Introductie
In de cloud is het vrij eenvoudig en snel om een basis 'service' op te zetten die ook onmiddellijk klaar is voor gebruik. Er zijn echter een aantal manieren die, alleen of in combinatie, kunnen worden gebruikt om onze verschillende 'resources' extra te beveiligen.
Het doel van deze blog is om je advies te geven over enkele van de beveiligings-services die je kan invoeren om de robuustheid van jouw gebruikte cloud services te verbeteren. Op deze manier kan je deze best practices en regels ook toepassen tijdens je werk.
Azure virtueel netwerk
Wat zijn virtuele netwerken?
Met Azure Virtual Networks kunnen Azure resources, zoals VM's, webtoepassingen en databases, met elkaar, met gebruikers op het internet en met de on-premise computers van jouw klanten communiceren.
Je kan een Azure netwerk zien als een uitbreiding van uw on-premises netwerk met bronnen die verbinding maken met andere Azure bronnen. Met het Azure virtuele netwerk kan je meerdere geïsoleerde virtuele netwerken creëren.
Wanneer u een virtueel netwerk opzet, definieer je een private IP-adresruimte met behulp van publieke of private IP-adresreeksen. De openbare IP-adresreeks bestaat alleen binnen het virtuele netwerk en is niet routeerbaar over het internet. Je kan deze IP-adresruimte onderverdelen in subnetten en aan elk genoemd subnet een deel van de gedefinieerde adresruimte toewijzen.
Voor naamresolutie kan je de ingebouwde naamresolutieservice van Azure gebruiken. Je kan het virtuele netwerk ook configureren om een interne of externe DNS-server te gebruiken.
Azure virtuele netwerken bieden de volgende belangrijke netwerkfuncties:
- Isolatie en segmentatie
- Internetcommunicatie
- Communicatie tussen Azure resources
- Communicatie met on-premise resources
- Routing van het netwerkverkeer
- Filteren van netwerkverkeer
- Verbinden van virtuele netwerken
Communiceren tussen Azure resources
Azure resources communiceren veilig met elkaar op een van de volgende manieren:
- Virtueel netwerk: U kunt meerdere soorten Azure resources deployen op een virtueel netwerk.
- Virtueel netwerkservice-eindpunt: Breid de privéadresruimte en virtuele netwerkidentiteit van jouw virtuele netwerk uit naar Azure service resources via een directe verbinding. Met service-eindpunten kan je de kritieke Azure service resources alleen voor een virtueel netwerk beveiligen.
- VNet Peering: Je kan virtuele netwerken aan elkaar koppelen met behulp van virtuele netwerk peering. Peering stelt de middelen in elk virtueel netwerk in staat om met elkaar te communiceren. Deze virtuele netwerken kunnen zich in afzonderlijke regio's bevinden, zodat je via Azure een wereldwijd gekoppeld netwerk kan creëren.
Communiceer met uw netwerk via VPN Gateway
Zodra je een virtueel netwerk hebt, dat geen openbaar IP-adres heeft, kan je een versleutelde verbinding tot stand brengen met behulp van VPN-gateways.
VPN's maken gebruik van een gecodeerde tunnel door een ander netwerk. Zij worden gewoonlijk gebruikt om twee of meer vertrouwde particuliere netwerken met elkaar te verbinden via een niet-vertrouwd netwerk (meestal het openbare internet). Het verkeer wordt gecodeerd terwijl het over het niet-vertrouwde netwerk reist om afluisteren of andere aanvallen te voorkomen.
VPN Gateway is een soort virtuele netwerk gateway. Instanties van de Azure VPN Gateway worden ingezet in een speciaal subnet van het virtuele netwerk en bieden de volgende connectiviteit:
- On-site datacenters verbinden met virtuele netwerken via een site-to-site verbinding.
- Verbind individuele apparaten met virtuele netwerken via een point-to-site verbinding.
- Verbind virtuele netwerken met andere virtuele netwerken via een netwerk-naar-netwerkverbinding.
Ons advies over het Azure Virtual Network
Al in de ontwikkelingsfase kan je virtuele netwerken opzetten om de verschillende resources van elkaar te scheiden, en door een "VPN" toe te voegen, beperk je ook de mogelijkheid van toegang van buitenaf, omdat de configuratie gemakkelijk op één of meer machines kan worden uitgevoerd dankzij de "Point-to-site" configuraties, waarvoor geen speciale hardware-infrastructuur nodig is.
Het nadeel van het VPN is dat het een dagelijkse kost genereert zodra het is ingesteld en niet kan worden gedeactiveerd zoals een virtuele machine, maar het basisaanbod, grotendeels voldoende voor ontwikkeling, is zeer toegankelijk.
De tweede overweging bij VPN's is dat sommige basis services niet de mogelijkheid hebben om er verbinding mee te maken en dat men zich moet abonneren op een service van een hoger niveau om deze netwerktoegang te beperken.
