Tweet
Trình diễn Azure Policy – Bắt đầu quản trị Azure theo hướng Governance thực tế
Azure không chỉ là triển khai VM, Storage hay Virtual Network. Trong môi trường doanh nghiệp, một phần rất quan trọng là Governance — kiểm soát tài nguyên được tạo ra như thế nào, ở đâu, có tuân thủ chuẩn bảo mật hay không.
Một trong những dịch vụ cốt lõi cho mục tiêu đó là Azure Policy.
Bài lab này sẽ minh họa cách:
Đây cũng là nội dung nền tảng trong AZ-104 và quản trị Azure thực tế.
Phần 1 — Gán một Azure Policy
Bước 1: Truy cập Azure Portal
Vào Azure Portal và tìm dịch vụ Policy.
Bước 2: Vào Assignments
Ở menu bên trái chọn:
Assignments
Đây là nơi hiển thị tất cả các policy đang được áp dụng.
Bước 3: Chọn Assign Policy
Nhấn:
Assign Policy
Đây là thao tác gắn một chính sách vào phạm vi quản trị cụ thể.
Scope là gì?
Phần Scope xác định policy sẽ áp dụng ở đâu:
Azure Policy kế thừa theo hierarchy.
Ví dụ:
Nếu gán ở Management Group thì toàn bộ Subscription và Resource bên dưới đều chịu chính sách đó.
Bước 4: Chọn Policy Definition
Nhấn dấu ba chấm (...) tại:
Policy Definition
Azure có rất nhiều Built-in Policies có sẵn.
Ví dụ:
Bước 5: Chọn “Allowed locations”
Tìm và chọn:
Allowed locations
Policy này giới hạn chỉ cho phép triển khai tài nguyên tại các region được chỉ định.
Ví dụ:
Chỉ cho phép:
Nếu ai cố tạo VM tại Japan East thì Azure sẽ chặn.
Đây là policy rất phổ biến để:
Bước 6: Cấu hình Parameters
Qua tab:
Parameters
Chọn một hoặc nhiều vùng được phép.
Ví dụ:
Bước 7: Review và Create
Chọn:
Review + Create
sau đó:
Create
Policy bắt đầu được áp dụng.
Phần 2 — Tạo Initiative Definition
Initiative là gì?
Nếu Policy là một luật đơn lẻ,
thì Initiative là tập hợp nhiều policy.
Có thể xem như:
Policy Set / Compliance Package.
Ví dụ Initiative cho branch office có thể gồm:
Tạo Initiative
Vào:
Policy
→ Definitions
→ Initiative Definition
Chọn:
Create Initiative
Điền thông tin
Khai báo:
Name
Description
Category (có thể tạo category mới)
Ví dụ:
Category: Security Baseline
Thêm các Policy vào Initiative
Chọn:
Add Policy
Thêm:
Ví dụ nên thử:
Require a tag and its value
Hoặc:
Not allowed resource types
Gán Initiative vào Subscription
Save initiative.
Sau đó Assign initiative cho Subscription.
Lúc này nhiều policy được áp dụng cùng lúc.
Đây là cách triển khai governance ở quy mô lớn.
Phần 3 — Kiểm tra Compliance
Quay lại Azure Policy:
Chọn:
Compliance
Tại đây có thể xem:
Đây chính là dashboard cho governance.
Ví dụ có thể thấy:
92% compliant
8% vi phạm policy
Cách Azure đánh giá Compliance
Azure Policy liên tục:
Nó không chỉ chặn deploy mới mà còn rà soát tài nguyên cũ.
Đây là điểm rất mạnh.
Phần 4 — Xem Remediation Tasks
Vào:
Policy
→ Remediation
Nếu policy hỗ trợ remediation, Azure có thể tự sửa vi phạm.
Ví dụ:
Resource thiếu tag
→ Azure tự thêm tag
Storage chưa bật diagnostic logging
→ có thể remediation tự động
Đây là khác biệt giữa “detect” và “enforce + fix”.
