Inleiding
In de cloud kan het heel eenvoudig en snel zijn om een basisdienst aan te bieden zodat deze klaar is voor gebruik. Daarnaast bestaat er een reeks procedures die afzonderlijk of in combinatie kunnen worden gebruikt om een aanvullende beveiliging van onze verschillende bronnen te garanderen.
L'objectif de ce billet de blog est de vous donner quelques conseils sur certains services de sécurité que vous pouvez mettre en place afin d'ajouter de la robustesse aux services que vous utilisez sur le cloud, vous permettant ainsi de suivre et de mettre en œuvre certaines bonnes pratiques et règles que vous souhaitez appliquer pour votre entreprise.
Azure virtueel netwerk
Wat zijn virtuele netwerken?
Les réseaux virtuels Azure permettent aux ressources Azure, telles que les VM, les applications Web et les bases de données, de communiquer entre elles, avec les utilisateurs sur Internet et avec vos ordinateurs clients sur site.
Je kunt een virtuele server Azure beschouwen als een uitbreiding van je virtuele server met bronnen die afhankelijk zijn van andere virtuele bronnen Azure. Met Le réseau virtuel Azure kunt u meerdere geïsoleerde virtuele netwerken creëren.
Wanneer u een virtueel netwerk configureert, definieert u een privé IP-adresruimte door gebruik te maken van openbare of privé IP-adressen. La plage d'adresses IP publiques n'existe qu'au sein du réseau virtuel et n'est pas routable sur Internet. U kunt deze IP-adresruimte onderverdelen in sous-réseaux en een deel van de IP-adresruimte toewijzen aan elke sous-réseau.
Voor het oplossen van namen kunt u gebruikmaken van de service voor het oplossen van namen die is geïntegreerd in Azure. Je kunt ook de virtuele server configureren om een DNS interne of externe server te gebruiken.
Les réseaux virtuels Azure offrent les principales fonctionnalités de mise en réseau suivantes :
- Isolatie en segmentatie
- Communicatie Internet
- Communicatie tussen bronnen Azure
- Communicatie met bronnen op de site
- Verkeersstroom beperken
- Filtratie van het verkeersnetwerk
- Virtuele netwerken aansluiten
Communiceren tussen bronnen Azure
Les ressources Azure communiquent entre elles de manière sécurisée par l'un des moyens suivants :
- Virtueel netwerk: U kunt verschillende soorten bronnen Azure inzetten op een virtueel netwerk.
- Point de terminaison de service de réseau virtuel: Étendez l'espace d'adressage privé de votre réseau virtuel et l'identité de votre réseau virtuel aux ressources de service Azure via une connexion direct. Les endpoints de service vous permettent de sécuriser vos ressources de service Azure critiques à un réseau virtuel uniquement.
- VNet Peering: U kunt virtuele netwerken tussen elkaar verbinden door gebruik te maken van peering van virtuele netwerken. Le peering geeft de bronnen van elk virtueel netwerk de mogelijkheid om met elkaar te communiceren. Deze virtuele stations kunnen zich in verschillende regio's bevinden, waardoor je een wereldwijd verbonden netwerk kunt creëren via Azure.
Communiceer met uw netwerk via VPN Gateway
Zodra u een virtueel netwerk hebt en er geen openbaar IP-adres is, kunt u een beveiligde verbinding tot stand brengen via VPN Gateway.
Les VPN utilisent un tunnel crypté au sein d'un autre réseau. Ils sont généralement déployés pour connecter deux ou plusieurs réseaux privés de confiance l'un à l'autre sur un réseau non fiable (généralement l'internet public). Het verkeer wordt versleuteld als het over het niet-veilige netwerk gaat om te voorkomen dat er scoutes of andere aanvallen worden uitgevoerd.
VPN Gateway is een type passerelle de réseau virtuel. Les instances du Azure VPN Gateway sont déployées dans un sous-réseau dédié du réseau virtuel et permettent la connectivité suivante:
- Verbind gegevenscentra op de site met virtuele netwerken via een verbinding van site naar site.
- Verbind individuele apparaten met virtuele netwerken door middel van een verbindingspunt op de site.
- Verbind virtuele netwerken met andere virtuele netwerken via een verbinding van netwerk naar netwerk.
Onze adviezen over het Azure Virtual Network
Tijdens de ontwikkelingsfase kunt u virtuele netwerken opzetten om uw verschillende bronnen over elkaar te verdelen, en door een "VPN" toe te voegen, beperkt u ook de toegangsmogelijkheden tot externe apparaten, omdat de configuratie eenvoudig kan worden uitgevoerd op een of meer machines dankzij configuraties voor "Point-to-site" die geen specifieke infrastructuur vereisen.
L'inconvénient du VPN est qu'il génère un coût journalier dès sa mise en place et ne peut être désactivé comme une machine virtuelle, cependant l'offre de base, largement suffisante pour le développement, est très accessible.
