Journey of Cloud Data Engineer

1. 개요:

직장 내에서 새로운 규칙이 생겼다고 가정해봅시다. "퇴근하는 마지막 사람이 불을 끄고 갈 것" 이라고 했을 때 과연 이 보안 규칙이 잘 유지가 될 지는...쉽지 않은 일입니다.

클라우드 환경에서도 마찬가지로 특정 보안 규칙을 수동으로 적용하기에는 아무래도 한계가 있습니다

하지만 우리의 친구 Azure에는 이러한 문제를 해결해주는 기능이 있는데요 Azure Policy 입니다.

Azure Policy는 조직의 거버넌스와 규정 준수를 자동화 하기 위한 도구 입니다.

2. 구성 요소:

정책 정의의 구성 요소

displayName :  정책의 이름

description : 정책에 대한 설명

mode : 정책이 적용 되는 리소스의 유형

parameters : 정책이 전달되는 매개 변수

policyRule : 정책의 조건과 효과를 정의

정책 효과의 종류

Deny :  정책 조건에 충족하지 않는다면 생성이나 업데이트를 거부

Audit : 조건에 충족되지 않는 리소스를 감사 로그에 기록

Append : 리소스에 추가적인 속성을 추가

Modify : 리소스의 속성 수정

DeployIFNotExists : 조건에 맞는 리소스가 없다면 자동으로 배포

3. 적용 과정:

먼저 정책에서 정의(Definition)에 들어가줍니다

보시면 아시겠지만 내장되어 있는 정책이 거의 수백가지인데요 

이걸 하나하나 보기에는 정신 건강에 해롭습니다. 그래서 검색을 해서 필요한 정책을 살펴봅니다

제가 찾은 건 'Azure 백업은 가상 머신에서 활성화되야 한다' 라는 정책입니다

보시는 것처럼 JSON으로 정책이 만들어져 있는데요 이 코드를 가져가서 커스텀 하는 것도 물론 가능합니다.

저는 이 정책을 그대로 Assign Policy 해서 범위를 할당시켜 보겠습니다.

구독과 특정 리소스 그룹에 대해 설정할 수 있고

해당 리소스 그룹 내에서 특정 리소스만 제외를 할 수도 있습니다

주의할 점이 하나 있는데요

기본적으로 정책을 할당하면 새로 생성한 리소스에만 적용이 됩니다

만약 기존 리소스에도 정책을 적용하고 싶다면 수정 조치(Remediation) 을 해야하는 겁니다

Remediation(수정 조치)의 동작 방식

1) DeployIfNotExists 정책이 있는 경우 → 정책 위반 리소스에 대해 지정된 템플릿을 배포

2) Modify 정책이 있는 경우 → 기존 리소스의 태그를 수정

Non-compliance messages 는 정책을 위한한 리소스가 있다면 왜 정책을 위반했는지 말해주는 메시지를 제공해줍니다

특정 리소스가 정책에 맞지 않아 거부되었을 때(Deny 효과 적용 시) 나 평가 결과에서 비준수(non-compliant) 상태로 표시될 때 이 메시지가 보이는 거죠

참고자료

Azure 정책 개요 - Azure Policy | Microsoft Learn

Azure Policy 정의 구조 기본 사항에 대한 세부 정보 - Azure Policy | Microsoft Learn

오랜만에 포스팅 합니다

다시 Azure 에 대해 달려보도록 하며 AWS 포스팅도 슬슬 시작해야겠습니다.