Per rendere più sicuro il processo di deployment delle nuove risorse VM Azure, è necessario verificare se Azure ha la possibilità di limitare l’apertura delle porte sulle nuove risorse a un set predeterminato.
Obiettivi
- Esplorare le funzionalità di Azure per limitare le azioni degli utenti sull’infrastruttura tramite policy
- Avvisare gli admin Azure se viene usata una delle porte bloccate
Prossime attività
- Creare un inventario di base dell’infrastruttura Azure per definire l’ambito dell’attività
- Creare card per queste attività:
- Rivedere le identità su Azure
- Creare una guida operativa per creare le policy che bloccheranno le azioni
Analisi
Azure Policy è uno degli elementi chiave della governance Azure, e funziona così: una volta validata la richiesta (es. creazione di una virtual machine), la cosa successiva che viene controllata sono i permessi: Azure verifica se l’utente che ha inviato la richiesta di creare questa specifica risorsa Azure ha tutti i permessi necessari per creare il servizio, e in caso affermativo crea il servizio con le proprietà specificate.
Ma c’è un’altra cosa che Azure fa prima di creare quel servizio: il controllo delle policy. Azure Policy permette di verificare le proprietà delle risorse Azure (es. la location di deployment) e poi prendere decisioni basate sui valori di quelle proprietà.
Questa funzionalità aiuta a creare definizioni di policy per rispettare gli standard interni: una volta creata la definizione di policy e assegnata a uno scope Azure, questa diventa attiva e validerà tutti i deployment che avverranno all’interno di quello specifico scope. Se la nostra definizione di policy non viene rispettata, il deployment fallisce e il servizio non viene creato. È importante notare che le policy non controllano i permessi utente: danno già per assunto che l’utente abbia il diritto di creare risorse Azure, perché questo è stato verificato in uno step precedente. Con Azure Policy controlliamo le proprietà delle risorse: concentrandoci sulla definizione delle risorse possiamo assicurarci che siano conformi ai nostri standard interni.
Il pannello di Azure Policy offre una panoramica di alto livello di tutte le policy attualmente assegnate su tutte le altre subscription, e di quante risorse nelle mie subscription Azure sono conformi o non conformi alle mie policy.
Da notare che esistono due tipi di policy: una policy è un singolo controllo con un singolo effetto che si vuole applicare (es. la location); raggruppare più policy insieme si chiama initiative, quindi le initiative permettono di raggruppare più policy e assegnarle come un unico bundle combinato.
Quando si creano le policy c’è una scheda chiamata “remediation”: di default le policy Azure vengono applicate solo alle risorse appena create o a quelle che vengono attualmente modificate. Se esistono già risorse precedenti, l’attività di remediation farà l’audit e applicherà le vostre policy anche a quelle risorse già esistenti nell’ambiente Azure.
Azure Policy è progettato per aiutare con la governance delle risorse, la compliance di sicurezza delle risorse e persino la gestione dei costi. Ad esempio, esiste una policy predefinita che permette di ereditare i tag delle risorse da un resource group o dalle subscription Azure, per migliorare la governance delle risorse Azure.
Azure Monitor può controllare lo stato e l’attività di Azure Policy e avvisare l’utente in caso di risorse non conformi.
Conclusioni
Azure Policy e Azure Monitor hanno tutte le funzionalità necessarie per rispondere alla nostra esigenza di bloccare attività specifiche nell’ambiente Azure e avvisare gli utenti admin in caso di risorse non conformi.