Phần 5 — Gỡ bỏ chính sách thử nghiệm
Xóa Policy Assignment
Policy
→ Assignments
Chọn:
Allowed Locations
Delete Assignment
Xóa Initiative
Policy
→ Initiatives
Chọn initiative vừa tạo
Delete Initiative
Lab kết thúc.
Góc thực chiến
Trong môi trường production, thường áp dụng các policy sau đầu tiên:
Ngăn resource được tạo sai region.
Ví dụ bắt buộc có:
Rất hữu ích cho chargeback và Cost Management.
Rất phổ biến trong security baseline.
Giúp tránh deploy máy quá lớn gây phát sinh chi phí.
Policy vs RBAC
Nhiều người mới hay nhầm:
RBAC kiểm soát ai được làm gì
Azure Policy kiểm soát được phép tạo cái gì
Hai thứ bổ sung cho nhau.
Không thay thế nhau.
Best Practice quan trọng
Microsoft khuyến nghị:
Dù chỉ có vài policy, vẫn nên gom thành Initiative.
Vì:
Đây là best practice thực tế.
Kết luận
Azure Policy chính là nền móng của Cloud Governance.
Nếu chưa dùng Policy, môi trường Azure rất dễ rơi vào:
Bắt đầu chỉ với policy “Allowed Locations” là một lab rất tốt để hiểu tư duy governance trên Azure.
Azure không chỉ là triển khai VM, Storage hay Virtual Network. Trong môi trường doanh nghiệp, một phần rất quan trọng là Governance — kiểm soát tài nguyên được tạo ra như thế nào, ở đâu, có tuân thủ chuẩn bảo mật hay không.
Một trong những dịch vụ cốt lõi cho mục tiêu đó là Azure Policy.
Bài lab này sẽ minh họa cách:
- Gán một Azure Policy
- Tạo Initiative (Policy Set)
- Kiểm tra Compliance
- Xem Remediation Tasks
- Xóa chính sách sau khi thử nghiệm
Đây cũng là nội dung nền tảng trong AZ-104 và quản trị Azure thực tế.
Phần 1 — Gán một Azure Policy
Bước 1: Truy cập Azure Portal
Vào Azure Portal và tìm dịch vụ Policy.
Bước 2: Vào Assignments
Ở menu bên trái chọn:
Assignments
Đây là nơi hiển thị tất cả các policy đang được áp dụng.
Bước 3: Chọn Assign Policy
Nhấn:
Assign Policy
Đây là thao tác gắn một chính sách vào phạm vi quản trị cụ thể.
Scope là gì?
Phần Scope xác định policy sẽ áp dụng ở đâu:
- Management Group
- Subscription
- Resource Group
Azure Policy kế thừa theo hierarchy.
Ví dụ:
Nếu gán ở Management Group thì toàn bộ Subscription và Resource bên dưới đều chịu chính sách đó.
Bước 4: Chọn Policy Definition
Nhấn dấu ba chấm (...) tại:
Policy Definition
Azure có rất nhiều Built-in Policies có sẵn.
Ví dụ:
- Allowed locations
- Require tags
- Restrict public IP exposure
- Allowed VM SKUs
- Enforce encryption
Bước 5: Chọn “Allowed locations”
Tìm và chọn:
Allowed locations
Policy này giới hạn chỉ cho phép triển khai tài nguyên tại các region được chỉ định.
Ví dụ:
Chỉ cho phép:
- East US
- West Europe
- Southeast Asia
Nếu ai cố tạo VM tại Japan East thì Azure sẽ chặn.
Đây là policy rất phổ biến để:
- Tuân thủ Data Residency
- Giảm chi phí
- Chuẩn hóa kiến trúc đa vùng
Bước 6: Cấu hình Parameters
Qua tab:
Parameters
Chọn một hoặc nhiều vùng được phép.
Ví dụ:
- East US
- Canada Central
Bước 7: Review và Create
Chọn:
Review + Create
sau đó:
Create
Policy bắt đầu được áp dụng.
