: Granska inbyggda principer som är relevanta för Resurser för Nexus Bare Metal Machine (BMM) och Compute Cluster.
2. Anpassa principer: Anpassa principer för att hantera specifika behov för dina resurser.
3. Principtilldelning: Tilldela principer via Azure Portal, vilket säkerställer rätt omfång.
4. Övervakning och efterlevnad: Övervaka regelbundet principefterlevnad med hjälp av Azure-verktyg.
5. Felsökning: Åtgärda vanliga problem som uppstår under principtilldelningen.

Visuella guider och exempel

• Stegvis principtilldelning: Tilldela principer i Azure Portal
• Felsökningsguide: Vanliga problem med principtilldelning

Förutsättningar

• En eller flera lokala Nexus-resurser som är Arc-anslutna till Azure.

  Kommentar

  Operatorn Nexus kräver inte att du installerar Azure Policy-tillägget för det Undercloud Kubernetes-anslutna klustret eller BMM-anslutna datorresurser eftersom tilläggen installeras automatiskt under klusterdistributionen.

• Ett användarkonto i din prenumeration med rätt roll:

  • En resursprincipdeltagare eller ägare kan visa, skapa, tilldela och inaktivera principer.
  • En deltagare eller läsare kan visa principer och principtilldelningar.

  Checklista för förberedelse:

  • Bekanta dig med Azure CLI eller PowerShell för principhantering.
  • Granska organisationens säkerhet och efterlevnadskrav.
  • Identifiera specifika Azure Policy-funktioner som är relevanta för dina behov.

  Kommentar

  Operatorn Nexus-hanterade infrastrukturresurser kanske inte överensstämmer med anpassade interna principer baserat på plattformens hanterings- och versionsmönster. Dessutom misslyckas Azure-baslinjeprinciper där indata krävs (t.ex. lista över auktoriserade portar) eller installerade tilläggsförväntningar (t.ex. Azure Kubernetes Service-kluster bör ha Azure Policy-tillägget för Kubernetes installerat) som standard. Nexus-hanterade resurser, till exempel Klusterhanteraren, är inte avsedda för direkt kundinteraktion eller support för kunddistribuerade tillägg eller integreringar.

Använda Azure Policy för att skydda dina Nexus BMM-resurser

Tjänsten Operator Nexus erbjuder en inbyggd principdefinition som rekommenderas att tilldela till dina Nexus BMM-resurser. Den här principdefinitionen kallas [förhandsversion]: Nexus-beräkningsdatorer bör uppfylla säkerhetsbaslinjen. Den här principdefinitionen används för att säkerställa att dina Nexus BMM-resurser har konfigurerats med säkerhetsinställningar för branschtips.

• [Förhandsversion]: Nexus-beräkningsdatorer bör uppfylla säkerhetsbaslinjen

Använda Azure Policy för att skydda dina Nexus Kubernetes Compute-klusterresurser

Tjänsten Operator Nexus erbjuder en inbyggd initiativdefinition som rekommenderas att tilldela till dina Nexus Kubernetes Compute-klusterresurser. Den här initiativdefinitionen kallas [förhandsversion]: Nexus-beräkningsklustret bör uppfylla säkerhetsbaslinjen. Den här initiativdefinitionen används för att säkerställa att dina Nexus Kubernetes Compute Cluster-resurser har konfigurerats med säkerhetsinställningar för branschtips.

• [Förhandsversion]: Nexus-beräkningsklustret bör uppfylla säkerhetsbaslinjen

Anpassa principer

• Anpassa principer med tanke på de unika aspekterna av de specifika resurserna.
• Mer information finns i Anpassade principdefinitioner.

Tillämpa och validera principer för Nexus-resurser

Oavsett om du skyddar Nexus BMM-resurser eller Nexus Kubernetes Compute Clusters är processen för att tillämpa och validera principer liknande. Här är en generaliserad metod:

1. Identifiera lämpliga principer:

   • För Nexus Bare Metal Machine-resurser bör du överväga den rekommenderade [förhandsversionen]: Nexus-beräkningsdatorer bör uppfylla säkerhetsbaslinjeprincipen .
   • För Nexus Kubernetes Compute Clusters bör du överväga den rekommenderade [förhandsversionen]: Nexus-beräkningsklustret bör uppfylla säkerhetsbaslinjeinitiativet .

2. Tilldela principer:

   • Använd Azure Portal för att tilldela dessa principer till dina Nexus-resurser.
   • Se till att tilldelningen är rätt omfång, vilket kan finnas på prenumerations-, resursgrupps- eller enskild resursnivå.
   • För anpassade principer följer du riktlinjerna i Skapa anpassade principdefinitioner.

3. Verifiera principprogram:

   • Kontrollera att principerna tillämpas korrekt efter tilldelningen och att de effektivt övervakar efterlevnaden.
   • Använd Azures efterlevnadsverktyg och instrumentpaneler för löpande övervakning och rapportering.
   • Detaljerade steg för validering finns i Verifiera Azure Policy.

Den här metoden säkerställer att alla dina Operator Nexus-resurser, oavsett typ, är skyddade och kompatibla med organisationens principer och använder de kraftfulla funktionerna i Azure Policy.