Het tweede element waar je rekening mee moet houden met de virtuele privéservers is dat bepaalde basisdiensten niet over de noodzakelijke optie beschikken om verbinding te maken en dat het daarom noodzakelijk is om je aan te melden bij een service van een hoger niveau om de toegang tot de netwerkverbinding te beperken.
Azure beleid
Azure Policy is een service waarmee je beleidsregels kunt opstellen, toewijzen en beheren om je bronnen te beheren of te controleren. Deze beleidsregels passen verschillende regels toe op de configuraties van uw bronnen, zodat deze blijven voldoen aan de bedrijfsnormen.
Grâce à son tableau de bord de conformité, il fournit une vue agrégée pour évaluer l'état global de l'environnement, avec la possibilité d'effectuer une analyse approfondie de la granularité par ressource et par politique.
Ze helpt ook om uw bronnen conform te maken dankzij een globale remediatie voor bestaande bronnen en een automatische remediatie voor nieuwe bronnen.
Les cas d'utilisation courants d'Azure Policy comprennent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, les coûts et la gestion.
De beleidsdefinities voor deze courante gebruiksgevallen zijn beschikbaar in uw omgeving Azure als geïntegreerde modules waarmee u ze kunt uitvoeren.
Onze adviezen over Azure Policy
De definitie van een geheel van regels vergt enige tijd om alle mogelijkheden te definiëren en vast te leggen.
D'un autre côté, cela peut se faire dans le temps et présente l'avantage de restreindre complètement la mise en œuvre des services ou des utilisations qui sont faites dans le Cloud, comme des garde-fous qui évitent des erreurs telles que : laisser la voie ouverte pour permettre la création de machines virtuelles mais ne les autoriser que dans certaines régions pour des questions juridiques et/ou dans une gamme limitée de produits pour éviter des coûts supplémentaires.
Azure blauwdrukken
Met Azure Blueprints kunt u een reproduceerbaar ensemble definiëren van standaard Azure-besturingselementen en -bronnen die uw organisatie nodig heeft.
Een blauwdruk is een geheel dat verband houdt met de implementatie van cloudservices van Azure, met de veiligheid en het ontwerp.
En tant que moyen déclaratif d'orchestrer le déploiement de divers modèles de ressources et d'autres artefacts, un blueprint peut être réutilisé pour maintenir la cohérence et la conformité, maakt het voor ontwikkelingsafdelingen mogelijk om snel nieuwe omgevingen te bouwen en te realiseren met het vertrouwen dat ze conform de organisatie zijn gebouwd met een geïntegreerd geheel van componenten om de ontwikkeling en de realisatie te versnellen.
Enkele kenmerken van Azure Blueprints :
- Kan worden gebruikt om de bestuursprincipes in het geheel van een organisatie op niveau te brengen.
- Orchestrer le déploiement de divers modèles de ressources et d'autres artefacts (affectations de rôles, affectations de politiques, modèles ARM, groupes de ressources, ...).
- La relation entre la définition du blueprint (ce qui doit être déployé) et l'affectation du blueprint (ce qui a été déployé) est préservée.
- Azure creëert een registratie die een bron koppelt aan de blauwdruk die het definieert. Deze verbinding helpt je bij het opvolgen en controleren van je implementaties.
Waarin verschilt dit model van ARM?
Bijna alles wat je wilt opnemen in Azure Blueprints kan worden bereikt met een ARM-module.
Een modèle ARM is echter een document dat niet bestaat in Azure - chacun wordt lokaal opgeslagen, in de controle van bronnen, in modèles.
Le modèle est utilisé pour le déploiement d'une ou plusieurs ressources Azure, mais une fois que ces ressources sont déployées, il n'y a plus de connexion ou de relation active avec le modèle.
Integratie van Azure Blueprints met Azure Policy
Azure Policy is een systeem voor expliciete autorisatie bij fout en weigering, gericht op de eigendomsrechten van bronnen voor gebruik en voor bestaande bronnen. L'Azure Policy neemt het beheer van de cloud op zich en valideert dat de bronnen van een abonnement voldoen aan de vereisten en normen.
U kunt Azure Policy als artefact opnemen in een definitie van een blauwdruk. Een beleid in een blauwdruk maakt de creatie van een model of de correcte conceptie mogelijk tijdens de aanpassing van de blauwdruk. Vous pouvez vous assurer que seules les modifications approuvées ou attendues peuvent être apportées à l'environnement et protéger la conformité continue conformément à l'intention du plan directeur.
Meer informatie: https://learn.microsoft.com/en-us/azure/governance/blueprints/overview.
Ons advies
Là aussi, une certaine planification doit être pensée et réalisée. Het voordeel van deze service, die meerdere concepten kan omvatten (ARM, Policy, ...), is dat je een complete visie hebt op de parameters van de services die op hun plaats komen, zoals een architect dat heeft als hij de toekomstige bouwplannen bekijkt. In tegenstelling tot de ARM-modellen, die een ponctueel definitiemodel zijn, is dit een manier om de inzet van uw bronnen in de cloud te orkestreren.
Meer weten?
Neem contact met ons op!