Phần 2 — Tạo Initiative Definition
Initiative là gì?
Nếu Policy là một luật đơn lẻ,
thì Initiative là tập hợp nhiều policy.
Có thể xem như:
Policy Set / Compliance Package.
Ví dụ Initiative cho branch office có thể gồm:
- Chỉ cho phép một số region
- Bắt buộc gắn tag
- Cấm Public IP
- Bật mã hóa Storage
Tạo Initiative
Vào:
Policy
→ Definitions
→ Initiative Definition
Chọn:
Create Initiative
Điền thông tin
Khai báo:
Name
Description
Category (có thể tạo category mới)
Ví dụ:
Category: Security Baseline
Thêm các Policy vào Initiative
Chọn:
Add Policy
Thêm:
- Allowed Locations
- Một policy khác tùy chọn
Ví dụ nên thử:
Require a tag and its value
Hoặc:
Not allowed resource types
Gán Initiative vào Subscription
Save initiative.
Sau đó Assign initiative cho Subscription.
Lúc này nhiều policy được áp dụng cùng lúc.
Đây là cách triển khai governance ở quy mô lớn.
Phần 3 — Kiểm tra Compliance
Quay lại Azure Policy:
Chọn:
Compliance
Tại đây có thể xem:
- Compliant resources
- Non-compliant resources
- Compliance percentage
Đây chính là dashboard cho governance.
Ví dụ có thể thấy:
92% compliant
8% vi phạm policy
Cách Azure đánh giá Compliance
Azure Policy liên tục:
- Real-time evaluation
- Periodic scan
- On-demand scan
Nó không chỉ chặn deploy mới mà còn rà soát tài nguyên cũ.
Đây là điểm rất mạnh.
Phần 4 — Xem Remediation Tasks
Vào:
Policy
→ Remediation
Nếu policy hỗ trợ remediation, Azure có thể tự sửa vi phạm.
Ví dụ:
Resource thiếu tag
→ Azure tự thêm tag
Storage chưa bật diagnostic logging
→ có thể remediation tự động
Đây là khác biệt giữa “detect” và “enforce + fix”.
Phần 5 — Gỡ bỏ chính sách thử nghiệm
Xóa Policy Assignment
Policy
→ Assignments
Chọn:
Allowed Locations
Delete Assignment
Xóa Initiative
Policy
→ Initiatives
Chọn initiative vừa tạo
Delete Initiative
Lab kết thúc.
Góc thực chiến
Trong môi trường production, thường áp dụng các policy sau đầu tiên:
- Allowed Locations
Ngăn resource được tạo sai region.
- Required Tags
Ví dụ bắt buộc có:
- Owner
- CostCenter
- Environment
Rất hữu ích cho chargeback và Cost Management.
- Không cho Public IP
Rất phổ biến trong security baseline.
- Chỉ cho phép một số VM Size
Giúp tránh deploy máy quá lớn gây phát sinh chi phí.
Policy vs RBAC
Nhiều người mới hay nhầm:
RBAC kiểm soát ai được làm gì
Azure Policy kiểm soát được phép tạo cái gì
Hai thứ bổ sung cho nhau.
Không thay thế nhau.
Best Practice quan trọng
Microsoft khuyến nghị:
Dù chỉ có vài policy, vẫn nên gom thành Initiative.
Vì:
- Dễ theo dõi compliance
- Dễ versioning
- Dễ áp chuẩn enterprise
Đây là best practice thực tế.
Kết luận
Azure Policy chính là nền móng của Cloud Governance.
Nếu chưa dùng Policy, môi trường Azure rất dễ rơi vào:
- Resource sprawl
- Sai chuẩn bảo mật
- Khó kiểm soát chi phí
- Khó audit compliance
Bắt đầu chỉ với policy “Allowed Locations” là một lab rất tốt để hiểu tư duy governance trên Azure.
Attached Files