Azuurbeleid
Azure Policy is een service waarmee je 'policies' kan maken, toewijzen en beheren om je resources te controleren of te auditen. Deze policies passen verschillende regels toe op de configuraties van je resources om ervoor te zorgen dat deze blijven voldoen aan de 'corporate standards'.
Via zijn compliance dashboard biedt het een geaggregeerd overzicht om de algemene toestand van de omgeving te beoordelen, met de mogelijkheid om door te dringen tot op detailniveau per resource en policy.
Het helpt ook om je resources compliant te maken door een bestaande resources in bulk te herstellen en voor nieuwe resources te kiezen voor een automatisch herstel.
Veel voorkomende use cases voor Azure Policy zijn het implementeren van governance voor resource consistentie, naleving van regelgeving, beveiliging, kosten en beheer.
Policy-definities voor deze veelvoorkomende use cases zijn al beschikbaar in jouw Azure-omgeving als ingebouwde modules om je op weg te helpen.
Ons advies over Azure Policy
Het vaststellen van een reeks regels kan enige tijd in beslag nemen om alle mogelijkheden te definiëren en vast te leggen.
Anderzijds kan dit mettertijd gebeuren en heeft het het voordeel dat de implementatie van services of gebruik van de cloud wordt beperkt. Voorbeelden hiervan zijn mogelijke voorzorgsmaatregelen die fouten voorkomen zoals: de weg openlaten om de creatie van virtuele machines toe te staan, maar deze alleen in bepaalde regio's toestaan om juridische redenen en/of in een beperkte reeks producten om extra kosten te vermijden.
Azure blauwdrukken
Met Azure Blueprints kan je een herhaalbare set standaard Azure-governancetools en -middelen definiëren die jouw organisatie nodig heeft.
Een 'blueprint' is een 'package' met betrekking tot de implementatie van Azure-cloud services, beveiliging en ontwerp.
Als declaratieve manier om de deployment van verschillende resource modellen en andere artefacten te organiseren, kan een blueprint worden hergebruikt om consistentie en compliance te behouden,. Hierdoor kunenn ontwikkelingsteams snel nieuwe omgevingen bouwen en starten met het vertrouwen dat ze organisatorische compliance opbouwen met een set geïntegreerde componenten om ontwikkeling en oplevering te versnellen.
Enkele kenmerken van Azure Blueprints :
- Kan worden gebruikt om governance praktijken in een organisatie op te schalen.
- Organiseren van de deployment van verschillende resource-modellen en andere artefacten (roltoewijzingen, beleidstoewijzingen, ARM-modellen, resource-groepen, ...).
- De relatie tussen de blueprint definitie (wat moet worden deployed) en de blueprint toewijzing (wat is deployed) blijft behouden.
- Azure creëert een record dat een bron associeert met de blueprint die hem definieert. Deze verbinding helpt je om jouw implementaties te volgen en te controleren.
Hoe verschilt het van ARM-modellen?
Bijna alles wat je in Azure Blueprints wilt opnemen voor implementatie kan worden bereikt met een ARM-model.
Een ARM-sjabloon is echter een document dat van nature niet bestaat in Azure - ze worden ofwel lokaal opgeslagen, in source control, of in templates.
De template wordt gebruikt om een of meer Azure resources in te zetten, maar zodra deze resources zijn ingezet, is er geen actieve verbinding of relatie meer met de template.
Integratie van Azure Blueprints met Azure Policy
Azure Policy is een op resource-eigenschappen gebaseerd standaard en expliciet weigeringssysteem voor deployment en bestaande resources. Azure Policy ondersteunt cloud governance door te valideren dat resources in een abonnement voldoen aan eisen en normen.
Je kan Azure Policy opnemen als artefact in een blueprint definitie. Een policy in een blueprint maakt het mogelijk om het juiste model of ontwerp te creëren tijdens de toewijzing van de blueprint. Je kan ervoor zorgen dat alleen goedgekeurde of verwachte wijzigingen in de omgeving kunnen worden aangebracht en de voortdurende naleving van de bedoeling van de blueprint beschermen.
Meer informatie: https://learn.microsoft.com/en-us/azure/governance/blueprints/overview.
Ons advies over Networking
Ook hier moet enige planning worden bedacht en uitgevoerd. Het voordeel van deze dienst, die verschillende concepten kan omvatten (ARM, Policy, ...), is een volledige visie op de parameters van de uit te voeren diensten, zoals een architect zou doen bij het indienen van de plannen van de toekomstige bouw. In tegenstelling tot ARM-modellen die een eenmalig definitiemodel zijn, is dit te danken aan een declaratieve/herhaalbare methode om de deployment van jouw resources in de cloud te organiseren.
Meer weten?
Neem contact met ons op!
