Azure 정책
- Azure 리소스에 대한 규칙과 효과를 적용
- 회사 표준과 서비스 수준 계약(SLA)를 준수할 수 있음
- 추가 비용 없이 사용
- 정책을 준수하지 않는 리소스 평가 및 식별
- 정책이 적용 후 정책을 준수하지 않는 리소스 배포 불가
Azure 정책 구현
허용된 지역만 사용
- Azure 리소스를 배포할 시 특정 지역에만 배포하도록 설정
- 설정한 지역(들) 이외에 리소스 배포를 시도할 시 배포 요청을 거부
허용된 가상 컴퓨터 크기
- 가상 컴퓨터 배포 시 D Size만 배포하도록 설정
- D Size 이외 리소스 배포시 요청을 거부
- 사내 가상 컴퓨터의 크기를 제어할 수 있음
Azure 정책 이니셔티브
- 이니셔티브 정의: 여러 정책 정의를 단일 단위로 그룹화하여 더 큰/매크로 수준 범위에서 규정 준수를 추적
- 이니셔티브 할당: 특정 범위에 할당된 이니셔티브 정의. 이니셔티브 할당은 각 범위에 대해 이니셔티브 정의를 만들 필요를 줄여 줌
Azure 정책 만들기
- Azure portal에서 정책을 선택한다.
- 정책을 개요를 확인할 수 있다.
- 만들어진 정책들이 볼 수 있고, 그대로 가져와서 사용하거나, 수정해서 사용할 수도 있다.
- 정책을 만들어 보겠다.
- 만들어진 정책을 가져와 조금 수정하겠다.
- 여기서 특정 크기만 선택을 해서 정책을 생성한다면, 특정 가상머신의 크기만 생성이 가능하게 되고, 선택되지 않은 크기의 가상머신은 배포에 실패할 것이다.
Azure Role Base Access Control (RBAC)
- Azure 리소스에 권한을 설정하여 접근 제어 관리
- 특정 리소스에 특정 작업만 하도록 구성 가능
- 리소스가 RBAC를 사용할 경우 리소스간 접근 제어 구성 가능
- 내장된 기본 정책이 있음
- 소유자(Owner)
- 기여자(Contributor)
- 읽기 전용(Reader)
- 추가 비용 없이 사용
RBAC를 이용한 접근 제어
- Azure portal에서 리소스 그룹을 검색한다.
- 리소스 그룹 만들기를 클릭한다.
- 새로운 리소스 그룹을 생성한다.
- 역할 할당 추가를 선택한다.
- 가상머신 참가자는 가상머신을 관리할 수 있는 사용자이다.
- 소유자가 되는것은 아니다.
- 가상머신을 관리할 수 있는 사용자를 추가한다.
- 내 계정을 추가하였다.
- 가상머신 참가자에 내 계정이 추가된것을 확인할 수 있다.
Azure 리소스 잠금
- 리소스를 삭제하거나 수정하는 것을 방지하는 기능
- 사용자의 실수를 방지할 수 있음
- 소유자가 리소스 잠금을 설정할 시 기여자는 리소스 잠금을 조작할 수 없음
- 리소스 잠금은 하위 상속 됨
- Read-only: 리소스 수정을 방지합니다.
- Delete: 리소스 삭제를 방지합니다.
- 새로운 리소스 그룹을 생성하고 삭제 잠금을 추가한다.
- 리소스가 삭제 잠금되어 있으니 삭제를 시도해도 삭제가 되지 않는것을 확인할 수 있다.
Azure Advisor Security assistance
- 기존에 Azure 정책에 정의된 정책에 위반하는지 모니터링
- Azure 보안 센터와 연계하여 더 많은 보안 권장 사항 제안
- 보안에 위배되는 설정에 대한 설명과 리소스를 알려주며 어떠한 위렵이 있고 해결방법은 무엇인지 제안함
Azure Blueprint
- Azure 리소스를 다시 만들고 정책을 즉시 적용할 수 있는 재사용 가능한 환경 정의를 만듬
- 기본 제공 도구 및 아티팩트를 사용하여 배포를 감사하고 추적하고 규정 준수를 유지
- Blueprin를 특정 Azure DevOps 빌드 아티팩트 및 릴리스 파이트파인과 연결하여 엄격한 추적을 수행
Good Morning