O que é Azure Policy? Uma Visão Completa
O Azure Policy é um recurso da Microsoft Azure que ajuda organizações a implementar governança e compliance de forma automatizada e em larga escala. Ele garante que os recursos na nuvem estejam em conformidade com as diretrizes corporativas, padrões de segurança e requisitos regulatórios. Imagine que, toda vez que você vê uma placa — seja no shopping ou no trânsito — ela funciona como uma policy (política). A placa tem a função de te alertar sobre regras e comportamentos esperados. Caso você não siga essas orientações e um segurança perceba a irregularidade, ele pode te abordar, corrigir sua ação ou até mesmo te impedir de continuar no local.
O que o Azure Policy Faz?
O Azure Policy avalia continuamente os recursos e as ações no Azure com base em definições de política. Essas definições, escritas em formato JSON, descrevem regras que determinam se os recursos estão ou não em conformidade com os padrões estabelecidos.
Principais Benefícios e Casos de Uso:
- Conformidade em Larga Escala: Avalia recursos e toma ações automáticas para garantir conformidade.
- Automação e Consistência: Implementa políticas de maneira consistente em todas as suas assinaturas e grupos de recursos.
- Segurança e Gerenciamento: Reforça políticas de segurança, como restringir SKUs de VMs, impor criptografia e definir regiões específicas para implantação de recursos.
- Conformidade Regulatória: Auxilia no cumprimento de normas como GDPR, ISO 27001 e SOC 2.
Como o Azure Policy Funciona?
O Azure Policy funciona criando e aplicando definições de política e iniciativas para controlar como os recursos são implantados e gerenciados. Esses componentes incluem:
Definições de Política
Uma definição de política é uma regra individual que descreve um critério para conformidade, como:
- Permitir a criação de recursos apenas em uma região específica.
- Garantir que todas as VMs utilizem discos criptografados.
Exemplo de definição de política em JSON:
1
2
3
4
5
6
7
8
9
10
11
12
{
"mode": "All",
"policyRule": {
"if": {
"field": "location",
"notIn": ["eastus", "westus"]
},
"then": {
"effect": "deny"
}
}
}
Iniciativas
Uma iniciativa é uma coleção de múltiplas definições de políticas agrupadas com um propósito comum, como:
- Garantir conformidade regulatória (por exemplo: GDPR, ISO 27001).
- Padronizar a segurança de uma aplicação.
Atribuições
Uma atribuição de política aplica uma definição ou iniciativa a um escopo específico, como:
- Assinatura Azure.
- Grupo de Recursos.
- Recurso Individual.
Efeitos das Políticas
As políticas podem ter diferentes efeitos, como:
- Deny: Impede a criação ou modificação de recursos não conformes.
- Audit: Apenas registra a não conformidade sem bloquear a ação.
- Modify: Faz modificações automáticas nos recursos para garantir conformidade.
- DeployIfNotExists: Implanta recursos adicionais para garantir conformidade.
Imagine a Situação: Ser Bloqueado por uma Política do Azure
Imagine que você está tentando implantar uma nova máquina virtual no Azure para testar uma aplicação. Você escolhe uma região aleatória, digamos South India, porque parece conveniente no momento. No entanto, ao tentar concluir a criação da VM, você recebe um erro:
“A criação de recursos nesta região não está permitida pela política da empresa.”
O que aconteceu? Você foi impedido por uma Azure Policy aplicada em sua organização! Essa política foi configurada pelo time de governança de TI para garantir que todos os recursos sejam criados apenas em regiões específicas, como East US e West Europe, por razões de conformidade e segurança.
Frustração? Sim. Mas por uma Boa Razão.
Parece frustrante ser bloqueado quando você só queria testar uma VM, certo? No entanto, o propósito dessa regra não é atrapalhar seu trabalho, mas sim proteger o ambiente da empresa e manter padrões consistentes. Veja o porquê:
- ✅ Conformidade Legal: Algumas empresas precisam armazenar dados apenas em regiões específicas por leis como a LGPD (Lei Geral de Proteção de Dados).
- ✅ Otimização de Custos: Restringir o uso de regiões mais caras pode reduzir significativamente os gastos.
Como Resolver?
Se você precisar de uma exceção para essa política, você pode:
- Solicitar uma Isenção (Exemption): Um administrador pode criar uma isenção temporária para um recurso específico.
- Testar em um Sandbox: Se for um teste, você pode pedir acesso a um ambiente separado sem restrições.
- Propor uma Revisão da Política: Se a necessidade for frequente, pode ser o caso de revisar a política e flexibilizar as regiões permitidas.
Essa experiência mostra como o Azure Policy ajuda a manter o controle e a segurança, mesmo quando parece um bloqueio.
Azure Policy vs Azure RBAC (Controle de Acesso Baseado em Função)
Embora ambos estejam relacionados à governança e controle no Azure, eles têm propósitos diferentes:
| Aspecto | Azure Policy | Azure RBAC |
|---|---|---|
| Objetivo Principal | Garantir conformidade de recursos | Controlar permissões de acesso |
| Escopo de Aplicação | Regras de conformidade e segurança | Controle de ações de usuários |
| Exemplo de Uso | Negar criação de VMs não criptografadas | Restringir quem pode criar VMs |
Melhores Práticas ao Utilizar Azure Policy
- Inicie com o Efeito Audit: Antes de bloquear recursos, use
Auditpara monitorar o impacto das políticas. - Use Iniciativas: Agrupe políticas relacionadas para facilitar a gestão.
- Automatize com IAC: Implemente Azure Policy como infraestrutura como código (IAC) para aplicar políticas de forma automatizada em pipelines CI/CD.
- Exclua Recursos Sensíveis: Utilize
notScopespara excluir recursos ou grupos de recursos específicos de políticas rígidas.
Conclusão
O Azure Policy é uma ferramenta essencial para garantir governança e conformidade no Azure. Ele proporciona controle robusto para organizações que buscam proteger seus ambientes de nuvem e manter padrões de segurança e conformidade regulatória.
Implementando boas práticas e monitoramento contínuo, sua organização pode manter um ambiente seguro e alinhado às políticas corporativas.
Ao estudar Azure Policy você estará se preparando para as certificações:
- Microsoft Certified: Azure Administrator Associate (AZ-104)
- Microsoft Certified: Azure Security Engineer Associate (AZ-500)
Nos próximos artigos, irei demonstrar de forma prática projetos que implementei em organizações de nível enterprise.
