3. Het aangepaste beleid toewijzen

{ "mode": "Geïndexeerd", "beleidsregel": { "als": { "allOf": [ { "veld": "type", "equals": "Microsoft.Resources/abonnementen/resourceGroups" }, { "field": "tags['Omgeving']", "bestaat": "vals" } ] }, "dan": { "effect": "Weigeren" } } } ```

    * **Uitleg**: Dit beleid controleert of de resource een resourcegroep is (`Microsoft.Resources/subscriptions/resourceGroups`) en of de tag `Environment` niet bestaat (`exists: false`). Als beide voorwaarden waar zijn, voorkomt het `Deny`-effect dat de resourcegroep wordt gemaakt of bijgewerkt.
  1. Klik op Opslaan.

3. Het aangepaste beleid toewijzen

Laten we nu het beleid dat we zojuist hebben gemaakt, toewijzen aan een specifieke resourcegroep.

  1. Selecteer in het linkernavigatievenster van de Beleidsservice onder 'Aanmaken' de optie Opdrachten.

  2. Klik op + Beleid toewijzen.

  3. Basisprincipes:

    • Bereik: klik op de drie puntjes (...) en selecteer het abonnement en de resourcegroep waarop u het beleid wilt toepassen (bijvoorbeeld mijn-resourcegroep).
    • Beleidsdefinitie: Klik op de drie stippen (...) en zoek naar het beleid dat u hebt gemaakt (Omgevingstag vereisen voor resourcegroepen). Selecteer het.
    • Toewijzingsnaam: deze wordt automatisch ingevuld, maar u kunt deze wijzigen (bijvoorbeeld: Attribution-Tag-Environment-RG).
    • Beschrijving: Geef een beschrijving op.
    • Beleidshandhaving: 'Ingeschakeld' houden.

  4. Klik op Volgende.

  5. Parameters: Er zijn geen parameters voor dit beleid, klik op Volgende.

  6. Herstel: voor beleid met effecten als DeployIfNotExists of Modify kunt u hier hersteltaken configureren. Voor 'Weigeren' is dit niet van toepassing. Klik op 'Volgende'.
  7. Niet-conforme berichten: Pas optioneel het bericht aan dat gebruikers zien wanneer ze proberen een niet-conforme bron te maken. Klik op 'Volgende'.
  8. Bekijken + aanmaken: Controleer de instellingen en klik op Maken.

4. Het verplichte taggingbeleid testen

  1. Probeer in de Azure-portal een nieuwe resourcegroep binnen het bereik van de toewijzing te maken (my-resource-group).
  2. Voeg bij het invullen van de details van de resourcegroep niet de tag 'Environment' toe.

  3. Probeer de resourcegroep te maken.

    • Verwacht resultaat: het maken van een resourcegroep zou moeten mislukken met een foutmelding die aangeeft dat het beleid 'Omgevingstag vereisen voor resourcegroepen' de bewerking heeft geweigerd omdat de tag 'Omgeving' ontbreekt.

  4. Probeer nu een nieuwe resourcegroep te maken en voeg de tag 'Environment' toe met een waarde (bijvoorbeeld: 'Environment: Development').

    • Verwacht resultaat: het maken van de resourcegroep zou succesvol moeten zijn.

5. Een initiatief creëren (beleidsset)

Laten we een initiatief maken om algemeen beveiligingsbeleid te groeperen, zoals het vereisen van HTTPS op opslagaccounts en versleuteling op VM-schijven.

  1. Selecteer in het linkernavigatievenster van de Beleidsservice, onder 'Aanmaken', Initiatieven.

  2. Klik op +Initiatiefdefinitie.

  3. Basisprincipes:

    • Definitielocatie: Selecteer het abonnement of de beheergroep.
    • Naam: Basisveiligheidsinitiatief.
    • Beschrijving: Set essentieel beveiligingsbeleid voor basiscompliance.
    • Categorie: Selecteer Gebruik bestaand en kies Beveiliging.

