Azure Policy Governance Azure Políticas

Faaala galera, 100%?!

A saga pelo Azure continua e para não perder o gás hoje vou deixar algumas dicas sobre um recurso fantástico do Azure mas que vejo poucas pessoas falando sobre. No artigo de hoje vamos fazer uma introdução ao Azure Policy, ou se preferir Políticas do Azure.

Esse vai ser mais um artigo rápido e objetivo para que você tenha entendimento suficiente para iniciar seus estudos sobre o assunto e ir evoluindo. Let’s rock!

O que é uma Policy no Azure?

O primeiro ponto que precisamos definir é explicar o que é uma política no ambiente do Azure. É fato que a medida que vamos evoluindo e ganhando confiança em uma solução, e isso acontece MUITO rápido com o Azure por conta da facilidade e estabilidade dos serviços, as coisas comecem a ficar “emboladas”. Digo isso pois a medida que os projetos vão surgindo, o dia a dia vai pedindo mais entregas o fator organização pode ser deixado de lado – e geralmente é – e com a desorganização começam a surgir brechas de segurança ou questões que podem afetar seu ambiente financeiramente ou a nível de performance, por exemplo.

Com as Policies temos a possibilidade de dizer exatamente o que pode ou não ser utilizado. Usando um termo mais formal, é possível aplicar Governança utilizando políticas do Azure e assim garantir que tudo esteja de acordo com o que as regras e processos de segurança de sua empresa, o tal do compliance.

De forma objetiva, podemos definir, por exemplo, que apenas determinada Região no Azure seja utilizada, evitando que recursos sejam alocados em regiões que possam ter custo mais elevado ou latência que foge dos requisitos de determinado projeto. Além das regiões várias outras definições pode ser aplicadas, como: Definir qual SKU pode ser utilizado, exigir  utilização de TAGs no Grupos de Recursos ou Recursos, e “N” outras opções.

Como funciona uma Policy no Azure?

Quando uma política é definida algumas ações e efeitos podem ser definidos. Utilizando como base uma política que limita o uso de determinadas regiões, o que acontecerá é: Recursos já existentes serão listados como não compliance e, caso exista uma Ação de remediação (Remediation task), uma ação pode ser realizado, caso contrário apenas os novos recursos serão bloqueados ao tentar deploy fora das regiões definidas.

Para que tudo isso funcione é  preciso definir uma Policy Assignment, que é um nome bonito para “Regra”. Sempre que ver “Assignment” entenda que apenas uma regra está sendo aplicada, ou seja, se você possuir 5 diretrizes e deseja garantir que elas sejam aplicadas em seu ambiente seria preciso criar 5 Policies, cada uma com sua definição. Obviamente o Tio Bill pensou nisso e também criou as “Policy Initiative”, que é um nome bonito para “Conjunto de Regras”, onde você conseguiria alocar aquelas 5 policies que a empresa exige em apenas uma configuração. Easy, isn’t it?!

Concluindo o lance do funcionamento, antes de mostrar como criar uma Policy, é importante falar dos efeitos. Sim, cada política pode ter um efeito no ambiente, esse efeito vai dizer o que quando uma política rodar e der match em algum item. Hoje temos os seguinte:

• Append
• Modify
• Deny
• AuditIfNotExists
• DeployifNotExist

É bacana comentar que a análise das política é feita de forma sequencia, seguindo a ordem que listei acima, isso significa que a caso uma política de match para “Append” por exemplo, os demais efeitos não são considerados.

Como criar uma Policy?

Agora que já tem uma noção do que é e do que conseguimos fazer com Azure Policy, vamos a melhor parte…hands on!

O primeiro passo é buscar por “Policy” em seu dashboard. Encontrando o recurso, clique sobre e logo após, no meu lateral esquerdo, clique em “Assignmets”.

Nessa tela é possível verificar as políticas existentes e criar outras. Nesse exemplo vamos criar uma Policy Assignment, apenas uma regra.

 

 

Nesse exemplo vamos definir que apenas a região “South Brazil” será permitida. Na primeira aba “Basics” o campo Scope define se a policy será aplicada a toda a subscription ou apenas a alguns Grupos de Recurso. Você pode definir isso clicar no “…” disponível em azul. No campo “Policy Definitions” clique no “…” e filtre por Location ou pelo que você deseja trabalhar.

Para definir a região permitida, clique na aba “Parameters” e selecione apenas a região que poderá ser utilizada. No meu caso South Brazil.

Feito isso basta revisar e criar a Policy!!

Como sei que funcionou (Compliance)?

Após a criação da Policy é preciso aguardar certo tempo pra que o Azure avalie todos os recursos existente e te informe o que está ou não dentro da regra definida. Como comentei, para recursos existentes o Azure fará uma varredura e lhe informará o que está fora de compliance. Para checar isso, aguarde alguns minutos e depois verifique o a tela de “Compliance”.

Veja que na primeira tela vemos o resultado “Non-Compliance” e ao clicar é possível enxergar quais recursos não estão na região que foi definida. Para validar novos recursos, tentei criar uma VM na região West US. Veja o resultado.

Com isso validamos que nossa Policy está funcionando muito bem!!

Posso criar minha política (Custom Policy)?

“Nathan, as políticas padrões do Azure não atendem meu ambiente”. Ok, você criar uma política utilizando a documentação disponibilizada pela Microsoft aqui.

Conclusão

Só a introdução a Azure Policy traz MUITAS ideias e testes a serem validados. Esse recurso é muito bacana para quem quer garantir alta gestão e controle sobre o ambiente Azure. Obviamente é preciso realizar um super mapeamento de todas as regras e definições para cada projeto e depois de tudo planejado, implantar no Azure.

Com outras práticas de gestão, que passarei para você aqui no blog, o sucesso garantido!

 

Espero que tenha curtido! Grande abraço \,,/