Aan de slag met Azure Policy voor security & compliancy
Blogs
29-5-2019
Toezichthouders controleren organisaties steeds strenger op de inzet en het gebruik van beleid en IT. De gestelde wet – en regelgeving die door de Nederlandse Overheid vastgesteld is moet worden nageleefd. Maar hoe zorg je er als organisatie nou voor dat je volgens het gestelde beleid functioneert? Hoe zorg je ervoor dat jouw Microsoft Cloud omgeving conform eisen is? Precies dat regelen we met Azure Policy.
Azure Policy
Azure Policy is kosteloze service in Microsoft Azure die je kan gebruiken om regels conform jouw beleid te maken en deze toe te wijzen. Met dit beleid worden regels en effecten afgedwongen voor een pallet aan Azure assets, zodat deze voldoen aan standaarden en -service level agreements- van jouw organisatie. Je kunt bijvoorbeeld een regel hebben waarmee alleen virtuele machines van een bepaalde grootte of geografische locatie zijn toegestaan. Zodra een regel aangezet is, worden nieuwe en reeds bestaande assets gecontroleerd op naleving.Aan de slag met het instellen van maatregelen
In Azure Policy definieer je een set van maatregelen dat zich richt op de implementatie, handhaving en naleving van interne en externe wet- en regelgeving, alsmede op interne procedures en gedragsregels om te voorkomen dat de integriteit van de omgeving wordt aangetast. Deze maatregelen kunnen zelf in sets op maat samengesteld worden. Maatregelen kunnen op 2 manieren toegepast worden: forceren of controle modus. Forceren zal ervoor zorgen dat het beleid keihard wordt toegepast, daarentegen laat de controle modus alleen de afwijkingen zien en worden afwijkingen gerapporteerd.Beleidsdefinitie
Het maken en aanzetten van een maatregel in Azure Policy start met het definiëren van een beleidsdefinitie. Elke definitie heeft bepaalde voorwaarden voor het forceren daarvan. Vervolgens koppelen we een effect wat uitgevoerd kan worden als aan een bepaalde voorwaarde wordt voldaan.Voorbeelden
In Azure Policy zijn een aantal ingebouwde regels opgenomen die standaard beschikbaar zijn, hiernaast kan je ook je eigen regels samenstellen. • Windows Server 2019 vereisen: Hiermee controleer je of de Windows server resources gebruik maken van versie 2019. Vervolgens kan de keuze gemaakt worden om hierover te rapporteren (controle modus) of om de server niet meer te laten functioneren. Dit kan bijvoorbeeld gebruikt worden om te voorkomen dat oudere versies niet meer deployed kunnen worden of om je deployment proces simpel te maken door 1 bepaalde versie te gebruiken om zo wildgroei te voorkomen. • Resource types: In een regel-lijst kan worden opgenomen welke resources er aangemaakt kunnen worden. Daarmee zorg je ervoor dat resources die geen onderdeel zijn van de lijst, niet deployed kunnen worden. Erg handig om controle te hebben en houden zodat het geen brei wordt en een overzichtelijke lifecycle te kunnen hanteren. • Toegestane locatie: Er kan worden aangegeven in welke regio Azure resources deployed mogen worden. Hiermee kan je bijvoorbeeld voorkomen dat bepaalde reources buiten Europa actief worden. • Tags meegeven: In Azure kan je resources zogenaamde tags meegeven, met behulp van een maatregel kan je deze verplichten. Hiermee zorg je dat een tag aan bepaalde voorwaarden voldoet en elke resources er 1 heeft, dit biedt voordelen bij gebruik, inzicht en ook bij facturatie, zeker in een omgeving waar een diversiteit aan rollen aanwezig zijn. Tip Stel eerst je beleid samen en pas deze toe op je resources in controle modus om erachter te komen hoeveel afwijkingen er zijn, om dat vervolgens te kunnen gebruiken in een analyse om te zien wat de impact is als je de maatregel gaat forceren. Het is best mogelijk dat je assets behoorlijk afwijken van het gedefinieerde beleid en dan kan het forceren van maatregelen voor onvoorziene impact/verstoren kan leiden.
Meer informatie en links
Govern your Azure environment through Azure Policy : Build 2018
Azure Policy Definition
Cloud governance at Microsoft through Azure Policy management groups and the Azure - THR2360
Een beleidsdefinitie toewijzen met behulp van de portal
Een beleidsdefinitie toewijzen met behulp van Azure CLI
Een beleidsdefinitie toewijzen met behulp van PowerShell