  4. Klik op Volgende.

  5. Beleid: klik op + Beleidsdefinitie toevoegen.

    • Zoek naar intern beleid zoals 'Opslagaccounts mogen alleen HTTPS gebruiken' en 'Virtuele machineschijven moeten worden gecodeerd'.
    • Selecteer ze en klik op Toevoegen.

  6. Initiatiefparameters: als het toegevoegde beleid parameters heeft, kunt u deze hier configureren. Klik op 'Volgende'.

  7. Bekijken + aanmaken: Controleer de instellingen en klik op Maken.

6. Het initiatief toewijzen

Wijs het beveiligingsinitiatief toe aan een volledig abonnement om ervoor te zorgen dat al het beleid daarin wordt toegepast.

  1. Selecteer in het linkernavigatievenster van de Beleidsservice onder 'Aanmaken' de optie Opdrachten.

  2. Klik op + Initiatief toewijzen.

  3. Basisprincipes:

    • Omvang: Selecteer het gehele abonnement.
    • Initiatief: zoek naar 'Basic Security Initiative' en selecteer het.
    • Naam opdracht: Serwordt automatisch ingevuld.
    • Beleidshandhaving: 'Ingeschakeld' houden.

  4. Klik op Volgende.

  5. Parameters: Configureer alle parameters die in het initiatief zijn gedefinieerd. Klik op 'Volgende'.

  6. Herstel: voor 'Audit'-beleid kunt u een hersteltaak maken om niet-conforme bronnen te repareren. Voor 'Weigeren' is dit niet van toepassing. Klik op 'Volgende'.
  7. Berichten over niet-naleving: Pas desgewenst berichten aan. Klik op 'Volgende'.
  8. Bekijken + aanmaken: Controleer de instellingen en klik op Maken.

7. Naleving beoordelen

Na de toewijzing heeft Azure Policy enige tijd nodig om bestaande resources te evalueren en naleving te rapporteren.

  1. Selecteer in het linkernavigatievenster van de Policy-service, onder 'Authoring', Compliance.

  2. U ziet een nalevingsdashboard dat de algemene nalevingsstatus van uw beleids- en initiatieftoewijzingen toont.

  3. Klik op een opdracht om details te zien, inclusief welke bronnen voldoen en welke niet. U kunt filteren op 'Conformiteitsstatus' om alleen niet-conforme bronnen te zien.

  4. Voor bronnen die niet voldoen aan het beleid 'DeployIfNotExists' of 'Modify', kunt u een hersteltaak maken om deze bronnen automatisch te herstellen.

    • Klik op de pagina met opdrachtdetails op 'Hersteltaak maken'.
    • Selecteer het beleid dat u wilt herstellen en klik op 'Herstellen'.

Beveiligingstips en best practices

  • Begin met 'Audit': begin bij het implementeren van nieuw beleid met het 'Audit'-effect om de impact te begrijpen en niet-conforme bronnen te identificeren zonder bewerkingen te blokkeren. Na het valideren wijzigt u dit in Deny of Modify/DeployIfNotExists.
  • Juist bereik: Wijs beleid toe aan het hoogst mogelijke bereik (beheergroep of abonnement) en gebruik indien nodig uitsluitingen voor lagere bereiken. Dit zorgt voor een brede en consistente dekking.
  • Gebruik initiatieven: Groepeer gerelateerd beleid in initiatieven om het beheer te vereenvoudigen en ervoor te zorgen dat een volledige set regels wordt toegepast.
  • Naamgevingsconventies: gebruik duidelijke en consistente naamgevingsconventies voor beleidsdefinities, initiatieven en toewijzingen voor eenvoudiger identificatie en beheer.
  • Versiebeheer: bewaar uw aangepaste beleidsdefinities in een versiebeheersysteem (bijvoorbeeld Git) om wijzigingen bij te houden, samen te werken en geautomatiseerde implementatie te vergemakkelijken.
  • Continu toezicht: Controleer het Azure Policy-nalevingsdashboard regelmatig. Configureer waarschuwingen voor kritieke non-conformiteiten.
  • Integratie met Azure DevOps/GitHub Actions: Automatiseer de implementatie van beleid met behulp van CI/CD-pijplijnen om ervoor te zorgen dat beleid op een consistente en traceerbare manier wordt toegepast.
  • Documentatie: houd duidelijke documentatie bij van uw beleid, de doelstellingen, effecten en eventuele uitzonderingen.

