Azure Policy ゲスト構成のカスタム コンテンツのプレビュー

2019年8月22日 に投稿済み

Principal Program Manager, Azure Policy

本日、Azure Policy の新機能のプレビューを発表しました。お客様は、Linux および Windows 仮想マシン (VM) 内の設定を監査するゲスト構成機能を使用して、カスタム コンテンツを作成および発行できるようになりました。

ゲスト構成プラットフォームは、Microsoft が提供する組み込みコンテンツで一般提供されています。お客様はこのプラットフォームを使用して、サーバーにアクセスできるユーザー、インストールされているアプリケーション、証明書が最新かどうか、サーバーがネットワークの場所に接続できるかどうかなどの一般的なシナリオを監査しています。

Azure Policy の [定義] ページの画像。

本日から、お客様は PowerShell ギャラリーに公開された新しいツールを使用して、開発者ワークステーションと CI/CD プラットフォーム (Azure DevOps など) の両方で独自のコンテンツ パッケージを作成、テスト、発行できます。

たとえば、組織が開発したアプリケーションを Azure 仮想マシン上で実行する場合、Azure でそのアプリケーションの構成を監査し、フリート内の VM のいずれかが準拠していないときに通知を受けることができます。

これは、構成ベースラインを監査する必要があるコンプライアンス チームにとって重要なマイルストーンでもあります。Microsoft が推奨するセキュリティ構成ベースラインを使用して Windows マシンを監査する組み込みポリシーが既にあります。  カスタム コンテンツは、構成詳細の一般的なソースであるグループ ポリシーのコンテンツにシナリオを拡張します。グループ ポリシー形式から、Azure Policy ゲスト構成で使用される Desired State Configuration 構文に変換するためのツールが用意されています。グループ ポリシーは、規制基準を公開する組織で使用される一般的な形式であり、エンタープライズ組織がプライベート データセンターのサーバーを管理するための一般的なツールです。

最後に、カスタム コンテンツ パッケージを発行するお客様は、サード パーティのツールを含めることができます。多くのお客様は、既存のツールを使用して、運用環境へのリリース前に仮想マシン内の設定の監査を実行しています。たとえば、gcInSpec モジュールは、Microsoft と Chef のメンテナンス ツールと共に、オープンソース プロジェクトとして公開されています。このモジュールをコンテンツ パッケージに含めることで、Chef InSpec への既存の投資を利用して Windows 仮想マシンを監査できます。

詳細、および Azure Policy ゲスト構成でカスタム コンテンツの使用を開始する方法については、「ゲスト構成ポリシーを作成する方法」をご覧ください。