Azure policy – laita käytännöt kerralla kuntoon

2017-12-27

Oletko jo vienyt palveluita Azureen? Oletko aloittanut tekemisen suunnitelmallisesti ja laatinut Azure hallintomallin ohjaamaan tekemistä? Uusi Azure-palvelu helpottaa huomattavasti elämääsi tästä eteenpäin.

Ellet ole vielä päässyt näin pitkälle, käy lukemassa ajatuksiani siitä, mitkä asiat ovat tärkeitä Azure-palveluiden käynnistämisessä.

Ne jotka ovat olleet rakentamassa hallintomallia ja vastaavat siitä, että ympäristö vastaa vaatimuksia, tietävät miten haasteellista asioiden valvonta on ollut. Periaatteessa IT:n on täytynyt käsin tarkistaa, että tuotantokokonaisuus vastaa määrityksiä tai luoda yksittäisiin resurssiryhmiin käytäntöjä. Kaiken lisäksi tämä ei ole riittänyt, koska järjestelmien muuttuessa määrityksien tarkistaminen pitää tehdä taas uudestaan. Tämä on johtanut siihen, että Azure-hallintomalli jää huonoimmassa tapauksessa pelkästään yhdeksi paperiksi pöytälaatikkoon. Tämä taas pahimmassa tapauksessa johtaa tietoturvapoikkeamiin ja odottamattomiin kustannuksiin.

Microsoft julkaisi 20.11.2017 ennakkotilaan uuden Azure-palvelun, joka helpottaa hallintomallin määritysten pakottamista käyttöön. Tämä on ensimmäinen palvelu, joka tuo kaikki yksittäiset käytännöt yhden näkymän alle ja mahdollistaa koko tilauksen kattavien käytäntöjen luomisen. Pelkän näkymän lisäksi Azure Policy arvioi kaikkien resurssien oikeellisuutta. Uusi käytäntömoottori osaa arvioida myös resurssit, jotka eivät tue tägäämistä.

Mitä Azure Policyllä sitten oikeasti saa aikaan? Esimerkiksi sen, että kaikki resurssit luodaan EU-alueelle tai vain tiettyyn Azure-konesaliin. Azure Policy pakottaa käyttämään vain levyresursseja, jotka ovat salattuja. Palvelulla on mahdollista myös rajata minkä tahansa palvelun kokoa, jolloin Azureen ei ”vahingossa” luoda vaikka M128S-sarjan palvelinta. Osin Azure Policyä voi käyttää myös korvaamaan DSC-asetuksia (desired state configuration), kun kyse on virtuaalikoneista. Käytännöt siis auttavat tuomaan haluttua tietoturvaa ja kokonaiskuvassa hallintaa.

Lopputuloksena kaikki käytännöt ja niiden noudattamisen tila ovat nähtävissä yhdellä vilkaisulla Azure-portaalista:

Ruudnkaappaus Azure-portaalin näkymästä

Perusominaisuuksiin kuuluu myös käytäntöjen rajaus pois tietyistä resurssiryhmistä. Perusominaisuuksien lisäksi palvelu tukee täysin kustomoituja käytäntöjä. Kustomoidut käytännöt voidaan luoda suoraan Azure-portaalissa käyttäen JSON-formaattia. Tämä mahdollistaa lähes minkä tahansa hallintomalliin määritellyn vaatimuksen täyttämisen ja valvonnan.

Kuva kustomoiduista käytännöistä Azure-portaalissa

Jos kaipaat apua Azure-hallintomallin tekemisessä tai haluat, että organisaatiossasi otetaan Azure Policy käyttöön, ole yhteydessä! Voit myös tulla kokemaan käytännössä Atea Experience Centeriin, miten Azure-palvelut toimivat ja kuinka Azure-hallintomalli voi ohjata juuri sinun organisaatiosi tekemistä.