Algemene probleemoplossing

  • Bron onjuist geblokkeerd:
    • Controleer de activiteitenlogboeken in Azure Monitor om te zien welk beleid de bewerking heeft geweigerd. De fout bevat meestal de beleidsnaam.
    • Controleer de beleidsdefinitie en -toewijzing om ervoor te zorgen dat de voorwaarden en het bereik correct zijn.
    • Overweeg het gebruik van een uitsluiting voor de specifieke bron of groep bronnen als de blokkering opzettelijk is.
  • Niet-conforme bron wordt niet gedetecteerd:
    • Controleer of het beleid aan het juiste bereik is toegewezen en of de handhaving 'Ingeschakeld' is.
    • Zorg ervoor dat de beleidsdefinitie correct is en dat de voorwaarden voor de niet-conforme bron 'waar' zijn.
    • Het kan tot 30 minuten duren voordat beleidswijzigingen zijn doorgevoerd en nalevingsrapporten zijn bijgewerkt.
  • Hersteltaken mislukken:
    • Controleer de hersteltaaklogboeken om de fout te identificeren.
    • Zorg ervoor dat de beheerde identiteit die aan de beleidsrol is toegewezen, over de benodigde machtigingen beschikt om bronnen te wijzigen.
    • Het beleid 'DeployIfNotExists' of 'Modify' bevat mogelijk een fout in het implementatiemodel of de wijzigingsbewerking.
  • Beleid is niet van toepassing op bestaande bronnen:
    • Beleid met effect 'Weigeren' of 'Audit' evalueert bestaande en nieuwe bronnen. Beleid met 'DeployIfNotExists' en 'Modify' vereist een hersteltaak voor kleurrepareer bestaande bronnen of handel alleen op basis van nieuwe creaties/updates.
  • Beleidsconflicten: als er meerdere beleidsregels van toepassing zijn op dezelfde bron, prevaleert meestal het beleid met het meest beperkende effect (bijvoorbeeld 'Weigeren' boven 'Audit'). Beoordeel opdrachten en reikwijdte.

Conclusie

Azure Policy is een fundamenteel hulpmiddel voor elke organisatie die effectief bestuur wil opzetten en de naleving van haar bronnen in de Azure-cloud wil garanderen. Door automatisering van de handhaving van regels mogelijk te maken, van het taggen van resources tot kritieke beveiligingsconfiguraties, helpt Azure Policy de orde te handhaven, risico's te verminderen en de kosten te optimaliseren in complexe, voortdurend evoluerende omgevingen. De mogelijkheid om beleid op maat te maken en dit in initiatieven te groeperen, biedt flexibiliteit om aan specifieke zakelijke en wettelijke vereisten te voldoen. Met deze praktische gids zijn beveiligingsprofessionals en IT-beheerders goed toegerust om Azure Policy te configureren, valideren en beheren, waardoor een solide basis wordt gelegd voor een veilige en conforme cloud-governancestrategie.

Referenties:

[1] Microsoft Leer. Wat is Azure Policy?. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] Microsoft Leer. Tutorial: Maak en beheer beleid om naleving af te dwingen. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] Microsoft Leer. Azure Policy-machtigingen in Azure RBAC. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] Microsoft Leer. Azure Policy-definitieframework. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] Microsoft Leer. Definitieframework voor Azure Policy-initiatieven. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] Microsoft Leer. Tutorial: Een aangepaste beleidsdefinitie maken. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] Microsoft Leer. Hoe u niet-Azure Policy-compatibele bronnen kunt herstellen. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources