6 september 2021
Uw governance bepaalt de restricties waarmee de oplossingen binnen uw organisatie worden opgezet. Zo kan het zijn dat uw services en data enkel binnen specifieke regio’s mogen landen. Een andere mogelijkheid is dat u kosten onder controle wilt houden, door het gebruik van specifieke services of pricing tiers. Een belangrijk onderdeel in het opzetten van de architectuur voor een Azure-omgeving, is het bepalen van de juiste governance. Dankzij Azure Policy kunt u deze restricties automatisch en optimaal door het Azure platform laten afdwingen. In deze blog laat ik u stapsgewijs zien hoe u Azure Policy op een veilige en verantwoordelijke manier inzet voor automatische en optimale governance.
Azure Policy bestaat uit business rules, die in een JSON formaat worden vastgelegd. Binnen deze definitie wordt aangegeven aan welke voorwaarden resources dienen te voldoen, en welke actie er dient te worden ondernomen wanneer een resource hiervan afwijkt. Zo kan er onder andere gekozen worden om resources niet toe te staan wanneer deze niet voldoen, of om deze enkel aan de audit log toe te voegen. Deze laatste optie wordt vaak gebruikt bij het opzetten van Azure Policy, om te bepalen waar bepaalde aanpassingen dienen te worden toegepast, zonder dat dit de omgeving verstoort.
Wanneer de definitie is opgezet, kan deze worden toegekend aan één of meerdere scopes. Zo kunt u uw policies toepassen op management groups, subscriptions, resource groups, of zelfs specifieke resources. Bovendien kunt u binnen een scope ook onderliggende delen uitsluiten, waardoor uitzonderingen kunnen worden gemaakt.
Azure biedt een groot aantal geconfigureerde policies, die eenvoudig kunnen worden toegepast. Daarnaast zijn er ook standaard initiatives. Deze bestaan uit een verzameling van verschillende policies, waarmee onder andere de eisen voor standaarden als ISO (International Organization for Standardization), HIPAA (Health Insurance Portability and Accountability Act) en PCI DSS (Payment Card Industry Data Security Standard) kunnen worden gemonitord. Uiteraard is het belangrijk dat u per policy bepaalt of deze voor uw specifieke omgeving van toepassing is. Wanneer de standaard policies niet voldoen, kunnen er bovendien custom policies gemaakt worden. Op deze manier kunnen vrijwel alle mogelijke business rules voor de omgeving automatisch afgedwongen worden.
Om inzicht te krijgen in de toegepaste policies en hun status, kan de compliance status worden opgehaald. Dit kan zowel via de portal als door middel van de command line. Hieruit komt een overzicht van de compliance status, en kunnen verdere inzichten verkregen worden.
Buiten het toepassen van policies op specifieke resources, kunt u deze ook onderdeel maken van Azure Blueprints. Hiermee kan een Azure-omgeving worden uitgerold met de juiste policies, ARM (Azure Resource Manager) templates en resource groups, waarbij de security al ingeregeld is. Op deze manier kunnen nieuwe omgevingen snel worden opgezet, waarbij deze direct voldoen aan de standaarden zoals u deze binnen uw architectuur bepaald heeft.
Door gebruik te maken van Azure Policy en Azure Blueprints kunt u ook snel en eenvoudig verschillende Azure Landing Zones uitrollen. Dit zijn subscriptions die voor een specifiek doel worden opgezet, zoals monitoring, een specifieke applicatie of een integratieplatform. Hierbinnen komen de resources welke voor dit specifieke doel worden gebruikt, zoals Virtual Machines en databases, of juist PaaS services zoals Service Bus, API Management of Logic Apps. Dankzij het gebruik van Azure Policy en Blueprints zorgt u ervoor dat deze altijd onder de juiste governance worden geïmplementeerd en standaard services worden uitgerold.
Azure Policy biedt veel voordelen voor het opzetten en bewaken van uw omgevingen. Binnen Motion10 hebben we onze kennis en ervaringen vastgelegd in een ruime repository aan policies en templates. We zetten deze onder andere in bij onze PitWall-oplossing, waardoor we data-, applicatie-, en integratieplatformen op een gecontroleerde en veilige manier kunnen implementeren en beheren.
U kunt deze uiteraard als losse templates gebruiken, maar ook als Landing Zone implementeren. Op deze manier kunt u op een snelle manier uw omgeving opzetten, geheel volgens de best practices van Microsoft en Motion10. Dit is inclusief zaken als het standaard toekennen van de juiste rollen en rechten, en uiteraard het werken onder governance. Bovendien is dit allemaal met standaard Azure componenten opgezet, zodat het eenvoudig uitbreidbaar is, de kosten duidelijk inzichtelijk zijn, en het platform eenvoudig over te dragen is.
Wilt u weten hoe uw organisatie de mogelijkheden van Azure Policy optimaal kan benutten? Neem dan contact op met uw Motion10 Accountmanager of Rob van Duijn, Unit Manager Modern Work & Security.
Neem contact op