Använda Azure Policy för att skydda dina Nexus-resurser
I den här artikeln kan du lära dig hur du använder Azure Policy för att skydda och verifiera efterlevnadsstatusen för dina Nexus-resurser.
Innan du börjar
Om du inte har använt Azure Policy tidigare finns här några användbara resurser som du kan använda för att bekanta dig mer med Azure Policy.
- Dokumentation om Azure Policy
- Interaktiva utbildningsmoduler: Azure Policy-utbildning på Microsoft Learn
Förstå principdefinitioner och tilldelningar
- Principdefinitioner: De regler som dina resurser måste följa. De kan vara inbyggda eller anpassade.
- Tilldelningar: Processen för att tillämpa en principdefinition på dina resurser.
Steg för säkerhetstillämpning
- Utforska inbyggda principer: Granska inbyggda principer som är relevanta för Resurser för Nexus Bare Metal Machine (BMM) och Compute Cluster.
- Anpassa principer: Anpassa principer för att hantera specifika behov för dina resurser.
- Principtilldelning: Tilldela principer via Azure Portal, vilket säkerställer rätt omfång.
- Övervakning och efterlevnad: Övervaka regelbundet principefterlevnad med hjälp av Azure-verktyg.
- Felsökning: Åtgärda vanliga problem som uppstår under principtilldelningen.
Visuella guider och exempel
- Stegvis principtilldelning: Tilldela principer i Azure Portal
- Felsökningsguide: Vanliga problem med principtilldelning
Förutsättningar
En eller flera lokala Nexus-resurser som är Arc-anslutna till Azure.
Kommentar
Operatorn Nexus kräver inte att du installerar Azure Policy-tillägget för det Undercloud Kubernetes-anslutna klustret eller BMM-anslutna datorresurser eftersom tilläggen installeras automatiskt under klusterdistributionen.
Ett användarkonto i din prenumeration med rätt roll:
- En resursprincipdeltagare eller ägare kan visa, skapa, tilldela och inaktivera principer.
- En deltagare eller läsare kan visa principer och principtilldelningar.
Checklista för förberedelse:
- Bekanta dig med Azure CLI eller PowerShell för principhantering.
- Granska organisationens säkerhet och efterlevnadskrav.
- Identifiera specifika Azure Policy-funktioner som är relevanta för dina behov.
Kommentar
Operatorn Nexus-hanterade infrastrukturresurser kanske inte överensstämmer med anpassade interna principer baserat på plattformens hanterings- och versionsmönster. Dessutom misslyckas Azure-baslinjeprinciper där indata krävs (t.ex. lista över auktoriserade portar) eller installerade tilläggsförväntningar (t.ex. Azure Kubernetes Service-kluster bör ha Azure Policy-tillägget för Kubernetes installerat) som standard. Nexus-hanterade resurser, till exempel Klusterhanteraren, är inte avsedda för direkt kundinteraktion eller support för kunddistribuerade tillägg eller integreringar.
Använda Azure Policy för att skydda dina Nexus BMM-resurser
Tjänsten Operator Nexus erbjuder en inbyggd principdefinition som rekommenderas att tilldela till dina Nexus BMM-resurser. Den här principdefinitionen kallas [förhandsversion]: Nexus-beräkningsdatorer bör uppfylla säkerhetsbaslinjen. Den här principdefinitionen används för att säkerställa att dina Nexus BMM-resurser har konfigurerats med säkerhetsinställningar för branschtips.
Använda Azure Policy för att skydda dina Nexus Kubernetes Compute-klusterresurser
Tjänsten Operator Nexus erbjuder en inbyggd initiativdefinition som rekommenderas att tilldela till dina Nexus Kubernetes Compute-klusterresurser. Den här initiativdefinitionen kallas [förhandsversion]: Nexus-beräkningsklustret bör uppfylla säkerhetsbaslinjen. Den här initiativdefinitionen används för att säkerställa att dina Nexus Kubernetes Compute Cluster-resurser har konfigurerats med säkerhetsinställningar för branschtips.
Anpassa principer
- Anpassa principer med tanke på de unika aspekterna av de specifika resurserna.
- Mer information finns i Anpassade principdefinitioner.
Tillämpa och validera principer för Nexus-resurser
Oavsett om du skyddar Nexus BMM-resurser eller Nexus Kubernetes Compute Clusters är processen för att tillämpa och validera principer liknande. Här är en generaliserad metod:
Identifiera lämpliga principer:
- För Nexus Bare Metal Machine-resurser bör du överväga den rekommenderade [förhandsversionen]: Nexus-beräkningsdatorer bör uppfylla säkerhetsbaslinjeprincipen .
- För Nexus Kubernetes Compute Clusters bör du överväga den rekommenderade [förhandsversionen]: Nexus-beräkningsklustret bör uppfylla säkerhetsbaslinjeinitiativet .
Tilldela principer:
- Använd Azure Portal för att tilldela dessa principer till dina Nexus-resurser.
- Se till att tilldelningen är rätt omfång, vilket kan finnas på prenumerations-, resursgrupps- eller enskild resursnivå.
- För anpassade principer följer du riktlinjerna i Skapa anpassade principdefinitioner.
Verifiera principprogram:
- Kontrollera att principerna tillämpas korrekt efter tilldelningen och att de effektivt övervakar efterlevnaden.
- Använd Azures efterlevnadsverktyg och instrumentpaneler för löpande övervakning och rapportering.
- Detaljerade steg för validering finns i Verifiera Azure Policy.
Den här metoden säkerställer att alla dina Operator Nexus-resurser, oavsett typ, är skyddade och kompatibla med organisationens principer och använder de kraftfulla funktionerna i Azure Policy.