Spara pengar och öka er säkerhet med Azure Policy

I denna artikel bjuder vår Specialist Engineer och Microsoft Most Valuble Professional Carl Lindberg på sina tips kring hur du kan ta fram en effektiv styrningsstruktur med Azure Policy och både spara pengar och stärka säkerheten i din molnmiljö.

för 6 månader sedan

Effektiva styrningsstrukturer med Azure Policy

Molntjänster blir alltmer viktiga och en central del för företag. För många dock, oavsett storlek och bransch, kan detta vara en djungel fylld av obegränsade konfigurationer och val man kan göra. Hur många sätt kan man inte konfigurera en Azure Landing Zone på? Testat att skapa en virtuell maskin eller ett nätverk? Finns massor av val man ska göra som kan få konsekvenser längre fram i din molnresa. Detta kan vara överväldigande, särskilt när man inte har en teknisk bakgrund eller ett dedikerat Azure-team.

På Xenit strävar vi alltid efter att förenkla processer både för oss själva samt för dig som konsumerar molntjänster. Det gör vi bland annat genom att implementera effektiva styrningsstrukturer som säkerställer att din molnmiljö är säker och kostnadseffektiv.

Anatomin kring Azure Policy

Azure Policy är ett väldigt hjälpsamt verktyg inom Microsoft Azure som hjälper till att definiera, tillämpa och hantera regler och standarder över hela din molnmiljö. Detta verktyg säkerställer att dina resurser är konsekvent konfigurerade och följer era riktlinjer för styrning, säkerhet och kostnadseffektivitet.

Grundpelarna i Azure Policy är:

  • Definiera regler och riktlinjer: Du kan skapa specifika policydefinitioner som speglar dina företagsbehov och säkerhetskrav. Tänk er att en Policy Definition är som en instruktion till Azure Policy motorn över hur du vill att regler ska efterlevas
  • Tillämpa policyer på resurser: När policyer är definierade (Policy Definitions) tillämpas de på befintliga och nya resurser i din Azure-miljö, alltså det som kallas Policy Assignments i Azure
  • Utreda och utvärdera: Azure Policy utvärderar kontinuerligt statusen på dina resurser för att säkerställa att de överensstämmer med de fastställda policyerna. Om en resurs inte uppfyller en policy kan du se detta, förhindra att felaktig konfiguration uppstår och/eller rätta till resurser, det kallas Policy Remediation i Azure Policy

Utöver definitions, assignments & remediations finns även ingångar för att skapa Policy Exemptions för att kunna göra just det, undanta vissa resurser från vissa policyer om det krävs. Det finns slutligen även en ingång för Compliance som är en dashboard där du kan se hur bra du efterlever dina uppsatta riktlinjer.

Vidare utveckling kring Azure Policy och de olika delarna

Nu när vi känner till grundpelarna i Azure Policy och hur vi använder dem kommer nästa fråga, vad kan vi mer konkret göra med den informationen? Här diskuterar vi några av de grundläggande policyerna som varje organisation bör överväga för att upprätthålla en sund och säker molninfrastruktur. Vissa är lågt hängande frukter och andra kanske man inte tänker på lika ofta.

Resurslokaliseringspolicy: Denna policy ser till att alla resurser skapas i specifika, fördefinierade regioner, vilket kan vara kritiskt för att följa datajuridiska regler och optimera responstider. Sitter användarbasen i Sverige vill man exempelvis inte att databasen man pratar med ligger i Central US då det kommer introducera onödigt mycket nätverkslatens.

Policy för minimum på säkerhet: Fastställer säkerhetsbaslinjer för nätverk, datakryptering och åtkomst. Några exempel här kan vara att vi inte tillåter skapandet av subnät utan att applicera Network Security Groups (NSG) i Azure. Vi kan välja att inte tillåta att Storage Accounts, Azure SQL eller andra PaaS tjänster skapas med den publika åtkomsten från internet aktiverad utan kräver vad man kallar i Azure för Private Endpoints som integrerar PaaS tjänsten till ett virtuellt nätverk i Azure som vi själva kontrollerar.

Taggning och namngivningspolicy: Kräver att alla resurser taggas och namnges enligt en konsekvent och tydlig standard, vilket förenklar hanteringen och spårningen av molnresurser. Vi kan få en överskådlig blick över vilka resurser som saknar taggar och åtgärda dem direkt från Azure Policy med hjälp av tidigare nämnda policy remediation tasks.

Identifiera resurser som inte används: Resurser i Azure kostar pengar. Används dem inte så skall dem troligtvis inte finnas. Du kan med hjälp av Azure Policy identifiera resurser som publika IP adresser exempelvis som inte är kopplade till någon annan resurs och är därmed bara en resurs som kostar pengar. Om du inte behöver spara den av någon specifik anledning kan du ta bort den och spara kronorna till något annat.

Ovan är bara ett axplock generella regelverk som brukar passa bra för alla men frågan är vad just du behöver? Det kanske inte är applicerbart på den breda massan. Befinner ni er i retail-branschen så kommer era behov se annorlunda ut jämfört med ett bolag inom industri och fabrik. Är ni en skola eller annan kommunal organisation så kommer ni ha ytterligare regler och krav ni måste efterleva. Detta är något som vi på Xenit brinner för och vi har hjälpt många kunder i olika branscher designa och skapa miljöer som både följer bra standarder i grunden och samtidigt är anpassade efter varje specifik kunds behov och möjligheter.

Hur kommer man i gång med Azure Policy?

Vi på Xenit stöter ofta på kunder som känner att dem vill börja använda Azure mer och dem vill se till att lägga en bra grund för att inte måla in sig i ett hörn men det kan vara svårt att komma i gång.

Xenit är en långsiktig molnpartner med ledande kompetens inom Microsoft Azure och lång erfarenhet av att ta hand om våra kunder molnmiljöer. Vi arbetar med vedertagna och kända ramverk som Cloud Adoption Framework som är ett stöd för allt från hur du planerar och genomför migreringar till Azure Cloud till hur du ska sätta upp din molnmiljö rent praktiskt. Hur designar du dina management grupper? Hur placerar du ut dina Azure Landing Zones? Hur parar du ihop korrekt typer av policyer med korrekt typ av Landing Zone? En del policyer kan vara applicerbara för vissa områden medan det krävs andra på andra platser.

Hur gör du med säkerhet? Hur exakt fungerar samspelet mellan säkerhet i molnet och styrning med Azure Policy? Allt detta och lite till är det vi älskar att guida och sätta upp tillsammans med våra kunder. Molnmiljöer är i ständig förändring och det gäller att ha bra ramverk att följa för att inte hamna efter och det är där Xenit kommer in som din kompetenta partner som du kan luta dig mot för att kunna genomföra din organisations molnresa på bästa sätt.